Supporto dell’autenticazione FIDO2 con Microsoft Entra ID
Microsoft Entra ID consente l'uso di passkey per l'autenticazione senza password. Questo articolo spiega quali app native, web browser e sistemi operativi supportano l'autenticazione senza password usando passkey FIDO2 con Microsoft Entra ID.
Nota
Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo in passkey sincronizzate e associate a dispositivi per gli account aziendali.
Supporto di applicazioni native
Le sezioni seguenti illustrano il supporto per le applicazioni Microsoft e di terze parti. L'autenticazione Passkey (FIDO2) con un provider di identità di terze parti (IDP) non è supportata nelle applicazioni di terze parti che usano il broker di autenticazione o le applicazioni Microsoft in macOS, iOS o Android in questo momento.
Supporto di applicazioni native con broker di autenticazione (anteprima)
Le applicazioni Microsoft forniscono supporto nativo per l'autenticazione FIDO2 in anteprima per tutti gli utenti che hanno installato un broker di autenticazione per il proprio sistema operativo. L'autenticazione FIDO2 è supportata anche in anteprima per le applicazioni di terze parti che usano il broker di autenticazione.
Nella tabella seguente sono elencati i broker di autenticazione supportati per i diversi sistemi operativi.
| Sistema operativo | Broker di autenticazione | Supporta FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portale aziendale Microsoft Intune1 | ✅ |
| Android2 | Autenticatore, Portale aziendale o app di Collegamento a Windows | ✅ |
1In macOS è necessario il plug-in Microsoft Enterprise Single Sign-On (SSO) per abilitare il Portale aziendale come broker di autenticazione. I dispositivi che eseguono macOS devono soddisfare i requisiti del plug-in SSO, inclusa la registrazione nella gestione di dispositivi mobili. Per l'autenticazione FIDO2, assicurati di eseguire l'ultima versione delle applicazioni native.
2Il supporto delle applicazioni native per le chiavi di sicurezza FIDO2 in Android versione 13 e versioni precedenti è in fase di sviluppo.
Se un utente ha installato un broker di autenticazione, può scegliere di accedere con una chiave di sicurezza quando accede a un'applicazione, ad esempio a Outlook. Verrà reindirizzato per accedere con FIDO2 e quindi reindirizzato a Outlook come utente connesso dopo la corretta autenticazione.
Supporto di applicazioni Microsoft senza broker di autenticazione (anteprima)
La tabella seguente elenca il supporto delle applicazioni Microsoft per passkey (FIDO2) senza un broker di autenticazione.
| Applicazione | macOS | iOS | Android |
|---|---|---|---|
| Desktop remoto | ✅ | ✅ | ❌ |
| App Windows | ✅ | ✅ | ❌ |
Supporto di applicazioni di terze parti senza broker di autenticazione
Se l'utente deve ancora installare un broker di autenticazione, può comunque registrarsi con una passkey quando accede alle applicazioni abilitate per MSAL. Per altre informazioni sui requisiti per le applicazioni abilitate per MSAL, vedi Supportare l'autenticazione senza password con chiavi FIDO2 nelle app che sviluppi.
Supporto Web browser
In questa tabella sono elencati i browser supportati per l'autenticazione di account Microsoft Entra ID e Microsoft tramite FIDO2. Gli account Microsoft vengono creati dagli utenti per servizi come Xbox, Skype o Outlook.com.
| Sistema operativo | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | N/D |
1Il supporto per passkey in Authenticator con Edge nei dispositivi Android sarà presto disponibile.
Web browser supportati per ogni piattaforma
Nelle tabelle seguenti sono illustrati i trasporti supportati per ogni piattaforma. I tipi di dispositivi supportati includono USB, NFC (Near Field Communication) e BLE (Bluetooth Low Energy).
Finestre
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versione minima del browser
Di seguito sono riportati i requisiti per la versione minima del browser su Windows.
| Browser | Versione minima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 versione 19031 |
| Firefox | 66 |
1Tutte le versioni del nuovo Microsoft Edge basato su Chromium supportano FIDO2. Il supporto in Microsoft Edge legacy è stato aggiunto nella versione 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2,3 | ✅ | N/D | N/D |
1Le chiavi di sicurezza NFC e BLE non sono supportate in macOS di Apple.
2La nuova registrazione delle chiavi di sicurezza non funziona in questi browser macOS perché non richiedono la configurazione dei dati biometrici o del PIN.
3Vedere Accedi quando vengono registrati più di tre passkey.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1La registrazione delle chiavi di sicurezza non è supportata in ChromeOS o nel browser Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1,3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1La nuova registrazione delle chiavi di sicurezza non funziona nei browser iOS perché non richiedono la configurazione dei dati biometrici o del PIN.
2Le chiavi di sicurezza BLE non sono supportate in iOS di Apple.
3Vedere Accedi quando vengono registrati più di tre passkey.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1La registrazione della chiave di sicurezza con Microsoft Entra ID non è ancora supportata in Android.
2Le chiavi di sicurezza BLE non sono supportate in Android di Google.
Problemi noti
Accedere quando vengono registrati più di tre passkey
Se sono stati registrati più di tre passkey, l'accesso con una passkey potrebbe non funzionare. Se sono presenti più di tre passkey, come soluzione alternativa, fare clic su Opzioni di accesso e accedere senza immettere un nome utente.
Supporto PowerShell
Microsoft Graph PowerShell supporta FIDO2. Alcuni moduli di PowerShell che usano Internet Explorer invece di Edge non riescono a eseguire l'autenticazione FIDO2. Ad esempio, i moduli di PowerShell per SharePoint Online o Teams oppure tutti gli script di PowerShell che richiedono credenziali di amministratore, non richiedono FIDO2.
Come soluzione alternativa, la maggior parte dei fornitori può inserire i certificati nelle chiavi di sicurezza FIDO2. L'autenticazione basata su certificati (CBA) funziona in tutti i browser. Se puoi abilitare l'autenticazione basata su certificati per tali account amministratore, nel frattempo puoi richiedere tale tipo di autenticazione invece di FIDO2.