Opzioni di autenticazione senza password per Azure Active Directory

Funzionalità come l'autenticazione a più fattori (MFA) sono un ottimo modo per proteggere l'organizzazione, ma gli utenti spesso sono frustranti per il livello di sicurezza aggiuntivo, in quanto è necessario ricordare le password. I metodi di autenticazione senza password sono più pratici perché la password viene rimossa e sostituita con qualcosa di cui si dispone, oltre a qualcosa che si è o qualcosa che si conosce.

Authentication Un'informazione disponibile Qualcosa che si è o si conosce
Accesso senza password Windows 10 Dispositivo, telefono o chiave di sicurezza Biometrico o PIN

Ogni organizzazione ha esigenze diverse per quanto riguarda l'autenticazione. Microsoft Global Azure e Azure per enti pubblici offrono le tre opzioni di autenticazione senza password seguenti che si integrano con Azure Active Directory (Azure AD):

  • Windows Hello for Business
  • App Microsoft Authenticator
  • Chiavi di sicurezza FIDO2

Autenticazione: sicurezza e praticità

Windows Hello for Business

Windows Hello for Business è ideale per gli Information Worker con un pc Windows personale. Le credenziali biometriche e PIN sono direttamente collegate al PC dell'utente, impedendo così l'accesso da parte di utenti diversi dal proprietario. Grazie all'integrazione dell'infrastruttura a chiave pubblica (PKI) e al supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.

Esempio di accesso utente con Windows Hello for Business

La procedura seguente illustra il funzionamento del processo di accesso con Azure AD:

Diagramma che illustra i passaggi necessari per l'accesso utente con Windows Hello for Business

  1. Un utente accede a un Windows tramite movimento biometrico o PIN. Il movimento sblocca la chiave privata Windows Hello for Business e viene inviato al provider di supporto per la sicurezza per l'autenticazione cloud, noto come provider di servizi AP cloud.
  2. Il provider ap cloud richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) dal Azure AD.
  3. Azure AD restituisce un valore nonce valido per 5 minuti.
  4. Il provider dell'ap cloud firma il nonce usando la chiave privata dell'utente e restituisce il nonce firmato al Azure AD.
  5. Azure AD convalida il nonce firmato usando la chiave pubblica registrata in modo sicuro dell'utente rispetto alla firma nonce. Dopo aver convalidato la firma, Azure AD convalida il nonce firmato restituito. Quando il nonce viene convalidato, Azure AD crea un token di aggiornamento primario (PRT) con una chiave di sessione crittografata con la chiave di trasporto del dispositivo e la restituisce al provider dell'ap cloud.
  6. Il provider del punto di accesso cloud riceve il valore PRT crittografato con la chiave di sessione. Usando la chiave di trasporto privata del dispositivo, il provider ap cloud decrittografa la chiave di sessione e protegge la chiave di sessione usando il Trusted Platform Module (TPM) del dispositivo.
  7. Il provider cloud AP restituisce una risposta di autenticazione riuscita Windows. L'utente può quindi accedere Windows applicazioni cloud e locali senza la necessità di eseguire nuovamente l'autenticazione (SSO).

La Windows Hello di pianificazione di Windows Hello for Business può essere usata per prendere decisioni sul tipo di distribuzione di Windows Hello for Business e sulle opzioni da prendere in considerazione.

App Microsoft Authenticator

È anche possibile consentire al telefono del dipendente di diventare un metodo di autenticazione senza password. È possibile che l'app Microsoft Authenticator sia già in uso come pratica opzione di autenticazione a più fattori oltre a una password. È anche possibile usare l Authenticator app come opzione senza password.

Accedere all'Microsoft Edge con l'app Microsoft Authenticator

L Authenticator app converte qualsiasi telefono iOS o Android in una credenziale complessa e senza password. Gli utenti possono accedere a qualsiasi piattaforma o browser ricevendo una notifica sul telefono, abbinando un numero visualizzato sullo schermo a quello sul telefono e quindi usando la biometria (tocco o viso) o il PIN per confermare. Per informazioni dettagliate sull'installazione, vedere Scaricare e installare Microsoft Authenticator app.

L'autenticazione senza password Authenticator'app segue lo stesso modello di base di Windows Hello for Business. È un po' più complicato perché l'utente deve essere identificato in modo che Azure AD trovare la versione dell'app Microsoft Authenticator in uso:

Diagramma che illustra i passaggi necessari per l'accesso utente con l'Microsoft Authenticator app

  1. L'utente immette il proprio nome utente.
  2. Azure AD rileva che l'utente ha credenziali strong e avvia il flusso di credenziali strong.
  3. Viene inviata una notifica all'app tramite Apple Push Notification Service (APNS) nei dispositivi iOS o tramite Firebase Cloud Messaging (FCM) nei dispositivi Android.
  4. L'utente riceve la notifica push e apre l'app.
  5. L'app Azure AD e riceve una richiesta di verifica della presenza e un nonce.
  6. L'utente completa la richiesta immettendo la biometria o il PIN per sbloccare la chiave privata.
  7. Il nonce viene firmato con la chiave privata e inviato nuovamente Azure AD.
  8. Azure AD esegue la convalida della chiave pubblica/privata e restituisce un token.

Per iniziare a usare l'accesso senza password, completare la procedura seguente:

Chiavi di sicurezza FIDO2

FIDO (Fast IDentity Online) Alliance consente di promuovere standard di autenticazione aperti e ridurre l'uso delle password come forma di autenticazione. FIDO2 è lo standard più recente che incorpora lo standard di autenticazione Web (WebAuthn).

Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su standard non phishable che può essere utilizzato in qualsiasi fattore di forma. Fast Identity Online (FIDO) è uno standard aperto per l'autenticazione senza password. FIDO consente a utenti e organizzazioni di sfruttare lo standard per accedere alle risorse senza un nome utente o una password usando una chiave di sicurezza esterna o una chiave di piattaforma incorporata in un dispositivo.

Gli utenti possono registrarsi e quindi selezionare una chiave di sicurezza FIDO2 nell'interfaccia di accesso come mezzo di autenticazione principale. Le chiavi di sicurezza di FIDO2 sono in genere dispositivi USB, ma possono anche usare il Bluetooth o l'NFC. Grazie a un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata poiché non vi è una password che può essere esposta o individuata.

Le chiavi di sicurezza FIDO2 possono essere usate per accedere ai dispositivi Azure AD o ai dispositivi ibridi Azure AD e Windows 10 e ottenere l'accesso Single Sign-On alle risorse cloud e locali. Gli utenti possono anche accedere ai browser supportati. Le chiavi di sicurezza FIDO2 sono un'ottima scelta per le aziende che sono molto sensibili alla sicurezza o hanno scenari o dipendenti che non possono o non sono disposti a usare il telefono come secondo fattore di autenticazione.

È presente un documento di riferimento per il quale i browser supportano l'autenticazione FIDO2con Azure AD , nonché procedure consigliate per gli sviluppatori che vogliono supportare l'autenticazione FIDO2nelle applicazioni che sviluppano .

Accedere a un Microsoft Edge con una chiave di sicurezza

Il processo seguente viene usato quando un utente accede con una chiave di sicurezza FIDO2:

Diagramma che illustra i passaggi necessari per l'accesso utente con una chiave di sicurezza FIDO2

  1. L'utente collega la chiave di sicurezza FIDO2 al computer.
  2. Windows rileva la chiave di sicurezza FIDO2.
  3. Windows invia una richiesta di autenticazione.
  4. Azure AD restituisce un nonce.
  5. L'utente completa il movimento per sbloccare la chiave privata archiviata nell'enclave sicuro della chiave di sicurezza FIDO2.
  6. La chiave di sicurezza FIDO2 firma il nonce con la chiave privata.
  7. La richiesta di token di aggiornamento primario (PRT) con nonce firmato viene inviata Azure AD.
  8. Azure AD verifica il nonce firmato usando la chiave pubblica FIDO2.
  9. Azure AD restituisce PRT per abilitare l'accesso alle risorse locali.

Sebbene siano presenti molte chiavi certificate fiDO2 da FIDO Alliance, Microsoft richiede alcune estensioni facoltative della specifica FIDO2 Client-to-Authenticator Protocol (CTAP) che devono essere implementate dal fornitore per garantire la massima sicurezza e la migliore esperienza.

Una chiave di sicurezza DEVE implementare le funzionalità e le estensioni seguenti dal protocollo FIDO2 CTAP per essere compatibile con Microsoft. Authenticator fornitore deve implementare FIDO_2_0 e FIDO_2_1 della specifica. Per altre informazioni, vedere Client to Authenticator Protocol.

# Attendibilità funzionalità/estensione Perché questa funzionalità o estensione è necessaria?
1 Chiave residente/individuabile Questa funzionalità consente la portabilità della chiave di sicurezza, in cui le credenziali vengono archiviate nella chiave di sicurezza ed è individuabile e ciò rende possibili i flussi senza nome utente.
2 Pin client Questa funzionalità consente di proteggere le credenziali con un secondo fattore e si applica alle chiavi di sicurezza che non hanno un'interfaccia utente.
Devono essere implementati sia il protocollo PIN 1 che il protocollo PIN 2.
3 hmac-secret Questa estensione garantisce che sia possibile accedere al dispositivo quando è offline o in modalità aereo.
4 Più account per ogni RP Questa funzionalità garantisce che sia possibile usare la stessa chiave di sicurezza in più servizi, ad esempio account Microsoft e Azure Active Directory.
5 Gestione delle credenziali Questa funzionalità consente agli utenti di gestire le proprie credenziali sulle chiavi di sicurezza nelle piattaforme e si applica alle chiavi di sicurezza che non hanno questa funzionalità incorporata.
Authenticator DEVE implementare i comandi authenticatorCredentialManagement e credentialMgmtPreview per questa funzionalità.
6 Registrazione bio Questa funzionalità consente agli utenti di registrare la biometria negli autenticatori e si applica alle chiavi di sicurezza che non hanno questa funzionalità incorporata.
Authenticator DEVE implementare i comandi authenicatorBioEnrollment e userVerificationMgmtPreview per questa funzionalità.
7 pinUvAuthToken Questa funzionalità consente alla piattaforma di avere token di autenticazione usando una corrispondenza PIN o BIO che consente di migliorare l'esperienza utente quando sono presenti più credenziali nell'autenticatore.
8 forcePinChange Questa funzionalità consente alle aziende di chiedere agli utenti di modificare il PIN nelle distribuzioni remote.
9 setMinPINLength Questa funzionalità consente alle aziende di avere una lunghezza minima personalizzata del PIN per gli utenti. Authenticator MUST implementa l'estensione minPinLength e ha maxRPIDsForSetMinPINLength di valore almeno 1.
10 alwaysUV Questa funzionalità consente alle aziende o agli utenti di richiedere sempre la verifica utente per usare questa chiave di sicurezza. Authenticator DEVE implementare il sottocomando toggleAlwaysUv. È il fornitore a decidere il valore predefinito di alwaysUV. A questo punto, a causa della natura delle diverse versioni di RP adoption e del sistema operativo, il valore consigliato per gli autenticatori basati su biometrici è true e gli autenticatori non biometrici sono false.
11 credBlob Questa estensione consente ai siti Web di archiviare piccole informazioni nella chiave di sicurezza. maxCredBlobLength DEVE essere di almeno 32 byte.
12 largeBlob Questa estensione consente ai siti Web di archiviare informazioni più grandi, ad esempio i certificati, nella chiave di sicurezza. maxSerializedLargeBlobArray DEVE essere pari a 1024 byte.

Provider di chiavi di sicurezza FIDO2

I provider seguenti offrono chiavi di sicurezza FIDO2 di fattori di forma diversi noti per essere compatibili con l'esperienza senza password. È necessario valutare le proprietà di sicurezza di queste chiavi contattando il fornitore e FIDO Alliance.

Provider Biometrici USB NFC BLE Certificato FIPS Contatto
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NeoWave n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
Octatco y y n n n https://octatco.com/
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Gruppo Thales n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 Svizzera y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Soluzioni TrustKey y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Nota

Se si acquista e si prevede di usare chiavi di sicurezza basate su NFC, è necessario un lettore NFC supportato per la chiave di sicurezza. Il lettore NFC non è un requisito o una limitazione di Azure. Per un elenco dei lettori NFC supportati, rivolgersi al fornitore per la chiave di sicurezza basata su NFC.

Se si è un fornitore e si vuole inserire il dispositivo in questo elenco di dispositivi supportati, vedere le linee guida su come diventare un fornitore di chiavi di sicurezza FIDO2compatibile con Microsoft.

Per iniziare a usare le chiavi di sicurezza FIDO2, completare la procedura seguente:

Scenari supportati

Si applicano le considerazioni seguenti:

  • Gli amministratori possono abilitare i metodi di autenticazione senza password per il tenant.

  • Gli amministratori possono scegliere come destinazione tutti gli utenti o selezionare utenti/gruppi all'interno del tenant per ogni metodo.

  • Gli utenti possono registrare e gestire questi metodi di autenticazione senza password nel portale degli account.

  • Gli utenti possono accedere con questi metodi di autenticazione senza password:

    • Microsoft Authenticator App: funziona in scenari in cui Azure AD viene usata l'autenticazione, incluso in tutti i browser, durante la configurazione Windows 10 e con app per dispositivi mobili integrate in qualsiasi sistema operativo.
    • Chiavi di sicurezza: usare la schermata di blocco per Windows 10 e il Web nei browser supportati, ad esempio Microsoft Edge (edge legacy e nuovo).
  • Gli utenti possono usare credenziali senza password per accedere alle risorse nei tenant in cui sono guest, ma potrebbe comunque essere necessario eseguire l'autenticazione a più fattori nel tenant delle risorse. Per altre informazioni, vedere Possible double multi-factor authentication.

  • Gli utenti non possono registrare le credenziali senza password all'interno di un tenant in cui sono guest, allo stesso modo in cui non hanno una password gestita in tale tenant.

Scegliere un metodo senza password

La scelta tra queste tre opzioni senza password dipende dai requisiti di sicurezza, piattaforma e app dell'azienda.

Ecco alcuni fattori da considerare quando si sceglie la tecnologia senza password Microsoft:

Windows Hello for Business (Configurare Windows Hello for Business) Accesso senza password con l'app Microsoft Authenticator password Chiavi di sicurezza FIDO2
Prerequisiti Windows 10 versione 1809 o successiva
Azure Active Directory
App Microsoft Authenticator
Telefono (dispositivi iOS e Android che eseguono Android 6.0 o versioni successive).
Windows 10 versione 1903 o successiva
Azure Active Directory
Modalità Piattaforma Software Hardware
Sistemi e dispositivi PC con un Trusted Platform Module (TPM) incorporato
RICONOSCIMENTO DEL PIN e della biometria
Riconoscimento PIN e biometrica sul telefono Dispositivi di sicurezza FIDO2 compatibili con Microsoft
Esperienza utente Accedere usando un PIN o un riconoscimento biometrico (facciale, iris o impronta digitale) con Windows dispositivi.
Windows Hello'autenticazione è associata al dispositivo. l'utente deve avere sia il dispositivo che un componente di accesso, ad esempio un PIN o un fattore biometrico, per accedere alle risorse aziendali.
Accedere usando un telefono cellulare con scansione dell'impronta digitale, riconoscimento facciale o iris o PIN.
Gli utenti a cui si accede per l'account aziendale o personale dal PC o dal telefono cellulare.
Accedere con il dispositivo di sicurezza FIDO2 (biometria, PIN e NFC)
L'utente può accedere ai dispositivi in base ai controlli dell'organizzazione ed eseguire l'autenticazione in base al PIN, alla biometria usando dispositivi come chiavi di sicurezza USB e smart card, chiavi o dispositivi indossabili abilitati per NFC.
Scenari abilitati Esperienza senza password con Windows dispositivo.
Applicabile per PC di lavoro dedicato con possibilità di accesso Single Sign-On al dispositivo e alle applicazioni.
Soluzione senza password ovunque con il telefono cellulare.
Applicabile per l'accesso alle applicazioni aziendali o personali sul Web da qualsiasi dispositivo.
Esperienza senza password per i dipendenti che usano biometria, PIN e NFC.
Applicabile per i PC condivisi e in cui un telefono cellulare non è un'opzione praticabile (ad esempio per il personale help desk, il chiosco pubblico o il team dell'ospedale)

Usare la tabella seguente per scegliere il metodo che supporterà i requisiti e gli utenti.

Persona Scenario Ambiente Tecnologia senza password
Admin Proteggere l'accesso a un dispositivo per le attività di gestione Dispositivo Windows 10 assegnato Windows Hello per le aziende e/o la chiave di sicurezza FIDO2
Admin Attività di gestione nei dispositivi non Windows Dispositivo mobile o non Windows Accesso senza password con l'app Microsoft Authenticator password
Information Worker Lavoro di produttività Dispositivo Windows 10 assegnato Windows Hello per le aziende e/o la chiave di sicurezza FIDO2
Information Worker Lavoro di produttività Dispositivo mobile o non Windows Accesso senza password con l'app Microsoft Authenticator password
Frontline worker Chioschi in una fabbrica, un impianto, una vendita al dettaglio o un'immissione di dati Dispositivi Windows 10 condivisi Chiavi di sicurezza FIDO2

Passaggi successivi

Per iniziare a usare senza password in Azure AD, completare una delle procedure seguenti: