Amministrare i metodi di autenticazione FIDO2 e senza password
Nell'ambito dell'esperienza di accesso per gli account in Microsoft Entra ID, gli utenti possono eseguire l'autenticazione in diversi modi. Il modo tradizionale più comune per inserire le credenziali consiste nell'usare un nome utente e una password. Con le moderne funzionalità di autenticazione e sicurezza in Microsoft Entra ID, la comune password deve essere integrata o sostituita con metodi di autenticazione più sicuri.
I metodi di autenticazione senza password, come Windows Hello, le chiavi di sicurezza FIDO2 e l'app Microsoft Authenticator, forniscono gli eventi di accesso più sicuri.
L'autenticazione a più fattori (MFA) aggiunge ulteriore sicurezza rispetto al semplice uso di una password per l'accesso dell'utente. All'utente possono essere richieste altre forme di autenticazione. L'utente potrebbe dover rispondere a una notifica push, immettere un codice da un token software o hardware. Infine, l'utente potrebbe dover rispondere a un SMS o a una telefonata.
Semplificare l'esperienza di onboarding dell'utente eseguendo la registrazione sia per l'autenticazione a più fattori che per la reimpostazione della password self-service. Microsoft consiglia di abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, sarà possibile scegliere di eseguire l'autenticazione con un altro metodo.
Affidabilità e sicurezza dei metodi di autenticazione
Quando si distribuiscono funzionalità come l'autenticazione a più fattori (MFA) all'interno dell'organizzazione, esaminare i metodi di autenticazione disponibili. Scegliere i metodi che soddisfano o superano i requisiti in termini di sicurezza, usabilità e disponibilità. Quando possibile, usare i metodi di autenticazione con il massimo livello di sicurezza.
La tabella seguente illustra alcune considerazioni sulla sicurezza per i metodi di autenticazione disponibili. La disponibilità si riferisce alla possibilità per l'utente di usare il metodo di autenticazione e non alla disponibilità del servizio in Microsoft Entra ID:
| Metodo di autenticazione | Sicurezza | Usabilità | Disponibilità |
|---|---|---|---|
| Windows Hello for Business (Configurare Windows Hello for Business) | Alta | Alta | Alta |
| App Microsoft Authenticator | Alta | Alta | Alta |
| Chiave di sicurezza FIDO2 | Alta | Alta | Alta |
| Token hardware OATH (anteprima) | Medio | Medio | Alta |
| Token software OATH | Medio | Medio | Alta |
| SMS | Medio | Alto | Medio |
| Chiamata vocale | Medio | Medio | Medio |
| Password | Ridotto | Elevato | Alta |
Suggerimento
Per assicurare flessibilità e usabilità, è consigliabile usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH.
Modalità di funzionamento di ogni metodo di autenticazione
Alcuni metodi di autenticazione possono essere usati come fattore primario quando si accede a un'applicazione o a un dispositivo. Un valido esempio di autenticazione primaria consiste nell'usare una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario. Ad esempio, quando si usa l'autenticazione a più fattori o la reimpostazione della password self-service (SSPR).
La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:
| Method | Autenticazione principale | Autenticazione secondaria |
|---|---|---|
| Windows Hello for Business (Configurare Windows Hello for Business) | Sì | MFA |
| App Microsoft Authenticator | Sì (anteprima) | Autenticazione a più fattori e SSPR |
| Chiave di sicurezza FIDO2 | Sì | MFA |
| Token hardware OATH (anteprima) | No | Autenticazione a più fattori e SSPR |
| Token software OATH | No | Autenticazione a più fattori e SSPR |
| SMS | Sì (anteprima) | Autenticazione a più fattori e SSPR |
| Chiamata vocale | No | Autenticazione a più fattori e SSPR |
| Password | Sì |
Tutti questi metodi di autenticazione possono essere configurati nel portale di Azure ed è sempre più diffuso l'uso della versione beta dell'API REST di Microsoft Graph.
Nota
In Microsoft Entra ID, la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite l'autenticazione a più fattori.
In determinati scenari è possibile usare i metodi di verifica seguenti:
- Password delle app - sono usate per le applicazioni obsolete che non supportano l'autenticazione moderna e possono essere configurate per l'autenticazione a più fattori (MFA).
- Domande di sicurezza - usate solo per la reimpostazione della password self-service.
- Indirizzo e-mail - usato solo per la reimpostazione della password self-service.
Informazioni su FIDO2
FIDO (Fast Identity Online) Alliance promuove le specifiche di autenticazione aperte e riduce l'uso delle password come forma di autenticazione. FIDO2 è la specifica più recente che incorpora quella di autenticazione Web (WebAuthn). Gli utenti possono registrarsi e quindi selezionare una chiave di sicurezza FIDO2 nell'interfaccia di accesso come mezzo di autenticazione principale. Le chiavi di sicurezza di FIDO2 sono in genere dispositivi USB, ma possono anche usare il Bluetooth o l'NFC (Near Field Communication). Grazie a un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata poiché non vi è una password che può essere esposta o individuata. Le chiavi di sicurezza FIDO2 possono essere usate per accedere ai propri dispositivi Microsoft Entra ID o Microsoft Entra ibrido aggiunti a Windows 10 o 11 e ottenere l'accesso Single Sign-On alle risorse cloud e locali. Gli utenti possono anche accedere ai browser supportati. Le chiavi di sicurezza FIDO2 sono un'ottima scelta per le aziende che sono molto sensibili alla sicurezza o hanno scenari o dipendenti che non possono o non sono disposti a usare il telefono come secondo fattore di autenticazione.
- Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su specifiche e protetto dal phishing che può essere presente in qualsiasi fattore di forma
- Fast Identity Online (FIDO) è una specifica aperta per l'autenticazione senza password
- FIDO consente a utenti e organizzazioni di sfruttare la specifica per accedere alle risorse usando al posto del nome utente o della password una chiave di sicurezza esterna o una chiave di piattaforma incorporata in un dispositivo
Abilitare il metodo della chiave di sicurezza FIDO2
Accedere all'interfaccia di amministrazione di Microsoft Entra.
Passare a Protezione - Metodi di autenticazione - Criteri del metodo di autenticazione.
Nel metodo Chiave di sicurezza FIDO2 scegliere le opzioni seguenti:
- Abilitare - Sì o No
- Destinazione - Tutti gli utenti o Seleziona utenti
Fare clic su Salva per salvare la configurazione.
Gestire la registrazione degli utenti e le chiavi di sicurezza FIDO2
- Passa a https://myprofile.microsoft.com.
- Se non è già stato fatto, accedere.
- Selezionare Informazione di sicurezza.
- Se l'utente dispone già di almeno un metodo di autenticazione registrato, può registrare immediatamente una chiave di sicurezza FIDO2.
- Se non ha almeno un metodo di autenticazione registrato, è necessario aggiungerne uno.
- Aggiungere una chiave di sicurezza FIDO2 selezionando Aggiungi metodo e scegliendo Chiave di sicurezza.
- Scegliere Dispositivo USB o Dispositivo NFC.
- Tenere pronta la chiave e scegliere Avanti.
- Verrà visualizzata una casella in cui viene chiesto all'utente di creare/immettere un PIN per la chiave di sicurezza e quindi di eseguire il gesto richiesto per la chiave, ovvero l'identificazione biometrica o il tocco.
- All'utente verrà ripresentata l'esperienza di registrazione combinata e verrà chiesto di fornire un nome significativo per la chiave in modo che sia possibile identificarla se sono presenti più chiavi. Selezionare Avanti.
- Selezionare Fine per completare il processo.
Accedere con credenziali senza password
Nell'esempio seguente un utente ha già effettuato il provisioning della chiave di sicurezza FIDO2. L'utente può scegliere di accedere al Web con la chiave di sicurezza FIDO2 in un browser supportato in Windows 10 versione 1903 o successiva o in Windows 11.
Prerequisiti per la distribuzione solo cloud
- Windows 10 versione 1511 o successiva o Windows 11
- Account Microsoft Azure
- Microsoft Entra ID
- Autenticazione a più fattori
- Gestione moderna - facoltativa, Microsoft Intune o software MDM (Mobile Device Management) di terze parti supportato
- Abbonamento a Microsoft Entra ID Premium: facoltativo, necessario per la registrazione MDM automatica quando il dispositivo viene aggiunto a Microsoft Entra ID