Condividi tramite


Abilitare passkey in Microsoft Authenticator

Questo articolo elenca i passaggi necessari per abilitare e imporre l'uso di passkey in Authenticator per Microsoft Entra ID. Prima di tutto, è necessario aggiornare il criterio di Metodi di autenticazione per consentire agli utenti finali di registrarsi e accedere con passkey in Authenticator. È quindi possibile usare i criteri dei livelli di autenticazione dell'accesso condizionale per imporre l'accesso con passkey quando gli utenti accedono a una risorsa sensibile.

Requisiti

  • Autenticazione a più fattori (MFA) di Microsoft Entra
  • Android 14 e versioni successive o iOS 17 e versioni successive
  • Connessione Internet attiva in qualsiasi dispositivo che fa parte del processo di registrazione/autenticazione passkey. La connettività a questi due endpoint deve essere consentita nell'organizzazione per abilitare la registrazione e l'autenticazione tra dispositivi:
  • Per la registrazione/autenticazione tra dispositivi, entrambi i dispositivi devono avere il Bluetooth abilitato

Nota

Per usare una passkey, gli utenti devono installare l'ultima versione di Authenticator per Android o iOS.

Per altre informazioni su dove è possibile usare passkey in Authenticator per accedere, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Abilitare le passkey in Authenticator nell'interfaccia di amministrazione

Un amministratore dei criteri di autenticazione deve fornire il consenso per consentire l'autenticazione nelle Impostazioni passkey (FIDO2) dei criteri dei metodi di autenticazione. È necessario consentire in modo esplicito ai GUID di attestazione Authenticator (AAGUID) per Microsoft Authenticator al fine di consentire agli utenti di registrare passkey nell'app Authenticator. Non è disponibile alcuna impostazione per abilitare passkey nella sezione app Microsoft Authenticator dei criteri Metodi di autenticazione.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.

  3. Nel metodo Passkey (FIDO2), selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.

  4. Nella scheda Configura:

    • Impostare Consenti la configurazione self-service su . Se è impostata su No, gli utenti non possono registrare una passkey usando le Informazioni di sicurezza, anche se le passkey (FIDO2) sono abilitate dal criterio Metodi di autenticazione.

    • Impostare Imponi attestazione su .

      Quando l'attestazione è abilitata nei criteri passkey (FIDO), Microsoft Entra ID tenta di verificare la legittimità della passkey in fase di creazione. Quando l'utente registra una passkey nell'autenticatore, l'attestazione verifica che l'app Microsoft Authenticator legittima ha creato la passkey usando i servizi Apple e Google. Ecco altri dettagli:

      • iOS: l'attestazione authenticator usa il servizio di attestazione delle app iOS per garantire la legittimità dell'app Authenticator prima di registrare la passkey.

        Nota

        Il supporto per la registrazione di passkey in Authenticator quando viene applicata l'attestazione è attualmente in fase di implementazione per gli utenti dell'app Authenticator iOS. Il supporto per la registrazione di passkey attestati in Authenticator nei dispositivi Android è disponibile per tutti gli utenti nella versione più recente dell'app.

      • Android:

        • Per l'attestazione play integrity, l'attestazione Authenticator usa l'API Play Integrity per garantire la legittimità dell'app Authenticator prima di registrare la passkey.
        • Per l'attestazione chiave, l'attestazione authenticator usa l'attestazione della chiave da Android per verificare che la passkey registrata sia supportata dall'hardware.

      Nota

      Sia per iOS che per Android, l'attestazione Authenticator si basa sui servizi Apple e Google per verificare l'autenticità dell'app Authenticator. Un utilizzo elevato del servizio può rendere la registrazione passkey non riuscita e gli utenti potrebbero dover riprovare. Se i servizi Apple e Google sono inattive, l'attestazione Authenticator blocca la registrazione che richiede l'attestazione fino al ripristino dei servizi. Per monitorare lo stato del servizio integrità di Google Play, vedi Dashboard dello stato di Google Play. Per monitorare lo stato del servizio attestazione app iOS, vedere Stato del sistema.

    • Le restrizioni delle chiavi consentono di impostare l'usabilità di passkey specifiche per la registrazione e l'autenticazione. Impostare Applica restrizioni chiave su per consentire o bloccare solo determinate passkey, identificate dai relativi AAGUID.

      Questa impostazione deve essere ed è necessario aggiungere Microsoft Authenticator AAGUIDs per consentire agli utenti di registrare passkey in Authenticator, accedendo all'app Authenticator o aggiungendo Passkey in Microsoft Authenticator dalle informazioni di sicurezza personali.

      Per consentire agli utenti di scegliere Passkey in Authenticator e passare a un flusso di registrazione passkey dedicato, è necessario impostare Informazioni di sicurezza su . Se si sceglie No, gli utenti potrebbero comunque essere in grado di aggiungere una passkey in Microsoft Authenticator scegliendo la chiave di sicurezza o il metodo passkey , a seconda del sistema operativo e del browser. Tuttavia, non ci aspettiamo che molti utenti rilevino e usino tale metodo.

      Se l'organizzazione non impone attualmente restrizioni delle chiavi e usa già attivamente le passkey, è consigliabile raccogliere gli AAGUID delle chiavi attualmente in uso. Includere gli utenti e gli AAGUID authenticator. A tale scopo, è possibile usare uno script automatizzato che analizza i log, ad esempio i dettagli di registrazione e i log di accesso.

      Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per accedere.

    • Impostare Limita chiavi specifiche su Consenti.

    • Selezionare Microsoft Authenticator per aggiungere automaticamente l'app Authenticator AAGUIDs all'elenco delle restrizioni delle chiavi oppure aggiungere manualmente gli AAGUID seguenti per consentire agli utenti di registrare passkey nell'autenticatore accedendo all'app Authenticator o passando attraverso un flusso guidato nella pagina Informazioni di sicurezza:

      • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Nota

      Se si disattivano le ritricazioni chiave, assicurarsi di deselezionare la casella di controllo Microsoft Authenticator in modo che agli utenti non venga richiesto di configurare una passkey nell'app Authenticator in Informazioni di sicurezza.

    Screenshot che mostra Microsoft Authenticator abilitato per la passkey.

  5. Al termine della configurazione, selezionare Salva.

    Nota

    Se viene visualizzato un errore quando si tenta di salvare, sostituire più gruppi con un singolo gruppo in un'unica operazione e quindi fare di nuovo clic su Salva.

Abilitare le passkey in Authenticator con Graph Explorer

Oltre all'Interfaccia di amministrazione di Microsoft Entra, è anche possibile usare Graph explorer per abilitare passkey in Authenticator. Gli utenti a cui è assegnato almeno il ruolo Amministratore dei criteri di autenticazione possono aggiornare il criterio di Metodi di autenticazione per consentire gli AAGUID per Authenticator.

Per configurare il criterio con Graph explorer:

  1. Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recuperare il criterio di Metodi di autenticazione:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Per disabilitare l'imposizione dell'attestazione e imporre restrizioni delle chiavi per consentire solo AAGUID per Microsoft Authenticator, eseguire un'operazione PATCH usando il corpo della richiesta seguente:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Assicurarsi che il criterio della passkey (FIDO2) venga aggiornato correttamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Limitare l'utilizzo di Bluetooth ai passkey in Authenticator

Alcune organizzazioni limitano l'utilizzo di Bluetooth, che include l'uso di passkey. In questi casi, le organizzazioni possono consentire passkey consentendo l'associazione Bluetooth esclusivamente con autenticatori FIDO2 abilitati per passkey. Per altre informazioni su come configurare l'utilizzo bluetooth solo per le passkey, vedere Passkeys in ambienti con restrizioni Bluetooth.

Eliminare una passkey

Se un utente elimina una passkey in Authenticator, la passkey viene rimossa anche dai metodi di accesso dell'utente. Un amministratore dei criteri di autenticazione può anche seguire questi passaggi per eliminare una passkey dai metodi di autenticazione dell'utente, ma non rimuoverà la passkey da Authenticator.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra e cercare l'utente la cui passkey deve essere rimossa.
  2. Selezionare Metodi di autenticazione>, fare clic con il pulsante destro del mouse su Chiave di sicurezza FIDO2 e selezionare Elimina.

Nota

A meno che l'utente non ha avviato l'eliminazione passkey stessa in Authenticator, è necessario rimuovere anche la passkey in Authenticator nel dispositivo.

Imporre l'accesso con passkey in Authenticator

Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, usare il livello di autenticazione predefinito resistente al phishing o creare un livello di autenticazione personalizzato seguendo questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.

  3. Selezionare Nuovo livello di autenticazione.

  4. Immettere un nome descrittivo per il nuovo livello di autenticazione.

  5. Facoltativamente, immettere una descrizione.

  6. Selezionare Passkey (FIDO2) e quindi Opzioni avanzate.

  7. È possibile selezionare La forza MFA resistente al phishing o aggiungere AAGUID per le passkey in Authenticator:

    • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f
  8. Scegliere Avanti ed esaminare la configurazione criterio.

Passaggi successivi

Supporto per la passkey in Windows