Abilitare le passkey in Microsoft Authenticator (anteprima)
Questo articolo elenca i passaggi necessari per abilitare e imporre l'uso di passkey in Authenticator per Microsoft Entra ID. Prima di tutto, è necessario aggiornare il criterio di Metodi di autenticazione per consentire agli utenti finali di registrarsi e accedere con passkey in Authenticator. È quindi possibile usare i criteri dei livelli di autenticazione dell'accesso condizionale per imporre l'accesso con passkey quando gli utenti accedono a una risorsa sensibile.
Requisiti
- Autenticazione a più fattori (MFA) di Microsoft Entra
- Android 14 e versioni successive o iOS 17 e versioni successive
- Una connessione Internet attiva su qualsiasi dispositivo che fa parte del processo di registrazione/autenticazione della passkey
- Per la registrazione/autenticazione tra dispositivi, entrambi i dispositivi devono avere il Bluetooth abilitato
Nota
Per usare una passkey, gli utenti devono installare l'ultima versione di Authenticator per Android o iOS.
Per altre informazioni su dove è possibile usare passkey in Authenticator per accedere, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.
Abilitare le passkey in Authenticator nell'interfaccia di amministrazione
Il criterio Microsoft Authenticator non offre la possibilità di abilitare passkey in Authenticator. Per abilitare le passkey in Authenticator, è invece necessario modificare il criterio Chiave di sicurezza FIDO2 di Metodi di autenticazione.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.
Nel metodo Chiave di sicurezza FIDO2 selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.
Nella scheda Configura impostare:
Consenti la configurazione self-service su Sì
Imponi attestazione su No
Imponi restrizioni chiavi su Sì
Limita chiavi specifiche su Consenti
Selezionare Microsoft Authenticator (anteprima) se la casella di controllo viene visualizzata nell'interfaccia di amministrazione. Questa impostazione popola automaticamente gli AAGUID dell'app Authenticator nell'elenco delle restrizioni delle chiavi. In caso contrario, puoi aggiungere manualmente i seguenti AAGUID per abilitare l'anteprima della passkey Authenticator:
- Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Avviso
Le restrizioni delle chiavi consentono di impostare l'usabilità di passkey specifici per la registrazione e l'autenticazione. Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per l'accesso. Se l'organizzazione non impone attualmente restrizioni delle chiavi e usa già attivamente le passkey, è consigliabile raccogliere gli AAGUID delle chiavi attualmente in uso. Aggiungerli all'elenco Consenti, unitamente agli AAGUID di Authenticator, per abilitare questa anteprima. È possibile eseguire questa attività con uno script automatizzato che analizza i log, ad esempio i log di accesso e dei dettagli di registrazione.
L'elenco seguente descrive altre impostazioni facoltative:
Generali
- Consenti la configurazione self-service deve rimanere impostato su Sì. Se impostato su no, gli utenti non sono in grado di registrare una passkey tramite MySecurityInfo, anche se abilitata dai criteri dei metodi di autenticazione.
- Imponi attestazione deve essere impostato su No per l'anteprima. Il supporto dell'attestazione è pianificato per la disponibilità generale.
Criteri di restrizione delle chiavi
Imponi restrizioni chiavi deve essere impostato su Sì solo se l'organizzazione vuole consentire o meno passkey specifiche, identificate dal GUID di attestazione di Authenticator (AAGUID). Se si desidera, è possibile inserire manualmente gli AAGUID dell'app Authenticator o limitare in modo specifico solo i dispositivi Android o iOS. In caso contrario, puoi aggiungere manualmente i seguenti AAGUID per abilitare l'anteprima della passkey Authenticator:
- Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Al termine della configurazione, selezionare Salva.
Abilitare le passkey in Authenticator con Graph explorer
Oltre all'Interfaccia di amministrazione di Microsoft Entra, è anche possibile usare Graph explorer per abilitare passkey in Authenticator. Gli utenti a cui è assegnato almeno il ruolo Amministratore dei criteri di autenticazione possono aggiornare il criterio di Metodi di autenticazione per consentire gli AAGUID per Authenticator.
Per configurare il criterio con Graph explorer:
Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.
Recuperare il criterio di Metodi di autenticazione:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Per disabilitare l'imposizione dell'attestazione e imporre restrizioni delle chiavi per consentire solo AAGUID per Microsoft Authenticator, eseguire un'operazione PATCH usando il corpo della richiesta seguente:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }
Assicurarsi che il criterio della passkey (FIDO2) venga aggiornato correttamente.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Eliminare una passkey
Per rimuovere una passkey associata a un account utente, eliminare la chiave dai metodi di autenticazione dell'utente.
Accedere all'Interfaccia di amministrazione di Microsoft Entra e cercare l'utente per cui rimuovere la passkey.
Selezionare Metodi di autenticazione> fare clic con il pulsante destro del mouse su Chiave di sicurezza FIDO2 e selezionare Elimina.
Nota
Gli utenti devono rimuovere la passkey in Authenticator anche nel proprio dispositivo.
Imporre l'accesso con passkey in Authenticator
Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, usare il livello di autenticazione predefinito resistente al phishing o creare un livello di autenticazione personalizzato seguendo questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore dell'accesso condizionale.
Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.
Selezionare Nuovo livello di autenticazione.
Immettere un nome descrittivo per il nuovo livello di autenticazione.
Facoltativamente, immettere una descrizione.
Selezionare Passkey (FIDO2) e quindi Opzioni avanzate.
Aggiungere gli AAGUID per le passkey in Authenticator:
- Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
- Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f
Scegliere Avanti ed esaminare la configurazione criterio.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per