Condividi tramite

Supportare le passkey in Authenticator nel tenant di Microsoft Entra ID

  • Articolo

Questo articolo illustra i problemi che gli utenti potrebbero vedere quando usano passkey in Authenticator e i possibili modi per gli amministratori per risolverli.

Archiviare passkey nei profili Android

I passkey in Android vengono usati solo dal profilo in cui sono archiviati. Se una passkey viene archiviata in un profilo di lavoro Android, viene usata da tale profilo. Se una passkey viene archiviata in un profilo Android Personal, viene usata da tale profilo. Per assicurarsi che gli utenti possano accedere e usare la passkey necessaria, gli utenti con un profilo Android Personal e un profilo Android Work devono creare i passkey in Authenticator per ogni profilo.

Soluzioni alternative

Usare le soluzioni alternative seguenti per i problemi di passkey di Authenticator.

Soluzioni alternative per un ciclo di criteri di accesso condizionale di livello di autenticazione

Gli utenti possono incorrere in un loop quando tentano di aggiungere una chiave di accesso in Authenticator se un criterio di accesso condizionale richiede l'autenticazione resistente al phishing per accedere a Tutte le risorse (in precedenza "Tutte le app cloud"). Per esempio:

  • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
  • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
  • Grant control: Authentication strength – Require passkey in Authenticator (Concedi controllo: livello di autenticazione - Richiedi passkey nell'autenticatore)

Il criterio impone agli utenti di usare una passkey per accedere a tutte le applicazioni cloud, che include l'app Authenticator. Richiede agli utenti di usare una passkey quando tentano di aggiungere una passkey su Authenticator su Android o iOS.

Ecco alcune soluzioni alternative:

  • È possibile filtrare le applicazioni e passare la destinazione dei criteri da Tutte le risorse (in precedenza "Tutte le app cloud") a applicazioni specifiche. Iniziare con una revisione delle applicazioni usate nel tenant. Usare i filtri per contrassegnare Authenticator e altre applicazioni.

  • Per ridurre ulteriormente i costi di supporto, è possibile eseguire una campagna interna per aiutare gli utenti ad adottare passkey prima di applicarli. Quando sei pronto a imporre l'uso delle passkey, crea due Criteri di Accesso Condizionale.

    • Criteri per le versioni del sistema operativo mobile
    • Politica per le versioni del sistema operativo desktop

    Richiedere un livello di autenticazione diverso per ogni criterio e configurare altre impostazioni dei criteri elencate nella tabella seguente. È possibile abilitare un TAP (Temporary Access Pass) per gli utenti o abilitare altri metodi di autenticazione per consentire agli utenti di registrare la passkey.

    Un TAP limita il tempo in cui gli utenti possono registrare una passkey. È possibile accettarlo solo nelle piattaforme mobili in cui si consente la registrazione passkey.

    Criteri di accesso condizionale Sistema operativo desktop Sistema operativo mobile
    Nome Richiedere una passkey nell'Authenticator per accedere a un sistema operativo desktop. Richiedere un TAP, una credenziale resistente al phishing o qualsiasi altro metodo di autenticazione specificato per accedere a un sistema operativo mobile.
    Condizione Dispositivi specifici (sistemi operativi desktop). Dispositivi specifici (sistemi operativi mobili).
    Dispositivi Non disponibile. Android, iOS.
    Escludere i dispositivi Android, iOS. Non disponibile.
    Risorsa di destinazione Tutte le risorse. Tutte le risorse.
    Concedere il controllo Livello di autenticazione. Livello di autenticazione.1
    Metodi Chiave di Accesso in Authenticator. TAP, passkey in Authenticator.
    Risultato dei criteri Gli utenti che non possono accedere con una passkey in Authenticator vengono indirizzati alla modalità di accesso personale procedura guidata. Dopo la registrazione, viene chiesto di accedere a Authenticator nel dispositivo mobile. Gli utenti che accedono a Authenticator con un TAP o un altro metodo consentito possono registrare una passkey direttamente in Authenticator. Non si verifica alcun ciclo perché l'utente soddisfa i requisiti di autenticazione.

    1Per consentire agli utenti di registrare nuovi metodi di accesso, il controllo delle concessioni per i criteri per dispositivi mobili deve corrispondere ai criteri di accesso condizionale per registrare le informazioni di sicurezza.

Nota

Con entrambi i metodi alternativi, gli utenti devono anche soddisfare qualsiasi criteri di accesso condizionale destinati a Registrare le informazioni di sicurezza, altrimenti non possono registrare la chiave di accesso. Se hai configurato altre condizioni con i criteri di Tutte le risorse, quelle condizioni devono essere soddisfatte al momento della registrazione della chiave di accesso.

Utenti che non possono registrare passkey a causa di Richiedi app client approvata o Richiedi controlli di concessione dell'accesso condizionale dei criteri di protezione delle app

Gli utenti non possono registrare passkey in Authenticator se sono inclusi nei criteri di accesso condizionale seguenti:

  • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
  • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
  • Concedi controllo: Richiedi che l'app client approvata sia richiesta o Richiedi che il criterio di protezione delle app sia richiesto.

I criteri forzano gli utenti ad accedere a tutte le applicazioni cloud usando un'app che supporta i criteri di protezione delle app di Microsoft Intune. Authenticator non supporta questo criterio in Android o iOS.

Ecco alcune soluzioni alternative:

  • È possibile filtrare le applicazioni e passare la destinazione dei criteri da Tutte le risorse (in precedenza "Tutte le app cloud") a applicazioni specifiche. Iniziare con una revisione delle applicazioni usate nel tenant. Usare i filtri per contrassegnare le applicazioni appropriate.

  • Puoi usare la gestione dei dispositivi mobili (MDM) e il controllo richiedi che il dispositivo sia contrassegnato come conforme. L'autenticatore può soddisfare questo controllo di concessione se MDM gestisce interamente il dispositivo ed esso è conforme. Per esempio:

    • Condizione: Tutti i dispositivi (Windows, Linux, macOS, Windows, Android)
    • Risorsa di destinazione: tutte le risorse (in precedenza "Tutte le app cloud")
    • Concedi controllo: Richiedi app client approvate, o richiedi criteri di protezione delle app, o richiedi che il dispositivo sia contrassegnato come conforme

  • È possibile concedere agli utenti un'esenzione temporanea dai criteri di accesso condizionale. È consigliabile usare uno o più controlli di compensazione:

    • Consentire l'esenzione solo per un periodo di tempo limitato. Comunicare all'utente quando è autorizzato a registrare una passkey. Rimuovere l'esenzione dopo il periodo di tempo. Quindi indirizzare gli utenti a chiamare l'help desk se hanno perso il loro appuntamento.
    • Usare un altro criterio di accesso condizionale per richiedere che gli utenti si registrino solo da un percorso di rete specifico o da un dispositivo conforme.

Nota

Con qualsiasi soluzione alternativa proposta, gli utenti devono soddisfare anche qualsiasi criterio di accesso condizionale inteso a registrare le informazioni di sicurezza, altrimenti non potranno registrare la passkey. Se sono state configurate altre condizioni con i criteri di Tutte le risorse, devono essere soddisfatte anche prima che gli utenti possano registrare una passkey.

Limitare l'utilizzo di Bluetooth ai passkey in Authenticator

Alcune organizzazioni limitano l'utilizzo di Bluetooth, che include l'uso di passkey. In tali casi, le organizzazioni possono abilitare le passkey permettendo l'associazione Bluetooth esclusivamente con autenticatori FIDO2 abilitati per le passkey. Per altre informazioni su come configurare l'utilizzo bluetooth solo per le passkey, vedere Passkeys in ambienti con restrizioni Bluetooth.

Contenuto correlato