Opzioni di autenticazione senza password per Azure Active Directory

Funzionalità come Multi-Factor Authentication (MFA) sono un ottimo modo per proteggere l'organizzazione, ma gli utenti spesso si trovano frustrati dal livello di sicurezza aggiuntivo, in quanto devono ricordare le password. I metodi di autenticazione senza password sono più pratici perché la password viene rimossa e sostituita con qualcosa che si ha, oltre a qualcosa che si è o qualcosa che si conosce.

Authentication Un'informazione disponibile Qualcosa che si è o si conosce
Accesso senza password Windows 10 dispositivo, telefono o chiave di sicurezza Biometria o PIN

Ogni organizzazione ha esigenze diverse quando si tratta di autenticazione. Microsoft Global Azure e Azure per enti pubblici offrono le tre opzioni di autenticazione senza password seguenti che si integrano con Azure Active Directory (Azure AD):

  • Windows Hello for Business
  • App Microsoft Authenticator
  • Chiavi di sicurezza FIDO2

Autenticazione: sicurezza e praticità

Windows Hello for Business

Windows Hello for Business è ideale per gli information worker che hanno un PROPRIO PC Windows designato. Le credenziali biometriche e PIN sono direttamente collegate al PC dell'utente, impedendo l'accesso da parte di utenti diversi dal proprietario. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.

Esempio di accesso utente con Windows Hello for Business

La procedura seguente illustra il funzionamento del processo di accesso con Azure AD:

Diagramma che illustra i passaggi necessari per l'accesso utente con Windows Hello for Business

  1. Un utente accede a Windows usando un movimento biometrico o PIN. Il movimento sblocca la Windows Hello for Business privata e viene inviato al provider di supporto per la sicurezza di Cloud Authentication, noto come provider di ap cloud.
  2. Il provider cloud AP richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Azure AD.
  3. Azure AD restituisce un valore nonce valido per 5 minuti.
  4. Il provider cloud AP firma il nonce usando la chiave privata dell'utente e restituisce il nonce firmato al Azure AD.
  5. Azure AD convalida il nonce firmato usando la chiave pubblica registrata in modo sicuro dell'utente rispetto alla firma nonce. Dopo la convalida della firma, Azure AD convalida il nonce firmato restituito. Quando il nonce viene convalidato, Azure AD crea un token di aggiornamento primario (PRT) con la chiave di sessione crittografata nella chiave di trasporto del dispositivo e la restituisce al provider dell'ap cloud.
  6. Il provider di punti di accesso cloud riceve la chiave PRT crittografata con la chiave di sessione. Usando la chiave di trasporto privata del dispositivo, il provider cloud AP decrittografa la chiave di sessione e protegge la chiave di sessione usando la chiave di Trusted Platform Module (TPM) del dispositivo.
  7. Il provider cloud AP restituisce una risposta di autenticazione riuscita a Windows. L'utente può quindi accedere a Windows, nonché alle applicazioni cloud e locali senza la necessità di eseguire nuovamente l'autenticazione (SSO).

La Windows Hello for Business di pianificazione può essere usata per prendere decisioni sul tipo di distribuzione Windows Hello for Business e sulle opzioni da prendere in considerazione.

App Microsoft Authenticator

È anche possibile consentire al telefono del dipendente di diventare un metodo di autenticazione senza password. È possibile che l'app Microsoft Authenticator sia già in uso come pratica opzione di autenticazione a più fattori oltre a una password. È anche possibile usare l'app Authenticator come opzione senza password.

Accedere a Microsoft Edge con l'app Microsoft Authenticator app

L'app Authenticator trasforma qualsiasi telefono iOS o Android in una credenziale complessa e senza password. Gli utenti possono accedere a qualsiasi piattaforma o browser ricevendo una notifica al proprio telefono, abbinando un numero visualizzato sullo schermo a quello del telefono e quindi usando la biometria (tocco o viso) o il PIN per confermare. Fare riferimento a Scaricare e installare l'app Microsoft Authenticator per informazioni dettagliate sull'installazione.

L'autenticazione senza password con l'app Authenticator segue lo stesso modello di base Windows Hello for Business. È un po' più complicato perché l'utente deve essere identificato in modo che Azure AD trovare la versione dell'app Microsoft Authenticator in uso:

Diagramma che illustra i passaggi necessari per l'accesso utente con l'app Microsoft Authenticator app

  1. L'utente immette il nome utente.
  2. Azure AD rileva che l'utente ha una credenziale solida e avvia il flusso di credenziali con credenziali forti.
  3. Viene inviata una notifica all'app tramite Apple Push Notification Service (APNS) nei dispositivi iOS o tramite Firebase Cloud Messaging (FCM) nei dispositivi Android.
  4. L'utente riceve la notifica push e apre l'app.
  5. L'app Azure AD e riceve una richiesta di verifica della presenza e nonce.
  6. L'utente completa la richiesta immettendo il PROPRIO PIN o biometrico per sbloccare la chiave privata.
  7. Il nonce viene firmato con la chiave privata e inviato nuovamente a Azure AD.
  8. Azure AD esegue la convalida della chiave pubblica/privata e restituisce un token.

Per iniziare a usare l'accesso senza password, completare la procedura seguente:

Chiavi di sicurezza FIDO2

FiDO (Fast IDentity Online) Alliance consente di promuovere standard di autenticazione aperti e ridurre l'uso delle password come forma di autenticazione. FIDO2 è lo standard più recente che incorpora lo standard di autenticazione Web (WebAuthn).

Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password non sofisticato basato su standard che può essere utilizzato in qualsiasi fattore di forma. Fast Identity Online (FIDO) è uno standard aperto per l'autenticazione senza password. FIDO consente a utenti e organizzazioni di sfruttare lo standard per accedere alle risorse senza un nome utente o una password usando una chiave di sicurezza esterna o una chiave della piattaforma incorporata in un dispositivo.

Gli utenti possono registrarsi e quindi selezionare una chiave di sicurezza FIDO2 nell'interfaccia di accesso come mezzo di autenticazione principale. Le chiavi di sicurezza di FIDO2 sono in genere dispositivi USB, ma possono anche usare il Bluetooth o l'NFC. Grazie a un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata poiché non vi è una password che può essere esposta o individuata.

Le chiavi di sicurezza FIDO2 possono essere usate per accedere ai dispositivi Azure AD o Azure AD aggiunti Windows 10 ibrido e ottenere l'accesso Single Sign-On alle risorse cloud e locali. Gli utenti possono anche accedere ai browser supportati. Le chiavi di sicurezza FIDO2 sono un'ottima opzione per le aziende che sono molto sensibili alla sicurezza o hanno scenari o dipendenti che non sono disposti o in grado di usare il telefono come secondo fattore.

È presente un documento di riferimento per il quale i browser supportano l'autenticazione FIDO2con Azure AD , nonché le procedure consigliate per gli sviluppatori che vogliono supportare l'autenticazione FIDO2nelle applicazioni sviluppate.

Accedere a Microsoft Edge con una chiave di sicurezza

Il processo seguente viene usato quando un utente accede con una chiave di sicurezza FIDO2:

Diagramma che illustra i passaggi necessari per l'accesso utente con una chiave di sicurezza FIDO2

  1. L'utente collega la chiave di sicurezza FIDO2 al computer.
  2. Windows rileva la chiave di sicurezza FIDO2.
  3. Windows invia una richiesta di autenticazione.
  4. Azure AD invia un nonce.
  5. L'utente completa il movimento per sbloccare la chiave privata archiviata nell'enclave sicuro della chiave di sicurezza FIDO2.
  6. La chiave di sicurezza FIDO2 firma il nonce con la chiave privata.
  7. La richiesta del token di aggiornamento primario (PRT) con nonce firmato viene inviata Azure AD.
  8. Azure AD verifica il nonce firmato usando la chiave pubblica FIDO2.
  9. Azure AD restituisce PRT per abilitare l'accesso alle risorse locali.

Sebbene siano presenti molte chiavi certificate FIDO2 da FIDO Alliance, Microsoft richiede alcune estensioni facoltative della specifica FIDO2 Client-to-Authenticator Protocol (CTAP) per essere implementate dal fornitore per garantire la massima sicurezza e la migliore esperienza.

Una chiave di sicurezza DEVE implementare le funzionalità e le estensioni seguenti del protocollo FIDO2 CTAP per essere compatibile con Microsoft:

# Attendibilità di funzionalità/estensioni Perché è necessaria questa funzionalità o estensione?
1 Chiave residente Questa funzionalità consente la portabilità della chiave di sicurezza, in cui le credenziali vengono archiviate nella chiave di sicurezza.
2 Pin client Questa funzionalità consente di proteggere le credenziali con un secondo fattore e si applica alle chiavi di sicurezza che non hanno un'interfaccia utente.
3 hmac-secret Questa estensione garantisce che sia possibile accedere al dispositivo quando è offline o in modalità aereo.
4 Più account per ogni RP Questa funzionalità garantisce che sia possibile usare la stessa chiave di sicurezza in più servizi, ad esempio l'account Microsoft e Azure Active Directory.

Provider di chiavi di sicurezza FIDO2

I provider seguenti offrono chiavi di sicurezza FIDO2 di fattori di forma diversi che sono noti per essere compatibili con l'esperienza senza password. È necessario valutare le proprietà di sicurezza di queste chiavi contattando il fornitore e FIDO Alliance.

Provider Biometrici USB NFC Ble Certificato FIPS Contatto
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu n y n n n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y n https://shop.ftsafe.us/pages/microsoft
Gemalto (gruppo Thales) n y y n n https://safenet.gemalto.com/access-management/authenticators/fido-devices
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
Nymi y n y y n https://www.nymi.com/product
OneSpan Inc. y n n y n https://www.onespan.com/products/fido
Token2 Svizzera y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Soluzioni TrustKey y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico n y y n y https://www.yubico.com/solutions/passwordless/

Nota

Se si acquista e si prevede di usare chiavi di sicurezza basate su NFC, è necessario un lettore NFC supportato per la chiave di sicurezza. Il lettore NFC non è un requisito o una limitazione di Azure. Per un elenco dei lettori NFC supportati, rivolgersi al fornitore per la chiave di sicurezza basata su NFC.

Se si è un fornitore e si vuole inserire il dispositivo in questo elenco di dispositivi supportati, vedere le linee guida su come diventare un fornitore di chiavi di sicurezza FIDO2compatibile con Microsoft.

Per iniziare a usare le chiavi di sicurezza FIDO2, completare la procedura seguente:

Scenari supportati

Si applicano le considerazioni seguenti:

  • Gli amministratori possono abilitare i metodi di autenticazione senza password per il tenant.

  • Gli amministratori possono scegliere come destinazione tutti gli utenti o selezionare utenti/gruppi all'interno del tenant per ogni metodo.

  • Gli utenti possono registrare e gestire questi metodi di autenticazione senza password nel portale degli account.

  • Gli utenti possono accedere con questi metodi di autenticazione senza password:

    • Microsoft Authenticator App: funziona in scenari in cui viene usata l'autenticazione Azure AD, inclusi tutti i browser, durante la configurazione Windows 10 e con app per dispositivi mobili integrate in qualsiasi sistema operativo.
    • Chiavi di sicurezza: usare la schermata di blocco per Windows 10 e il Web nei browser supportati, ad esempio Microsoft Edge (edge legacy e nuovo).
  • Gli utenti possono usare credenziali senza password per accedere alle risorse nei tenant in cui sono guest, ma potrebbe comunque essere necessario eseguire l'autenticazione a più fattori nel tenant delle risorse. Per altre informazioni, vedere Possible double multi-factor authentication.

  • Gli utenti non possono registrare le credenziali senza password all'interno di un tenant in cui sono guest, allo stesso modo in cui non hanno una password gestita in tale tenant.

Scegliere un metodo senza password

La scelta tra queste tre opzioni senza password dipende dai requisiti di sicurezza, piattaforma e app dell'azienda.

Di seguito sono riportati alcuni fattori da considerare quando si sceglie la tecnologia senza password Microsoft:

Windows Hello for Business (Configurare Windows Hello for Business) Accesso senza password con l'app Microsoft Authenticator password Chiavi di sicurezza FIDO2
Prerequisiti Windows 10 versione 1809 o successiva
Azure Active Directory
App Microsoft Authenticator
Telefono (dispositivi iOS e Android che eseguono Android 6.0 o versioni successive).
Windows 10 versione 1903 o successiva
Azure Active Directory
Modalità Piattaforma Software Hardware
Sistemi e dispositivi PC con un Trusted Platform Module (TPM) incorporato
Pin e riconoscimento biometrico
Riconoscimento PIN e biometrica sul telefono Dispositivi di sicurezza FIDO2 compatibili con Microsoft
Esperienza utente Accedere usando un PIN o un riconoscimento biometrico (facciale, iris o impronta digitale) con dispositivi Windows.
Windows Hello'autenticazione è associata al dispositivo. l'utente deve avere sia il dispositivo che un componente di accesso, ad esempio un PIN o un fattore biometrico, per accedere alle risorse aziendali.
Accedere usando un telefono cellulare con scansione dell'impronta digitale, riconoscimento facciale o iris o PIN.
Gli utenti a cui si accede per l'account aziendale o personale dal PC o dal telefono cellulare.
Accedere con il dispositivo di sicurezza FIDO2 (biometria, PIN e NFC)
L'utente può accedere ai dispositivi in base ai controlli dell'organizzazione ed eseguire l'autenticazione in base al PIN, alla biometria usando dispositivi come chiavi di sicurezza USB e smart card, chiavi o dispositivi indossabili abilitati per NFC.
Scenari abilitati Esperienza senza password con il dispositivo Windows.
Applicabile per PC di lavoro dedicato con possibilità di accesso Single Sign-On a dispositivi e applicazioni.
Soluzione ovunque senza password che usa il telefono cellulare.
Applicabile per l'accesso alle applicazioni aziendali o personali sul Web da qualsiasi dispositivo.
Esperienza senza password per i dipendenti che usano biometria, PIN e NFC.
Applicabile per i PC condivisi e in cui un telefono cellulare non è un'opzione praticabile (ad esempio per il personale help desk, il chiosco pubblico o il team dell'ospedale)

Usare la tabella seguente per scegliere il metodo che supporterà i requisiti e gli utenti.

Persona Scenario Ambiente Tecnologia senza password
Admin Proteggere l'accesso a un dispositivo per le attività di gestione Dispositivo Windows 10 assegnato Windows Hello for Business e/o chiave di sicurezza FIDO2
Admin Attività di gestione nei dispositivi non Windows Dispositivo mobile o non Windows Accesso senza password con l'app Microsoft Authenticator password
Information Worker Lavoro di produttività Dispositivo Windows 10 assegnato Windows Hello for Business e/o chiave di sicurezza FIDO2
Information Worker Lavoro di produttività Dispositivo mobile o non Windows Accesso senza password con l'app Microsoft Authenticator password
Frontline worker Chioschi in una fabbrica, un impianto, una vendita al dettaglio o un'immissione di dati Dispositivi Windows 10 condivisi Chiavi di sicurezza FIDO2

Passaggi successivi

Per iniziare a usare senza password in Azure AD, completare una delle procedure seguenti: