Condividi tramite

Abilitare le passkey (FIDO2) per la propria organizzazione

  • Articolo

Per le aziende che attualmente usano le password, le passkey (FIDO2) offrono un modo semplice per consentire ai lavoratori di eseguire l'autenticazione senza immettere un nome utente o una password. Le passkey (FIDO2) offrono ai lavoratori una maggiore produttività e una maggiore sicurezza.

Questo articolo elenca i requisiti e i passaggi per abilitare le passkey nella propria organizzazione. Dopo aver completato questi passaggi, gli utenti dell'organizzazione possono quindi registrarsi e accedere al proprio account Microsoft Entra usando una passkey archiviata in una chiave di sicurezza FIDO2 o in Microsoft Authenticator.

Per altre informazioni sull'abilitazione delle passkey su Microsoft Authenticator, vedere Come abilitare le passkey su Microsoft Authenticator.

Per altre informazioni sull'autenticazione delle passkey, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo in passkey sincronizzati e associati a dispositivo per gli account aziendali.

Requisiti

  • Gli utenti devono completare l'autenticazione a più fattori (MFA) negli ultimi cinque minuti prima di poter registrare una passkey (FIDO2).
  • Gli utenti hanno bisogno di una chiave di sicurezza FIDO2 idonea per l'attestazione con Microsoft Entra ID o Microsoft Authenticator.
  • I dispositivi devono supportare l'autenticazione passkey (FIDO2). Per i dispositivi Windows aggiunti a Microsoft Entra ID, l'esperienza migliore è con Windows 10 versione 1903 o successiva. I dispositivi ibridi aggiunti devono eseguire Windows 10 versione 2004 o successiva.

Passkey (FIDO2) sono supportati in tutti i principali scenari su Windows, macOS, Android e iOS. Per altre informazioni sugli scenari supportati, vedere Supporto per l'autenticazione FIDO2 su Microsoft Entra ID.

Nota

Il supporto per la registrazione dello stesso dispositivo in Edge in Android sarà disponibile prossimamente.

GUID di attestazione della chiave di accesso (Passkey) dell'Authenticator FIDO2 (AAGUID)

La specifica FIDO2 richiede a ogni fornitore di chiavi di sicurezza di fornire un GUID di attestazione di Authenticator (AAGUID) durante la registrazione. Un AAGUID è un identificatore a 128 bit che indica il tipo di chiave, ad esempio la marca e il modello. Anche i provider di passkey (FIDO2) su dispositivi desktop e mobili devono fornire un AAGUID durante la registrazione.

Nota

Il fornitore deve assicurarsi che l’AAGUID sia lo stesso per tutte le chiavi di sicurezza o provider di passkey (FIDO2) da esso create, e diverso (con alta probabilità) dagli AAGUID di tutti gli altri tipi di chiavi di sicurezza o provider di passkey (FIDO2). Per garantire questo, l'AAGUID di un determinato modello di chiave di sicurezza o provider di passkey (FIDO2) deve essere generato in modo casuale. Per altre informazioni, vedere Autenticazione Web: una API per l'accesso alle credenziali della chiave pubblica - Livello 2 (w3.org).

È possibile collaborare con il fornitore delle chiavi di sicurezza per determinare l'AAGUID della passkey (FIDO2) o vedere Chiavi di sicurezza FIDO2 idonee per l'attestazione con Microsoft Entra ID. Se la passkey (FIDO2) è già registrata, è possibile trovare l’AAGUID visualizzando i dettagli del metodo di autenticazione della passkey (FIDO2) dell'utente.

Screenshot di come visualizzare l'AAGUID per una chiave d'accesso.

Abilitare il metodo di autenticazione con le passkey (FIDO2)

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Vai a Protezione>Metodi di autenticazione>Politiche.

  3. Nel metodo Passkey (FIDO2), impostare la levetta su Abilita. Selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.

  4. Nella scheda Configura:

    • Impostare Consenti la configurazione automatica su . Se è impostata su No, gli utenti non possono registrare una passkey usando le Informazioni di sicurezza, anche se le passkey (FIDO2) sono abilitate dal criterio Metodi di autenticazione.

    • Impostare Imponi attestazione su se l'organizzazione vuole assicurarsi che un modello di chiave di sicurezza FIDO2 o un provider di passkey sia originale e provenga dal fornitore legittimo.

      Avviso

      L'applicazione dell'attestazione stabilisce se una passkey (FIDO2) è consentita solo durante la registrazione. Gli utenti che registrano una passkey (FIDO2) senza attestazione non verranno bloccati dall'accesso se l'opzione Imponi attestazione viene impostata su in un secondo momento.

    Criteri di restrizione delle chiavi

    • Imponi restrizioni delle chiavi deve essere impostato su solo se l'organizzazione vuole consentire o respingere alcuni modelli di chiavi di sicurezza o provider di passkey, identificati mediante il proprio AAGUID. È possibile collaborare con il fornitore delle chiavi di sicurezza per determinare l'AAGUID della passkey. Se la passkey è già registrata, è possibile trovare l’AAGUID visualizzando i dettagli del metodo di autenticazione della passkey dell'utente.

    Avviso

    Le restrizioni delle chiavi impostano l'usabilità di modelli specifici o provider sia per la registrazione sia per l'autenticazione. Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per accedere.

    Screenshot che mostra Microsoft Authenticator abilitato per l'uso della passkey.

  5. Al termine della configurazione, selezionare Salva.

    Nota

    Se viene visualizzato un errore quando si tenta di salvare, sostituire più gruppi con un singolo gruppo in un'unica operazione e quindi fare di nuovo clic su Salva.

Effettuare il provisioning delle chiavi di sicurezza FIDO2 usando l'API Microsoft Graph (anteprima)

Attualmente in anteprima, gli amministratori possono usare Microsoft Graph e client personalizzati per effettuare il provisioning delle chiavi di sicurezza FIDO2 per conto degli utenti. Il provisioning richiede il ruolo di Amministratore dell'Autenticazione o un'applicazione client con il permesso UserAuthenticationMethod.ReadWrite.All. I miglioramenti del provisioning includono:

  • Possibilità di richiedereopzioni di creazione WebAuthn da Microsoft Entra ID
  • La capacità di registrare la chiave di sicurezza fornita direttamente con Microsoft Entra ID

Con queste nuove API, le organizzazioni possono creare i propri client per effettuare il provisioning delle credenziali passkey (FIDO2) sulle chiavi di sicurezza per conto di un utente. Per semplificare questo processo, sono necessari tre passaggi principali.

  1. Richiesta di creationOptions per un utente: Microsoft Entra ID restituisce i dati necessari affinché il client possa registrare una passkey (FIDO2). Sono incluse informazioni come informazioni sull'utente, ID della relying party, requisiti della policy delle credenziali, algoritmi, richiesta di registrazione e altro ancora.
  2. Effettuare il provisioning delle credenziali passkey (FIDO2) con le opzioni di creazione: usare creationOptions e un client che supporti il protocollo CTAP (Client to Authenticator Protocol) per effettuare il provisioning delle credenziali. Durante questo passaggio, è necessario inserire la chiave di sicurezza e impostare un PIN.
  3. Registrare le credenziali di cui è stato effettuato il provisioning con l'ID Microsoft Entra: usare l'output formattato del processo di provisioning per fornire a Microsoft Entra ID i dati necessari per registrare le credenziali passkey (FIDO2) per l'utente di destinazione.

Diagramma concettuale che mostra i passaggi necessari per effettuare il provisioning di passkey (FIDO2).

Abilitare le passkey (FIDO2) con l'API Microsoft Graph

Oltre a usare l'interfaccia di amministrazione di Microsoft Entra, è anche possibile abilitare le passkey (FIDO2) usando la API Microsoft Graph. Per abilitare le passkey (FIDO2), è necessario aggiornare i criteri dei metodi di autenticazione almeno come Amministratore dei criteri di autenticazione.

Per configurare il criterio con Graph Explorer:

  1. Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recuperare la politica dei metodi di autenticazione

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Per disabilitare l'imposizione dell'attestazione e, per esempio, imporre restrizioni sulle chiavi crittografiche per consentire solo l'AAGUID per RSA DS100, eseguire un'operazione PATCH usando il corpo della richiesta seguente.

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Assicurati che la politica della passkey (FIDO2) venga aggiornata correttamente.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Eliminare una passkey (FIDO2)

Per rimuovere una passkey (FIDO2) associata a un account utente, eliminarla dai metodi di autenticazione dell'utente.

  1. Accedere a Interfaccia di amministrazione di Microsoft Entra e cercare l'utente la cui passkey (FIDO2) deve essere rimossa.
  2. Selezionare Metodi di autenticazione> fare clic con il pulsante destro del mouse su Passkey (associata al dispositivo) e selezionare Elimina.

Imporre l'uso di passkey (FIDO2) per l'accesso

Per consentire agli utenti di accedere con una passkey (FIDO2) quando accedono a una risorsa sensibile, è possibile:

  • Usare un livello di autenticazione predefinito resistente al phishing

    O

  • Creare un livello di autenticazione personalizzato

I passaggi seguenti illustrano come creare un livello di autenticazione personalizzato. Si tratta di una policy di accesso condizionale che consente il login tramite passkey (FIDO2) solo per un modello specifico di chiave di sicurezza o un provider di passkey (FIDO2). Per un elenco dei provider FIDO2, vedere Chiavi di sicurezza FIDO2 idonee per l'attestazione con Microsoft Entra ID.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.
  3. Selezionare Nuovo livello di autenticazione.
  4. Specificare un Nome per il nuovo livello di autenticazione.
  5. Facoltativamente, immettere una Descrizione.
  6. Selezionare Passkey (FIDO2).
  7. Facoltativamente, se si vuole limitare uno specifico AAGUID, selezionare Opzioni avanzate>Aggiungi AAGUID. Immettere AAGUID e selezionare Salva.
  8. Scegliere Avanti ed esaminare la configurazione del criterio.

Problemi noti

Fornitura delle chiavi di sicurezza

Il provisioning delle chiavi di sicurezza da parte degli amministratori è attualmente in versione di prova. Si consulti Microsoft Graph e i client personalizzati per effettuare il provisioning delle chiavi di sicurezza FIDO2 per conto degli utenti.

Utenti di Collaborazione B2B

La registrazione delle credenziali passkey (FIDO2) non è supportata per gli utenti di collaborazione B2B nel tenant delle risorse.

Modifiche UPN

Se il nome di accesso UPN di un utente cambia, non sarà più possibile modificare le passkey (FIDO2) in base a tale modifica. Se l'utente ha una passkey (FIDO2), deve accedere a Informazioni di sicurezza, eliminare la passkey (FIDO2) precedente e aggiungerne una nuova.

Passaggi successivi

Supporto per app native e browser dell'autenticazione senza password con passkey (FIDO2)

Chiave di sicurezza FIDO2 per l’accesso a Windows 10

Abilitare l'autenticazione FIDO2 per le risorse locali

Registrare le chiavi di sicurezza per conto degli utenti

Altre informazioni sulla registrazione dei dispositivi

Altre informazioni sull'autenticazione a più fattori di Microsoft Entra