Distribuire un'opzione di sostituzione senza password
Il primo passaggio per la libertà delle password consiste nel fornire un'alternativa alle password.
Windows offre un'alternativa semplice e conveniente alle password, Windows Hello for Business. Un'altra opzione consiste nell'usare le chiavi di sicurezza FIDO2, ma richiedono all'organizzazione di acquistarle e distribuirle.
Entrambe le opzioni offrono un'autenticazione avanzata a due fattori per Microsoft Entra ID e Active Directory.
Identificare gli utenti di test che rappresentano l'utente di lavoro di destinazione
Una transizione riuscita si basa sul test di accettazione degli utenti. È impossibile sapere in che modo ogni persona di lavoro esegue le attività quotidiane o come convalidarle con precisione. È necessario richiedere l'aiuto degli utenti che si adattano alla persona di lavoro di destinazione. Sono necessari solo alcuni utenti dell'utente di lavoro di destinazione. Durante il passaggio 2, è possibile modificare alcuni utenti (o aggiungerne alcuni) come parte del processo di convalida.
Distribuire Windows Hello for Business o le chiavi di sicurezza FIDO2 per testare gli utenti
Si vuole quindi pianificare la distribuzione della sostituzione della password. Gli utenti di test hanno bisogno di un modo alternativo per accedere durante il passaggio 2 del percorso per diventare senza password. Usare la guida alla pianificazione Windows Hello for Business per apprendere quale distribuzione è più adatta per l'ambiente in uso. Usare quindi una delle guide alla distribuzione per distribuire Windows Hello for Business. Con l'infrastruttura Windows Hello for Business, è possibile limitare le registrazioni Windows Hello for Business agli utenti di lavoro di destinazione. La grande notizia è che è necessario distribuire l'infrastruttura una sola volta. Quando altri utenti di lavoro di destinazione devono iniziare a usare Windows Hello for Business, aggiungerli a un gruppo. Si usa il primo utente di lavoro per convalidare la distribuzione Windows Hello for Business.
Se si decide di usare le chiavi di sicurezza FIDO2, seguire la guida Abilita accesso alla chiave di sicurezza a Windows per informazioni su come adottare le chiavi di sicurezza FIDO2.
Nota
Le distribuzioni variano in base al modo in cui il dispositivo viene aggiunto a Microsoft Entra ID. Consultare la guida alla pianificazione per informazioni sul tipo di infrastruttura necessaria per supportare i dispositivi.
Convalidare le password e le chiavi di sicurezza Windows Hello for Business o FIDO2
In questo primo passaggio, le password e la scelta di sostituzione della password devono coesistere. Si vogliono convalidare tutti gli scenari mentre gli utenti di lavoro di destinazione possono accedere e sbloccare usando Windows Hello o chiavi di sicurezza. Gli utenti possono anche accedere, sbloccare e usare le password in base alle esigenze. Ridurre troppo presto la superficie delle password visibile all'utente può creare frustrazione e confusione con gli utenti di destinazione.
Passaggi successivi
Prima di passare al passaggio 2, assicurarsi di aver:
- Selezione della persona di lavoro di destinazione
- Sono stati identificati gli utenti di test che rappresentano l'utente di lavoro di destinazione
- Distribuzione di chiavi di sicurezza Windows Hello for Business o FIDO2 per testare gli utenti
- Convalidato che sia la scelta di sostituzione della password che le password funzionino per gli utenti di test