Matrice di autenticazione Passkey (FIDO2) con MICROSOFT Entra ID

Microsoft Entra ID consente l'uso di passkey (FIDO2) per l'autenticazione senza password a più fattori. Questo articolo illustra le applicazioni native, i Web browser e i sistemi operativi che supportano l'accesso tramite passkey con Microsoft Entra ID.

Per abilitare le chiavi di sicurezza FIDO2 per sbloccare un dispositivo Windows, vedi Abilitare l'accesso con chiave di sicurezza FIDO2 ai dispositivi Windows 10 e 11 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo in passkey sincronizzate e associate a dispositivi per gli account aziendali.

Web browser

La sezione seguente illustra il supporto per l'autenticazione passkey (FIDO2) nei Web browser con Microsoft Entra ID.

Sistema operativo	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	N/D
macOS	✅	✅	✅	✅
ChromeOS	✅	N/D	N/D	N/D
Linux	✅	✅	✅	N/D
iOS	✅	✅	✅	✅
Android	✅	✅	❌	N/D

Considerazioni per ogni piattaforma

Finestre

• L'accesso con chiave di sicurezza richiede uno degli elementi seguenti:
  • Windows 10 versione 1903 o successiva
  • Microsoft Edge basato su Chromium
  • Chrome 76 o versione successiva
  • Firefox 66 o versione successiva

macOS

• L'accesso con passkey richiede macOS Catalina 11.1 o versione successiva con Safari 14 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza NFC (Near Field Communication) e Bluetooth Low Energy (BLE) non sono supportate in macOS da Apple.
• La nuova registrazione della chiave di sicurezza non funziona in questi browser macOS perché non richiede di configurare la biometria o il PIN.
• Consulta Accedi quando più di tre passkey vengono registrate per Safari su MacOS.

ChromeOS

• Le chiavi di sicurezza NFC e BLE non sono supportate in ChromeOS da Google.
• La registrazione della chiave di sicurezza non è supportata nel browser ChromeOS o Chrome.

Linux

• L'accesso con passkey in Microsoft Authenticator non è supportato in Firefox in Linux.

iOS

• L'accesso con passkey richiede iOS 14.3 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza BLE non sono supportate in iOS da Apple.
• NFC con chiavi di sicurezza certificate FIPS 140-3 non è supportato in iOS da Apple.
• La nuova registrazione della chiave di sicurezza non funziona nei browser iOS perché non richiede di configurare la biometria o il PIN.
• Vedere Accedere quando vengono registrati più di tre passkey.

Android

• L'accesso con passkey richiede Google Play Services 21 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza BLE non sono supportate in Android da Google.
• La registrazione della chiave di sicurezza con Microsoft Entra ID non è ancora supportata in Android.
• L'accesso con passkey non è supportato in Firefox in Android.

Problemi noti

Accedere quando vengono registrati più di tre passkey

Se sono stati registrati più di tre passkey, l'accesso con una passkey potrebbe non funzionare in iOS o Safari in macOS. Se sono presenti più di tre passkey, come soluzione alternativa, fare clic su Opzioni di accesso e accedere senza immettere un nome utente.

app nativa

La sezione seguente illustra il supporto per l'autenticazione passkey (FIDO2) nelle applicazioni Microsoft e di terze parti con Microsoft Entra ID.

Nota

L'autenticazione passkey con un provider di identità di terze parti (IDP) non è supportata nelle applicazioni di terze parti che usano il broker di autenticazione o le applicazioni Microsoft in macOS, iOS o Android in questo momento.

Supporto di applicazioni native con broker di autenticazione

Le applicazioni Microsoft forniscono supporto nativo per l'autenticazione passkey per tutti gli utenti che dispongono di un broker di autenticazione installato per il sistema operativo. L'autenticazione passkey è supportata anche per le applicazioni di terze parti che usano il broker di autenticazione.

Se un utente ha installato un broker di autenticazione, può scegliere di accedere con una passkey quando accede a un'applicazione, ad esempio Outlook. Vengono reindirizzati all'accesso con passkey e reindirizzati a Outlook come utente connesso dopo l'autenticazione completata.

Nella tabella seguente sono elencati i broker di autenticazione supportati per i diversi sistemi operativi.

Sistema operativo	Broker di autenticazione
iOS	Microsoft Authenticator
macOS	Portale aziendale di Microsoft Intune
Android	Autenticatore, Portale aziendale o app di Collegamento a Windows

Supporto di applicazioni Microsoft senza broker di autenticazione

La tabella seguente elenca il supporto delle applicazioni Microsoft per passkey (FIDO2) senza un broker di autenticazione. Aggiornare le app alla versione più recente per assicurarsi che funzionino con passkey.

Applicazione	macOS	iOS	Android
Desktop remoto	✅	✅	❌
App Windows	✅	✅	❌
Microsoft 365 Copilot (Office)	N/D	✅	❌
Parola	✅	✅	❌
PowerPoint	✅	✅	❌
Excel	✅	✅	❌
OneNote	✅	✅	❌
Loop	N/D	✅	❌
OneDrive	✅	✅	❌
Prospettiva	✅	✅	❌
Squadre	✅	✅	❌
Edge	✅	✅	❌

Supporto di applicazioni di terze parti senza broker di autenticazione

Se l'utente deve ancora installare un broker di autenticazione, può comunque registrarsi con una passkey quando accede alle applicazioni abilitate per MSAL. Per altre informazioni sui requisiti per le applicazioni abilitate per MSAL, vedi Supportare l'autenticazione senza password con chiavi FIDO2 nelle app che sviluppi.

Considerazioni per ogni piattaforma

Finestre

• L'accesso con chiave di sicurezza FIDO2 alle app native richiede Windows 10 versione 1903 o successiva.
• L'accesso con passkey in Microsoft Authenticator alle app native richiede Windows 11 versione 22H2 o successiva.
• Microsoft Graph PowerShell supporta il passkey (FIDO2). Alcuni moduli di PowerShell che usano Internet Explorer invece di Edge non riescono a eseguire l'autenticazione FIDO2. Ad esempio, i moduli di PowerShell per SharePoint Online o Teams oppure tutti gli script di PowerShell che richiedono credenziali di amministratore, non richiedono FIDO2.
  • Come soluzione alternativa, la maggior parte dei fornitori può inserire i certificati nelle chiavi di sicurezza FIDO2. L'autenticazione basata su certificati (CBA) funziona in tutti i browser. Se puoi abilitare l'autenticazione basata su certificati per tali account amministratore, nel frattempo puoi richiedere tale tipo di autenticazione invece di FIDO2.

iOS

• L'accesso con passkey nelle app native senza plug-in Single Sign-On (SSO) di Microsoft Enterprise richiede iOS 16.0 o versione successiva.
• L'accesso con passkey nelle app native con il plug-in SSO richiede iOS 17.1 o versione successiva.

macOS

• Su macOS, il plug-in Microsoft Enterprise Single Sign On (SSO) è necessario per abilitare il Portale aziendale come broker di autenticazione. I dispositivi che eseguono macOS devono soddisfare i requisiti del plug-in SSO, inclusa la registrazione nella gestione di dispositivi mobili.
• L'accesso con passkey nelle app native con il plug-in SSO richiede macOS 14.0 o versione successiva.

Android

• L'accesso con chiave di sicurezza FIDO2 alle app native richiede Android 13 o versione successiva.
• L'accesso con passkey in Microsoft Authenticator alle app native richiede Android 14 o versione successiva.
• L'accesso con chiavi di sicurezza FIDO2 prodotte da Yubico con YubiOTP abilitato potrebbe non funzionare nei dispositivi Samsung Galaxy. Come soluzione alternativa, gli utenti possono disabilitare YubiOTP e tentare di accedere di nuovo.

Passaggi successivi

Abilitare l'accesso con chiave di sicurezza senza password