Condividi tramite

Supportare passkey in Microsoft Authenticator nel tenant di Microsoft Entra ID

  • Articolo

In questo argomento vengono illustrati i problemi che gli utenti potrebbero vedere quando usano passkey in Microsoft Authenticator e i possibili modi per risolverli.

Archiviazione di passkey nei profili Android

I passkey in Android possono essere usati solo dal profilo in cui sono archiviati. Una passkey archiviata in un profilo di lavoro Android può essere usata solo da tale profilo. Una passkey in un profilo personale Android può essere usata solo da tale profilo. Per assicurarsi che gli utenti possano accedere e usare la passkey necessaria, gli utenti con profilo Android Personal e Android Work devono creare i passkey in Microsoft Authenticator per ogni profilo.

Soluzioni alternative per un ciclo di criteri di accesso condizionale di livello di autenticazione

Gli utenti possono trovarsi in un ciclo quando tentano di aggiungere una passkey in Microsoft Authenticator se una policy di accesso condizionale richiede un'autenticazione resistente al phishing per accedere Tutte le risorse (in precedenza "Tutte le app cloud"). Per esempio:

  • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
  • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
  • Grant control: Authentication strength – Require passkey in Authenticator (Concedi controllo: livello di autenticazione - Richiedi passkey nell'autenticatore)

Il criterio impone agli utenti mirati di usare una passkey per accedere a tutte le applicazioni cloud, che comprende l'app Microsoft Authenticator. Richiede agli utenti di usare una passkey quando tentano di aggiungere una passkey su Authenticator su Android o iOS.

Esistono due soluzioni alternative:

  • È possibile filtrare le applicazioni e passare la destinazione dei criteri da Tutte le risorse (in precedenza "Tutte le app cloud") a applicazioni specifiche. Iniziare con una revisione delle applicazioni usate nel tenant e usare i filtri per contrassegnare Microsoft Authenticator e altre applicazioni.

  • Per ridurre ulteriormente i costi di supporto, è possibile eseguire una campagna interna per aiutare gli utenti ad adottare passkey prima di applicarli. Quando si è pronti per applicare l'utilizzo passkey, creare due criteri di accesso condizionale:

    • Criteri per le versioni del sistema operativo mobile
    • Criteri per le versioni del sistema operativo desktop

    Richiedere un livello di autenticazione diverso per ogni criterio e configurare altre impostazioni dei criteri elencate nella tabella seguente. È possibile abilitare un TAP (Temporary Access Pass) per gli utenti o abilitare altri metodi di autenticazione per consentire agli utenti di registrare la passkey.

    Un TAP limita il tempo in cui gli utenti possono registrare una passkey ed è possibile accettarlo solo nelle piattaforme mobili in cui si consente la registrazione passkey.

    Criteri di accesso condizionale Sistema operativo desktop Sistema operativo mobile
    Nome Richiedere una passkey in Authenticator per accedere a un sistema operativo desktop Richiedere un TAP, una credenziale resistente al phishing o qualsiasi altro metodo di autenticazione specificato per accedere a un sistema operativo mobile
    Condizione Dispositivi specifici (sistemi operativi desktop) Dispositivi specifici (sistemi operativi mobili)
    Dispositivi N/D Android, iOS
    Escludere i dispositivi Android, iOS N/D
    Risorsa di destinazione Tutte le risorse Tutte le risorse
    Concedere il controllo Livello di autenticazione Livello di autenticazione1
    Metodi Passkey in Microsoft Authenticator TAP, passkey in Microsoft Authenticator.
    Risultato dei criteri Gli utenti che non possono accedere con una passkey in Authenticator vengono indirizzati alla modalità guidata Accessi personali. Dopo la registrazione, viene chiesto di accedere a Authenticator nel dispositivo mobile. Gli utenti che accedono a Authenticator con un TAP o un altro metodo consentito possono registrare una passkey direttamente in Authenticator. Non si verifica alcun ciclo perché l'utente soddisfa i requisiti di autenticazione.

    1Per consentire agli utenti di registrare nuovi metodi di accesso, il controllo delle concessioni per i criteri per dispositivi mobili deve corrispondere ai criteri di accesso condizionale per registrare le informazioni di sicurezza.

Nota

Con una delle soluzioni alternative, gli utenti devono soddisfare anche qualsiasi criterio di accesso condizionale destinato a Registrare le informazioni di sicurezza oppure non possono registrare la passkey. Inoltre, se sono state configurate altre condizioni con i criteri Tutte le risorse , tali condizioni dovranno essere soddisfatte durante la registrazione della passkey.

Soluzioni alternative per gli utenti che non possono registrare le chiavi di accesso a causa della richiesta di un'app client approvata o dei controlli di concessione di accesso condizionale o criteri di protezione dell'app.

Gli utenti non possono registrare passkey in Authenticator se sono inclusi nei criteri di accesso condizionale seguenti:

  • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
  • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
  • Concedi controllo: Richiedi che l'app client approvata sia richiesta o Richiedi che il criterio di protezione delle app sia richiesto.

I criteri forzano gli utenti ad accedere a tutte le applicazioni cloud usando un'app che supporta i criteri di protezione delle app di Microsoft Intune. Microsoft Authenticator non supporta questo criterio, in Android o iOS.

Esistono due soluzioni alternative:

  • È possibile filtrare per applicazionie modificare il target della politica da Tutte le risorse (in precedenza "Tutte le app cloud") ad applicazioni specifiche. Iniziare con una revisione delle applicazioni usate nel tenant e usare i filtri per contrassegnare le applicazioni appropriate.

  • Puoi usare la gestione dei dispositivi mobili (MDM) e il controllo richiedi che il dispositivo sia contrassegnato come conforme. Microsoft Authenticator può soddisfare questo controllo delle autorizzazioni se MDM gestisce completamente il dispositivo ed è conforme. Per esempio:

    • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
    • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
    • Concedi controllo: Richiedi che l'app client sia approvata oppure richiedi criteri di protezione delle app o richiedi che il dispositivo sia contrassegnato come conforme

  • È possibile concedere agli utenti un'esenzione temporanea dai criteri di accesso condizionale. Microsoft consiglia di usare uno o più controlli di compensazione:

    • Consentire l'esenzione solo per un periodo di tempo limitato. Comunicare all'utente finale quando è autorizzato a registrare una passkey. Rimuovere l'esenzione dopo il periodo di tempo e indirizzare gli utenti a contattare l'assistenza se hanno mancato il loro orario.
    • Usare un altro criterio di accesso condizionale per richiedere che gli utenti si registrino solo da un percorso di rete specifico o da un dispositivo conforme.

Nota

Con qualsiasi soluzione alternativa proposta, gli utenti devono soddisfare anche qualsiasi criterio di accesso condizionale destinato a Registrare le informazioni di sicurezza, altrimenti non possono registrare la passkey. Se sono state configurate altre condizioni con i criteri di Tutte le risorse, devono essere soddisfatte anche prima che gli utenti possano registrare una passkey.

Limitare l'utilizzo di Bluetooth ai passkey in Authenticator

Alcune organizzazioni limitano l'utilizzo di Bluetooth, che include l'uso di passkey. In questi casi, le organizzazioni possono consentire passkey consentendo l'associazione Bluetooth esclusivamente con autenticatori FIDO2 abilitati per passkey. Per altre informazioni su come configurare l'utilizzo bluetooth solo per le passkey, vedere Passkeys in ambienti con restrizioni Bluetooth.

Contenuto correlato

Per altre informazioni sulle passkey in Authenticator, vedere Metodo di autenticazione di Microsoft Authenticator. Per abilitare passkey in Authenticator come modo per consentire agli utenti di accedere, vedere Abilitare passkey in Microsoft Authenticator .