Opzioni di autenticazione senza password per Microsoft Entra ID

Le funzionalità come l'autenticazione a più fattori (MFA) sono un ottimo modo per proteggere l'organizzazione, ma gli utenti spesso si frustrano con il livello di sicurezza aggiuntivo oltre a dover ricordare le password. I metodi di autenticazione senza password sono più pratici perché la password viene rimossa e sostituita con un elemento o qualcosa che si è o si conosce.

Autenticazione Un'informazione disponibile Caratteristica fisica o informazione nota
Senza password Dispositivo Windows 10, telefono o chiave di sicurezza Dati biometrici o PIN

Ogni organizzazione presenta esigenze diverse per quanto riguarda l'autenticazione. Microsoft Entra ID e Azure per enti pubblici integrare le opzioni di autenticazione senza password seguenti:

  • Windows Hello for Business (Configurare Windows Hello for Business)
  • Credenziali della piattaforma per macOS
  • Platform Single Sign-On (PSSO) per macOS con l'autenticazione tramite smart card
  • Microsoft Authenticator
  • Passkeys (FIDO2)
  • Autenticazione basata su certificati

Autenticazione: sicurezza e praticità

Windows Hello for Business (Configurare Windows Hello for Business)

Windows Hello for Business è ideale per gli Information Worker che hanno il proprio PC Windows designato. Le credenziali biometriche e PIN sono direttamente associate al PC dell'utente, impedendo l'accesso a chiunque non sia il proprietario. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.

Esempio di accesso utente con Windows Hello for Business.

I passaggi seguenti illustrano come funziona il processo di accesso con Microsoft Entra ID:

Diagramma che descrive i passaggi necessari per l'accesso utente con Windows Hello for Business

  1. Un utente accede a Windows usando dati biometrici o PIN basati sul movimento della mano. Il movimento sblocca la chiave privata di Windows Hello for Business e viene inviato al provider di supporto per la sicurezza dell'autenticazione cloud, denominato Cloud Authentication Provider (CloudAP). Per altre informazioni su CloudAP, vedere Che cos'è un token di aggiornamento primario?.
  2. CloudAP richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
  3. Microsoft Entra ID restituisce un nonce valido per 5 minuti.
  4. CloudAP firma il nonce usando la chiave privata dell'utente e restituisce il nonce firmato all'ID Microsoft Entra.
  5. Microsoft Entra ID convalida il nonce firmato usando la chiave pubblica dell'utente registrata in modo sicuro nella firma del nonce. Microsoft Entra ID convalida la firma e quindi convalida il nonce firmato restituito. Quando il nonce viene convalidato, Microsoft Entra ID crea un token di aggiornamento primario (PRT) con chiave di sessione crittografata nella chiave di trasporto del dispositivo e lo restituisce a CloudAP.
  6. CloudAP riceve il token di aggiornamento primario crittografato con la chiave di sessione. CloudAP usa la chiave di trasporto privata del dispositivo per decrittografare la chiave di sessione e protegge la chiave di sessione usando il modulo TPM (Trusted Platform Module) del dispositivo.
  7. CloudAP restituisce una risposta di autenticazione riuscita a Windows. L'utente può quindi accedere alle applicazioni Windows e cloud e locali usando l'accesso SSO (Seamless Sign-On).

La guida alla pianificazione di Windows Hello for Business può essere usata per prendere decisioni sul tipo di distribuzione di Windows Hello for Business e sulle opzioni da prendere in considerazione.

Credenziali della piattaforma per macOS

Platform Credential per macOS è una nuova funzionalità in macOS abilitata tramite l'estensione Microsoft Enterprise Per l'accesso Single Sign-On (SSOe). Effettua il provisioning di una chiave crittografica protetta con associazione hardware supportata dall'enclave usata per l'accesso SSO tra le app che usano Microsoft Entra ID per l'autenticazione. La password dell'account locale dell'utente non è interessata ed è necessaria per accedere al Mac.

Screenshot che mostra un esempio di finestra popup che richiede all'utente di registrare l'account macOS con il provider di identità usando Platform Single Sign-On.

Le credenziali della piattaforma per macOS consentono agli utenti di passare senza password configurando Touch ID per sbloccare il dispositivo e usa credenziali resistenti al phishing, basate sulla tecnologia Windows Hello for Business. In questo modo le organizzazioni dei clienti risparmiano denaro rimuovendo la necessità di chiavi di sicurezza e avanzando gli obiettivi Zero Trust usando l'integrazione con l'enclave sicuro.

Le credenziali della piattaforma per macOS possono essere usate anche come credenziali resistenti al phishing per l'uso in problemi di WebAuthn, inclusi gli scenari di riautenticazione del browser. Gli amministratori dei criteri di autenticazione devono abilitare il metodo di autenticazione Passkey (FIDO2) per supportare le credenziali della piattaforma per macOS come credenziali resistenti al phishing. Se si usano i criteri di restrizione delle chiavi nei criteri FIDO, è necessario aggiungere AAGUID per le credenziali della piattaforma macOS all'elenco di AAGUID consentiti: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

Diagramma che illustra i passaggi necessari per l'accesso utente con macOS Platform SSO.

  1. Un utente sblocca macOS usando l'impronta digitale o il movimento della password, che sblocca il contenitore delle chiavi per fornire l'accesso a UserSecureEnclaveKey.
  2. MacOS richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
  3. Microsoft Entra ID restituisce un nonce valido per 5 minuti.
  4. Il sistema operativo invia una richiesta di accesso a Microsoft Entra ID con un'asserzione incorporata firmata con UserSecureEnclaveKey che risiede nell'enclave sicuro.
  5. Microsoft Entra ID convalida l'asserzione firmata usando la chiave pubblica registrata in modo sicuro dell'utente della chiave UserSecureEnclave. Microsoft Entra ID convalida la firma e il nonce. Dopo aver convalidato l'asserzione, Microsoft Entra ID crea un token di aggiornamento primario (PRT) crittografato con la chiave pubblica di UserDeviceEncryptionKey scambiata durante la registrazione e invia la risposta al sistema operativo.
  6. Il sistema operativo decrittografa e convalida la risposta, recupera i token SSO, archivia e lo condivide con l'estensione SSO per fornire l'accesso SSO. L'utente è in grado di accedere alle applicazioni macOS, cloud e locali tramite SSO.

Per altre informazioni su come configurare e distribuire Platform Credential for macOS per macOS, vedere macOS Platform SSO (SSO della piattaforma).

Single Sign-On della piattaforma per macOS con SmartCard

Platform Single Sign-On (PSSO) per macOS consente agli utenti di passare senza password usando il metodo di autenticazione SmartCard. L'utente accede al computer usando una smart card esterna o un token rigido compatibile con smart card (ad esempio Yubikey). Una volta sbloccato il dispositivo, la smart card viene usata con Microsoft Entra ID per concedere l'accesso SSO tra le app che usano l'ID Microsoft Entra per l'autenticazione usando l'autenticazione basata su certificato (CBA). L'autorità di certificazione deve essere configurata e abilitata per consentire agli utenti di usare questa funzionalità. Per la configurazione dell'autorità di certificazione, vedere Come configurare l'autenticazione basata su certificati Microsoft Entra.

Per abilitarla, un amministratore deve configurare PSSO usando Microsoft Intune o un'altra soluzione mobile Gestione dispositivi (MDM) supportata.

Diagramma che illustra i passaggi necessari per l'accesso utente con macOS Platform SSO.

  1. Un utente sblocca macOS usando il pin della smart card, che sblocca la smart card e il contenitore delle chiavi per fornire l'accesso alle chiavi di registrazione del dispositivo presenti in Secure Enclave.
  2. MacOS richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
  3. Microsoft Entra ID restituisce un nonce valido per 5 minuti.
  4. Il sistema operativo invia una richiesta di accesso a Microsoft Entra ID con un'asserzione incorporata firmata con il certificato Microsoft Entra dell'utente dalla smart card.
  5. Microsoft Entra ID convalida l'asserzione, la firma e il nonce firmati. Dopo aver convalidato l'asserzione, Microsoft Entra ID crea un token di aggiornamento primario (PRT) crittografato con la chiave pubblica di UserDeviceEncryptionKey scambiata durante la registrazione e invia la risposta al sistema operativo.
  6. Il sistema operativo decrittografa e convalida la risposta, recupera i token SSO, archivia e lo condivide con l'estensione SSO per fornire l'accesso SSO. L'utente è in grado di accedere alle applicazioni macOS, cloud e locali tramite SSO.

Microsoft Authenticator

È anche possibile consentire al dipendente di usare il suo telefono come metodo di autenticazione senza password. È già possibile usare l'app Authenticator come opzione di autenticazione a più fattori utile oltre a una password. È anche possibile usare l'app Authenticator come opzione senza password.

Accedere a Microsoft Edge con Microsoft Authenticator

L'app Authenticator trasforma qualsiasi telefono iOS o Android in una credenziale senza password sicura ed efficace. Gli utenti possono accedere a qualsiasi piattaforma o browser ricevendo una notifica al telefono, associando un numero visualizzato sullo schermo a quello sul telefono. Possono quindi usare la biometria (tocco o viso) o il PIN per confermare. Per informazioni dettagliate sull'installazione, vedere Scaricare e installare Microsoft Authenticator.

L'autenticazione senza password con Microsoft Authenticator segue lo stesso modello di base di Windows Hello for Business. È un po' più complicato perché l'utente deve essere identificato in modo che Microsoft Entra ID possa trovare la versione dell'app Authenticator in uso:

Diagramma che descrive i passaggi necessari per l'accesso dell'utente con l'app Microsoft Authenticator

  1. L'utente immette il proprio nome utente.
  2. Microsoft Entra ID rileva che l'utente ha credenziali complesse e avvia il flusso delle credenziali complesse.
  3. Una notifica viene inviata all'app tramite Apple Push Notification Service nei dispositivi iOS o tramite Firebase Cloud Messaging nei dispositivi Android.
  4. L'utente riceve la notifica push e apre l'app.
  5. L'app chiama Microsoft Entra ID e riceve una prova di verifica della presenza e un nonce.
  6. L'utente completa la richiesta immettendo il proprio PIN o i dati biometrici per sbloccare la chiave privata.
  7. Il nonce viene firmato con la chiave privata e restituito a Microsoft Entra ID.
  8. Microsoft Entra ID esegue la convalida della chiave pubblica/privata e restituisce un token.

Per iniziare a usare l'accesso senza password, completare le procedure seguenti:

Passkeys (FIDO2)

Gli utenti possono registrare una passkey (FIDO2) e sceglierla come metodo di accesso primario. Con un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata man mano che non esiste alcuna password che può essere esposta o indovinata. Attualmente in anteprima, un amministratore di autenticazione può anche effettuare il provisioning di una sicurezza FIDO2 per conto di un utente usando l'API Microsoft Graph e un client personalizzato. Il provisioning per conto degli utenti è attualmente limitato alle chiavi di sicurezza.

FIDO (Fast Identity Online) Alliance promuove gli standard di autenticazione aperti e limita l'uso delle password come forma di autenticazione. FIDO2 è lo standard più recente che incorpora lo standard di autenticazione Web (WebAuthn). FIDO consente alle organizzazioni di applicare lo standard WebAuthn usando una chiave di sicurezza esterna o una chiave della piattaforma incorporata in un dispositivo per accedere senza nome utente o password.

Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su standard e protetto dal phishing che può essere presente in qualsiasi fattore di forma. Si tratta in genere di dispositivi USB, ma possono anche usare Bluetooth o nfc (Near-Field Communication). I passkey (FIDO2) si basano sullo stesso standard WebAuthn e possono essere salvati in Authenticator o su dispositivi mobili, tablet o computer.

Le chiavi di sicurezza FIDO2 possono essere usate per accedere ai propri dispositivi Microsoft Entra ID o Microsoft Entra ibrido aggiunti a Windows 10 e ottenere l'accesso Single Sign-On alle risorse cloud e locali. Gli utenti possono anche accedere ai browser supportati. Le chiavi di sicurezza FIDO2 sono un'ottima scelta per le aziende che sono molto sensibili alla sicurezza o hanno scenari o dipendenti che non possono o non sono disposti a usare il telefono come secondo fattore di autenticazione.

Per altre informazioni sul supporto passkey (FIDO2), vedere Supporto per l'autenticazione passkey (FIDO2) con Microsoft Entra ID. Per le procedure consigliate per gli sviluppatori, vedere Supportare l'autenticazione FIDO2 nelle applicazioni sviluppate.

Accedere a Microsoft Edge con una chiave di sicurezza

Il processo seguente viene usato quando un utente accede con una chiave di sicurezza FIDO2:

Diagramma che descrive i passaggi necessari per l'accesso dell'utente con una chiave di sicurezza FIDO2

  1. L'utente collega la chiave di sicurezza FIDO2 al computer.
  2. Windows rileva la chiave di sicurezza FIDO2.
  3. Windows invia una richiesta di autenticazione.
  4. Microsoft Entra ID restituisce un nonce.
  5. L'utente completa il movimento per sbloccare la chiave privata archiviata nell'enclave sicuro della chiave di sicurezza FIDO2.
  6. La chiave di sicurezza FIDO2 firma il nonce con la chiave privata.
  7. La richiesta di token di aggiornamento primario con nonce firmato viene inviata a Microsoft Entra ID.
  8. Microsoft Entra ID verifica il nonce firmato usando la chiave pubblica FIDO2.
  9. Microsoft Entra ID restituisce il token di aggiornamento primario per abilitare l'accesso alle risorse locali.

Per un elenco dei provider di chiavi di sicurezza FIDO2, vedere Diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft.

Per iniziare a usare le chiavi di sicurezza FIDO2, completare le procedure seguenti:

Autenticazione basata su certificati

L'autenticazione basata su certificati di Microsoft Entra consente ai clienti di permettere o richiedere agli utenti di eseguire l'autenticazione direttamente con i certificati X.509 in Microsoft Entra ID per accedere ad applicazioni e nel browser. L'autenticazione basata su certificati consente ai clienti di adottare un'autenticazione resistente al phishing e di accedere con un certificato X.509 nell'infrastruttura a chiave pubblica (PKI).

Diagramma dell'autenticazione basata su certificati Di Microsoft Entra.

Vantaggi principali dell'uso dell'autenticazione basata su certificati di Microsoft Entra

Vantaggi Descrizione
Esperienza utente eccellente - Gli utenti che necessitano dell'autenticazione basata su certificati possono ora eseguire direttamente l'autenticazione con Microsoft Entra ID e non devono investire nella federazione.
- L'interfaccia utente del portale consente agli utenti di configurare facilmente come eseguire il mapping dei campi del certificato a un attributo dell'oggetto utente, per cercare l'utente nel tenant (associazione certificato-nome utente)
- Interfaccia utente del portale per configurare i criteri di autenticazione a aiutare a determinare quali certificati sono a fattore singolo, piuttosto che a più fattori.
Facile da distribuire e amministrare - L'autenticazione basata su certificati è una funzionalità gratuita e non serve nessuna delle edizioni a pagamento di Microsoft Entra ID per utilizzarla.
- Non è necessario eseguire distribuzioni locali o configurazioni di rete complessi.
- Eseguire direttamente l'autenticazione con Microsoft Entra ID.
Protetto - Le password locali non devono in nessun modo essere archiviate nel cloud.
- Protegge gli account utente lavorando perfettamente con i criteri di accesso condizionale di Microsoft Entra, tra cui l'autenticazione a più fattori resistente al phishing (l'autenticazione a più fattori richiede l'edizione con licenza) e il blocco dell'autenticazione legacy.
- Supporto dell'autenticazione avanzata in cui gli utenti possono definire criteri di autenticazione tramite i campi del certificato, come l'autorità di certificazione o gli identificatori di oggetto dei criteri, per determinare quali certificati sono qualificati come a fattore singolo, piuttosto che a più fattori.
- La funzionalità funziona perfettamente con le funzionalità di accesso condizionale e la capacità di autenticazione avanzata, che insieme applicano l'autenticazione a più fattori per proteggere gli utenti.

Scenari supportati

Sono supportati gli scenari che seguono:

  • Accessi utente alle applicazioni basate su Web browser in tutte le piattaforme.
  • Accessi utente alle app office per dispositivi mobili su piattaforme iOS/Android e app native di Office in Windows, tra cui Outlook, OneDrive e così via.
  • Accessi utente nei browser nativi per dispositivi mobili.
  • Supporto per regole di autenticazione granulari per l'autenticazione a più fattori usando il Soggetto e gli identificatori di oggetto dei criteri dell'autorità di certificazione.
  • Configurazione delle associazioni account utente-certificato usando uno dei campi del certificato:
    • Nome alternativo soggetto (SAN) PrincipalName e SAN RFC822Nare
    • Identificatore della chiave del soggetto (SKI) e SHA1PublicKey
  • Configurazione delle associazioni account utente-certificato tramite uno degli attributi dell'oggetto utente:
    • Nome entità utente
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scenari supportati

Si applicano le considerazioni seguenti:

  • Gli amministratori possono abilitare metodi di autenticazione senza password per il tenant.
  • Gli amministratori possono scegliere tutti gli utenti o selezionare utenti/gruppi di sicurezza all'interno del tenant per ogni metodo.
  • Gli utenti possono registrare e gestire questi metodi di autenticazione senza password nel portale degli account.
  • Gli utenti possono accedere con questi metodi di autenticazione senza password:
    • App Authenticator: funziona in scenari in cui viene usata l'autenticazione di Microsoft Entra, compresi tutti i browser, durante la configurazione di Windows 10 e con app per dispositivi mobili integrate in qualsiasi sistema operativo.
    • Chiavi di sicurezza: funzionano nella schermata di blocco per Windows 10 e sul Web in browser supportati come Microsoft Edge (sia legacy che il nuovo Edge).
  • Gli utenti possono usare credenziali senza password per accedere alle risorse nei tenant in cui sono guest, ma potrebbero comunque essere necessarie per eseguire l'autenticazione a più fattori in tale tenant di risorse. Per altre informazioni, vedere Possibile autenticazione a doppio fattori.
  • Gli utenti non possono registrare le credenziali senza password all'interno di un tenant in cui sono guest, allo stesso modo in cui non hanno una password gestita in tale tenant.

Scenari non supportati

È consigliabile non avere più di 20 set di chiavi per ogni metodo senza password per nessun account utente. Man mano che vengono aggiunte altre chiavi, le dimensioni dell'oggetto utente aumentano e si potrebbe notare una riduzione delle prestazioni per alcune operazioni. In tal caso, è consigliabile rimuovere le chiavi non necessarie. Per altre informazioni e i cmdlet di PowerShell per eseguire query e rimuovere chiavi, vedere Uso del modulo PowerShell WHfBTools per la pulizia delle chiavi di Windows Hello for Business orfane. Usare il parametro facoltativo /UserPrincipalName per eseguire query solo sulle chiavi per un utente specifico. Le autorizzazioni necessarie devono essere eseguite come amministratore o come utente specificato.

Quando si usa PowerShell per creare un file CSV con tutte le chiavi esistenti, identificare attentamente le chiavi da conservare e rimuovere tali righe dal file CSV. Usare quindi il file CSV modificato con PowerShell per eliminare le chiavi rimanenti e abbassare il numero di chiavi dell'account al di sotto del limite.

È possibile eliminare qualsiasi chiave segnalata come "Orfana"="True" nel file CSV. Una chiave orfana è una chiave per un dispositivo che non è più registrato nell'ID Microsoft Entra. Se la rimozione di tutti gli orfani non porta ancora l'account utente al di sotto del limite, è necessario esaminare le colonne DeviceId e CreationTime per identificare le chiavi di destinazione per l'eliminazione. Fare attenzione a eliminare qualsiasi riga del file CSV che indica una chiave da tenere. Le chiavi per qualsiasi ID Dispositivo che corrisponde a dispositivi usati attivamente dall'utente devono essere rimosse dal file CSV prima del passaggio di eliminazione.

Scegliere un metodo senza password

La scelta tra queste tre opzioni senza password dipende dai requisiti di sicurezza, piattaforma e app dell'azienda.

Ecco alcuni fattori da considerare quando si sceglie la tecnologia senza password Microsoft:

Windows Hello for Business (Configurare Windows Hello for Business) Accesso senza password con l'app Authenticator Chiavi di sicurezza FIDO2
Prerequisiti Windows 10 versione 1809 o successive
Microsoft Entra ID
App di autenticazione
Telefono (dispositivi iOS e Android)
Windows 10, versione 1903 o successiva
Microsoft Entra ID
Modalità Piattaforma Software Hardware
Sistemi e dispositivi PC con un modulo TPM (Trusted Platform Module) predefinito
Riconoscimento con PIN e dati biometrici
Riconoscimento con PIN e dati biometrici sul telefono Dispositivi di sicurezza FIDO2 compatibili con Microsoft
Esperienza utente Accedere usando il riconoscimento con PIN o dati biometrici (viso, iride o impronta digitale) con i dispositivi Windows.
L'autenticazione di Windows Hello è associata al dispositivo; l'utente necessita sia del dispositivo che di un componente di accesso, come un PIN o un fattore biometrico, per accedere alle risorse aziendali.
Accedere usando un telefono cellulare con analisi delle impronte digitali, riconoscimento facciale o dell'iride o con un PIN.
Gli utenti accedono all'account aziendale o personale dal PC o dal telefono cellulare.
Accedere con un dispositivo di sicurezza FIDO2 (biometria, PIN e NFC)
L'utente può accedere al dispositivo in base ai controlli dell'organizzazione ed eseguire l'autenticazione tramite PIN, biometria con dispositivi come chiavi di sicurezza USB e smart card abilitate per NFC, chiavi o dispositivi indossabili.
Scenari abilitati Esperienza senza password con il dispositivo Windows.
Applicabile per PC di lavoro dedicati con possibilità di accesso Single Sign-On a dispositivi e applicazioni.
Soluzione senza password da ovunque usando il telefono cellulare.
Applicabile per accedere a applicazioni aziendali o personali sul Web da qualsiasi dispositivo.
Esperienza senza password per i ruoli di lavoro che usano biometria, PIN e NFC.
Applicabile ai PC condivisi equando un telefono cellulare non è un'opzione praticabile (ad esempio per i ruoli di lavoro dell'help desk, chioschi pubblici o team ospedalieri)

Usare la tabella seguente per scegliere il metodo che supporta i requisiti e gli utenti.

Utente tipo Scenario Ambiente Tecnologia senza password
Amministratore Assicurare l'accesso a un dispositivo per attività di gestione Dispositivo Windows 10 assegnato Chiave di sicurezza di Windows Hello for Business e/o FIDO2
Amministratore Attività di gestione in dispositivi non Windows Dispositivo Mobile o non Windows Accesso senza password con l'app Authenticator
Information Worker Lavoro di produttività Dispositivo Windows 10 assegnato Chiave di sicurezza di Windows Hello for Business e/o FIDO2
Information Worker Lavoro di produttività Dispositivo Mobile o non Windows Accesso senza password con l'app Authenticator
Ruolo di lavoro sul campo Tutto schermo in una fabbrica, un impianto, un negozio di vendita al dettaglio o per l'immissione di dati Dispositivi Windows 10 condivisi Chiavi di sicurezza FIDO2

Passaggi successivi

Per iniziare a usare senza password in Microsoft Entra ID, completare una delle procedure seguenti: