Condividi tramite


Abilitare le passkey (FIDO2) per la propria organizzazione

Per le aziende che attualmente usano le password, le passkey (FIDO2) offrono un modo semplice per consentire ai lavoratori di eseguire l'autenticazione senza immettere un nome utente o una password. Le passkey offrono ai lavoratori una maggiore produttività e una maggiore sicurezza.

Questo articolo elenca i requisiti e i passaggi per abilitare le passkey nella propria organizzazione. Dopo aver completato questi passaggi, gli utenti dell'organizzazione potranno quindi registrarsi e accedere al proprio account Microsoft Entra usando una passkey archiviata in una chiave di sicurezza FIDO2 o su Microsoft Authenticator.

Per altre informazioni sull'abilitazione delle passkey su Microsoft Authenticator, vedere Come abilitare le passkey su Microsoft Authenticator.

Per altre informazioni sull'autenticazione delle passkey, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo nelle passkey sincronizzate e associate a dispositivi per gli account aziendali.

Requisiti

Le passkey non sono supportate in scenari principali su Windows, macOS, Android e iOS. Per altre informazioni sugli scenari supportati, vedere Supporto per l'autenticazione FIDO2 su Microsoft Entra ID.

Abilitare il metodo di autenticazione con le passkey

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.

  3. Nel metodo Chiave di sicurezza FIDO2 impostare la levetta su Abilita. Selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.

  4. Fare clic su Salva per salvare la configurazione.

    Nota

    Se viene visualizzato un errore quando si tenta di salvare, la causa potrebbe essere dovuta al numero di utenti o gruppi aggiunti. Come soluzione alternativa, sostituire gli utenti e i gruppi che si sta tentando di aggiungere con un singolo gruppo nella stessa operazione e quindi fare di nuovo clic su Salva .

Impostazioni facoltative delle passkey

Nella scheda Configura sono disponibili alcune impostazioni facoltative utili per gestire come usare le passkey per l'accesso.

Screenshot delle opzioni della chiave di sicurezza FIDO2.

  • Consenti la configurazione self-service deve rimanere impostato su . Se è impostato su no, gli utenti non potranno registrare una passkey tramite MySecurityInfo, anche se questa è abilitata dai criteri dei metodi di autenticazione.

  • Applicare l'attestazione deve essere impostata su se l'organizzazione vuole assicurarsi che un modello di chiave di sicurezza FIDO2 o un provider di passkey sia originale e provenga dal fornitore legittimo.

    • Per le chiavi di sicurezza FIDO2, è necessario pubblicare e verificare i metadati delle chiavi di sicurezza con il servizio metadati FIDO Alliance e anche passare un altro set di test di convalida di Microsoft. Per altre informazioni, vedere Diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft.
    • Per le passkey su Microsoft Authenticator, attualmente non è supportata l'attestazione.

    Avviso

    L’imposizione dell'attestazione determina se una passkey è consentita solo durante la registrazione. Gli utenti che possono registrare una passkey senza attestazione non verranno bloccati durante l'accesso se l'opzione Imponi attestazione viene impostata su in un secondo momento.

Criteri di restrizione delle chiavi

  • Imponi restrizioni delle chiavi deve essere impostato su solo se l'organizzazione vuole consentire o respingere alcuni provider specifici di modelli di chiavi di sicurezza o passkey, identificati dall’identificatore univoco universale (GUID) di attestazione di Authenticator (AAGUID). È possibile collaborare con il fornitore delle chiavi di sicurezza per determinare l'AAGUID della passkey. Se la passkey è già registrata, è possibile trovare l’AAGUID visualizzando i dettagli del metodo di autenticazione della passkey dell'utente.

  • Quando l'opzione Applica restrizioni chiave è impostata su , è possibile selezionare Microsoft Authenticator (anteprima) se la casella di controllo viene visualizzata nell'interfaccia di amministrazione. Questa impostazione popola automaticamente gli AAGUID dell'app Authenticator nell'elenco di restrizioni delle chiavi. In caso contrario, puoi aggiungere manualmente i seguenti AAGUID per abilitare l'anteprima della passkey Authenticator:

    • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Avviso

    Le restrizioni delle chiavi impostano l'usabilità di modelli specifici o provider sia per la registrazione sia per l'autenticazione. Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per accedere.

GUID di attestazione di Authenticator (AAGUID) delle passkey

La specifica FIDO2 richiede a ogni fornitore di chiavi di sicurezza di fornire un GUID di attestazione di Authenticator (AAGUID) durante la registrazione. Un AAGUID è un identificatore a 128 bit che indica il tipo di chiave, ad esempio la marca e il modello. Anche i provider di passkey su dispositivi desktop e mobili devono fornire un AAGUID durante la registrazione.

Nota

Il fornitore deve assicurarsi che l’AAGUID sia lo stesso per tutte le chiavi di sicurezza o provider di passkey da esso create, e diverso (con alta probabilità) dagli AAGUID di tutti gli altri tipi di di chiavi di sicurezza o provider di passkey. Per garantire questo, l'AAGUID di un determinato modello di chiave di sicurezza o provider di passkey deve essere generato in modo casuale. Per altre informazioni, vedere Autenticazione Web: una API per l'accesso alle credenziali della chiave pubblica - Livello 2 (w3.org).

Esistono due modi per ottenere il AAGUID. È possibile anche richiedere al proprio fornitore di chiavi di sicurezza o provider di passkey di poter ottenere o visualizzare i dettagli del metodo di autenticazione della chiave di ciascun utente.

Screenshot della visualizzazione di AAGUID per passkey.

Effettuare il provisioning delle chiavi di sicurezza FIDO2 usando l'API Microsoft Graph (anteprima)

Attualmente in anteprima, gli amministratori possono usare Microsoft Graph e client personalizzati per effettuare il provisioning delle chiavi di sicurezza FIDO2 per conto degli utenti. Il provisioning richiede il ruolo Amministratore autenticazione o un'applicazione client con l'autorizzazione UserAuthenticationMethod.ReadWrite.All. I miglioramenti del provisioning includono:

  • Possibilità di richiedere opzioni di creazione di WebAuthn da Microsoft Entra ID
  • Possibilità di registrare la chiave di sicurezza con provisioning direttamente con Microsoft Entra ID

Con queste nuove API, le organizzazioni possono creare i propri client per effettuare il provisioning delle credenziali passkey (FIDO2) sulle chiavi di sicurezza per conto di un utente. Per semplificare questo processo, sono necessari tre passaggi principali.

  1. Request creationOptions per un utente: Microsoft Entra ID restituisce i dati necessari per il client per effettuare il provisioning di una credenziale passkey (FIDO2). Sono incluse informazioni quali informazioni sull'utente, ID relying party, requisiti dei criteri delle credenziali, algoritmi, richiesta di registrazione e altro ancora.
  2. Effettuare il provisioning delle credenziali passkey (FIDO2) con le opzioni di creazione: usare creationOptions e un client che supporta il protocollo CTAP (Client to Authenticator Protocol) per effettuare il provisioning delle credenziali. Durante questo passaggio, è necessario inserire la chiave di sicurezza e impostare un PIN.
  3. Registrare le credenziali di cui è stato effettuato il provisioning con l'ID Microsoft Entra: usare l'output formattato del processo di provisioning per fornire all'utente di destinazione i dati necessari per registrare le credenziali passkey (FIDO2).

Diagramma concettuale che mostra i passaggi necessari per effettuare il provisioning di passkey (FIDO2).

Abilitare le passkey con la API Microsoft Graph

Oltre a usare l'interfaccia di amministrazione di Microsoft Entra, è anche possibile abilitare le passkey usando la API Microsoft Graph. Per abilitare le passkey, è necessario aggiornare i criteri dei metodi di autenticazione almeno come Amministratore dei criteri di autenticazione.

Per configurare il criterio con Graph explorer:

  1. Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recuperare il criterio dei metodi di autenticazione:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Per disabilitare l'imposizione dell'attestazione e imporre restrizioni alle chiavi per consentire solo l’AAGUID per RSA DS100, per esempio, eseguire un'operazione PATCH usando il corpo della richiesta seguente:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": false,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "7e3f3d30-3557-4442-bdae-139312178b39",
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Assicurarsi che il criterio della passkey (FIDO2) venga aggiornato correttamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Eliminare una passkey

Per rimuovere una passkey associata a un account utente, eliminare la chiave dai metodi di autenticazione dell'utente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra e cercare l'utente la cui passkey deve essere rimossa.

  2. Selezionare Metodi di autenticazione> fare clic con il pulsante destro del mouse su Passkey (associata al dispositivo) e selezionare Elimina.

    Screenshot con dettagli di Visualizza il metodo di autenticazione.

Applicare l'accesso alla passkey

Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, è possibile:

  • Usare un livello di autenticazione predefinito resistente al phishing

    O

  • Creare un livello di autenticazione personalizzato

I passaggi seguenti illustrano come creare un criterio di accesso condizionale basato sul livello di autenticazione personalizzato che consente l'accesso per mezzo della passkey solo per uno specifico modello di chiave di sicurezza o un provider di passkey. Per un elenco dei provider FIDO2, vedere Chiavi di sicurezza FIDO2 idonee per l'attestazione con Microsoft Entra ID.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.
  3. Selezionare Nuovo livello di autenticazione.
  4. Specificare un Nome per il nuovo livello di autenticazione.
  5. Facoltativamente, immettere una Descrizione.
  6. Selezionare Passkey (FIDO2).
  7. Facoltativamente, se si vuole limitare in base a specifici AAGUID, selezionare Opzioni avanzate e quindi Aggiungi AAGUID. Immettere gli AAGUID che si vuole consentire. Seleziona Salva.
  8. Scegliere Avanti ed esaminare la configurazione del criterio.

Problemi noti

Utenti di Collaborazione B2B

La registrazione delle credenziali FIDO2 non è supportata per gli utenti di collaborazione B2B nel tenant delle risorse.

Provisioning delle chiavi di sicurezza

Il provisioning e il deprovisioning degli amministratori delle chiavi di sicurezza non sono disponibili.

Modifiche dei nomi UPN

Se il nome di accesso UPN di un utente cambia, non sarà più possibile modificare le passkey in base a tale modifica. Se l'utente ha una passkey, deve accedere a Le mie informazioni di sicurezza, eliminare la passkey precedente e aggiungerne una nuova.

Passaggi successivi

Supporto per app native e browser dell'autenticazione senza password con passkey (FIDO2)

Chiave di sicurezza FIDO2 per l’accesso a Windows 10

Abilitare l'autenticazione FIDO2 per le risorse locali

Registrare le chiavi di sicurezza per conto degli utenti

Altre informazioni sulla registrazione dei dispositivi

Altre informazioni sull'autenticazione a più fattori di Microsoft Entra