Opzioni di autenticazione con password per Azure Active DirectoryPasswordless authentication options for Azure Active Directory

Funzionalità come l'autenticazione a più fattori sono un ottimo modo per proteggere l'organizzazione, ma gli utenti spesso sono frustrati con il livello di sicurezza aggiuntivo oltre a dover ricordare le proprie password.Features like multi-factor authentication (MFA) are a great way to secure your organization, but users often get frustrated with the additional security layer on top of having to remember their passwords. I metodi di autenticazione senza password sono più convenienti perché la password viene rimossa e sostituita da un elemento, più un elemento o un elemento che si conosce.Passwordless authentication methods are more convenient because the password is removed and replaced with something you have, plus something you are or something you know.

AutenticazioneAuthentication Un elementoSomething you have Un elemento o una conoscenzaSomething you are or know
Accesso senza passwordPasswordless Dispositivo Windows 10, telefono o chiave di sicurezzaWindows 10 Device, phone, or security key Biometrico o PINBiometric or PIN

Ogni organizzazione ha esigenze diverse per quanto riguarda l'autenticazione.Each organization has different needs when it comes to authentication. Microsoft offre le tre opzioni di autenticazione senza password seguenti che si integrano con Azure Active Directory (Azure AD):Microsoft offers the following three passwordless authentication options that integrate with Azure Active Directory (Azure AD):

  • Windows Hello for BusinessWindows Hello for Business
  • App Microsoft AuthenticatorMicrosoft Authenticator app
  • Chiavi di sicurezza FIDO2FIDO2 security keys

Autenticazione: sicurezza e convenienza

Windows Hello for BusinessWindows Hello for Business

Windows Hello for business è ideale per gli Information Worker che dispongono di un proprio PC Windows designato.Windows Hello for Business is ideal for information workers that have their own designated Windows PC. Le credenziali biometriche e PIN sono direttamente collegate al PC dell'utente, che impedisce l'accesso a utenti diversi dal proprietario.The biometric and PIN credentials are directly tied to the user's PC, which prevents access from anyone other than the owner. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto integrato per Single Sign-On (SSO), Windows Hello for business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.With public key infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Esempio di accesso utente con Windows Hello for business

I passaggi seguenti illustrano il funzionamento del processo di accesso con Azure AD:The following steps show how the sign-in process works with Azure AD:

Diagramma che descrive i passaggi necessari per l'accesso utente con Windows Hello for business

  1. Un utente accede a Windows usando biometrico o un movimento PIN.A user signs into Windows using biometric or PIN gesture. Il movimento Sblocca la chiave privata di Windows Hello for business e viene inviata all'Security Support Provider di autenticazione cloud, denominata provider di app Cloud.The gesture unlocks the Windows Hello for Business private key and is sent to the Cloud Authentication security support provider, referred to as the Cloud AP provider.
  2. Il provider AP cloud richiede un parametro nonce da Azure AD.The Cloud AP provider requests a nonce from Azure AD.
  3. Azure AD restituisce un parametro nonce valido per 5 minuti.Azure AD returns a nonce that's valid for 5 minutes.
  4. Il provider AP cloud firma il parametro nonce usando la chiave privata dell'utente e restituisce il parametro nonce firmato al Azure AD.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure AD.
  5. Azure AD convalida il parametro nonce firmato usando la chiave pubblica registrata in modo sicuro dell'utente sulla firma nonce.Azure AD validates the signed nonce using the user's securely registered public key against the nonce signature. Dopo la convalida della firma, Azure AD convalida il parametro nonce firmato restituito.After validating the signature, Azure AD then validates the returned signed nonce. Quando il parametro nonce viene convalidato, Azure AD crea un token di aggiornamento primario (PRT) con la chiave della sessione crittografata con la chiave di trasporto del dispositivo e la restituisce al provider di app cloud.When the nonce is validated, Azure AD creates a primary refresh token (PRT) with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
  6. Il provider AP cloud riceve il PRT crittografato con la chiave della sessione.The Cloud AP provider receives the encrypted PRT with session key. Usando la chiave di trasporto privata del dispositivo, il provider AP cloud decrittografa la chiave della sessione e protegge la chiave della sessione usando la Trusted Platform Module del dispositivo (TPM).Using the device's private transport key, the Cloud AP provider decrypts the session key and protects the session key using the device's Trusted Platform Module (TPM).
  7. Il provider AP cloud restituisce una risposta di autenticazione riuscita a Windows.The Cloud AP provider returns a successful authentication response to Windows. L'utente può quindi accedere a Windows e alle applicazioni cloud e locali senza la necessità di eseguire nuovamente l'autenticazione (SSO).The user is then able to access Windows as well as cloud and on-premises applications without the need to authenticate again (SSO).

La Guida alla pianificazione di Windows Hello for business può essere usata per prendere decisioni sul tipo di distribuzione di Windows Hello for business e sulle opzioni che è necessario prendere in considerazione.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

App Microsoft AuthenticatorMicrosoft Authenticator App

È anche possibile consentire al telefono del dipendente di diventare un metodo di autenticazione con password.You can also allow your employee's phone to become a passwordless authentication method. È possibile che si stia già usando l'app Microsoft Authenticator come comoda opzione di autenticazione a più fattori, oltre a una password.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. È anche possibile usare l'app Authenticator come opzione con password.You can also use the Authenticator App as a passwordless option.

Accedere a Microsoft Edge con l'app Microsoft Authenticator

L'app Authenticator converte qualsiasi telefono iOS o Android in una credenziale complessa senza password.The Authenticator App turns any iOS or Android phone into a strong, passwordless credential. Gli utenti possono accedere a qualsiasi piattaforma o browser inviando una notifica al telefono, associando un numero visualizzato sullo schermo a quello sul telefono e quindi usando la relativa biometrica (tocco o viso) o PIN per confermare.Users can sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric (touch or face) or PIN to confirm. Per informazioni dettagliate sull'installazione, vedere scaricare e installare l'app Microsoft Authenticator .Refer to Download and install the Microsoft Authenticator app for installation details.

L'autenticazione con password con l'app Authenticator segue lo stesso modello di base di Windows Hello for business.Passwordless authentication using the Authenticator app follows the same basic pattern as Windows Hello for Business. È un po' più complicato perché l'utente deve essere identificato in modo che Azure AD possa trovare la versione dell'app Microsoft Authenticator usata:It's a little more complicated as the user needs to be identified so that Azure AD can find the Microsoft Authenticator App version being used:

Diagramma che descrive i passaggi necessari per l'accesso utente con l'app Microsoft Authenticator

  1. L'utente immette il proprio nome utente.The user enters their username.
  2. Azure AD rileva che l'utente dispone di una credenziale complessa e avvia il flusso di credenziali complesse.Azure AD detects that the user has a strong credential and starts the Strong Credential flow.
  3. Viene inviata una notifica all'app tramite Apple Push Notification Service (APNS) nei dispositivi iOS o tramite Firebase Cloud Messaging (FCM) su dispositivi Android.A notification is sent to the app via Apple Push Notification Service (APNS) on iOS devices, or via Firebase Cloud Messaging (FCM) on Android devices.
  4. L'utente riceve la notifica push e apre l'app.The user receives the push notification and opens the app.
  5. L'app chiama Azure AD e riceve una richiesta di verifica della presenza e un parametro nonce.The app calls Azure AD and receives a proof-of-presence challenge and nonce.
  6. L'utente completa la richiesta immettendo la relativa biometrica o il PIN per sbloccare la chiave privata.The user completes the challenge by entering their biometric or PIN to unlock private key.
  7. Il parametro nonce viene firmato con la chiave privata e restituito a Azure AD.The nonce is signed with the private key and sent back to Azure AD.
  8. Azure AD esegue la convalida della chiave pubblica/privata e restituisce un token.Azure AD performs public/private key validation and returns a token.

Per iniziare a usare l'accesso senza password, completare le procedure seguenti:To get started with passwordless sign-in, complete the following how-to:

Chiavi di sicurezza FIDO2FIDO2 security keys

Le chiavi di sicurezza di FIDO2 sono un metodo di autenticazione senza password basato su standard unphishable che può provenire da qualsiasi fattore di forma.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. Fast Identity online (FIDO) è uno standard aperto per l'autenticazione con password.Fast Identity Online (FIDO) is an open standard for passwordless authentication. FIDO consente a utenti e organizzazioni di sfruttare lo standard per accedere alle risorse senza nome utente o password usando una chiave di sicurezza esterna o una chiave della piattaforma incorporata in un dispositivo.FIDO allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

I dipendenti possono usare le chiavi di sicurezza per accedere ai dispositivi Azure AD o ibridi Azure AD aggiunti a dispositivi Windows 10 e ottenere l'accesso Single Sign-on alle risorse cloud e locali.Employees can use security keys to sign in to their Azure AD or hybrid Azure AD joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Gli utenti possono anche accedere ai browser supportati.Users can also sign in to supported browsers. Le chiavi di sicurezza di FIDO2 sono un'ottima opzione per le aziende che hanno una sicurezza molto sensibile o hanno scenari o dipendenti che non sono disposti o in grado di usare il telefono come secondo fattore.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren't willing or able to use their phone as a second factor.

L'accesso con chiavi di sicurezza FIDO2 per Azure AD è attualmente in fase di anteprima.Sign-in with FIDO2 security keys to Azure AD are currently in preview.

Accedere a Microsoft Edge con una chiave di sicurezza

Il processo seguente viene usato quando un utente accede con una chiave di sicurezza FIDO2:The following process is used when a user signs in with a FIDO2 security key:

Diagramma che descrive i passaggi necessari per l'accesso utente con una chiave di sicurezza FIDO2

  1. L'utente inserisce la chiave di sicurezza FIDO2 nel computer.The user plugs the FIDO2 security key into their computer.
  2. Windows rileva la chiave di sicurezza FIDO2.Windows detects the FIDO2 security key.
  3. Windows invia una richiesta di autenticazione.Windows sends an authentication request.
  4. Azure AD restituisce un parametro nonce.Azure AD sends back a nonce.
  5. L'utente completa il proprio movimento per sbloccare la chiave privata archiviata nell'enclave protetta della chiave di sicurezza FIDO2.The user completes their gesture to unlock the private key stored in the FIDO2 security key's secure enclave.
  6. La chiave di sicurezza FIDO2 firma il parametro nonce con la chiave privata.The FIDO2 security key signs the nonce with the private key.
  7. La richiesta del token di aggiornamento principale (PRT) con parametro nonce firmato viene inviata a Azure AD.The primary refresh token (PRT) token request with signed nonce is sent to Azure AD.
  8. Azure AD verifica il nonce firmato usando la chiave pubblica FIDO2.Azure AD verifies the signed nonce using the FIDO2 public key.
  9. Azure AD restituisce PRT per consentire l'accesso alle risorse locali.Azure AD returns PRT to enable access to on-premises resources.

Sebbene esistano molte chiavi FIDO2 certificate dall'alleanza di FIDO, Microsoft richiede l'implementazione da parte del fornitore di alcune estensioni facoltative della specifica del protocollo client-to-Authenticator (CTAP) di FIDO2 per garantire la massima sicurezza e l'esperienza ottimale.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Una chiave di sicurezza deve implementare le seguenti funzionalità ed estensioni dal protocollo CTAP di FIDO2 per essere compatibile con Microsoft:A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Funzionalità/attendibilità dell'estensioneFeature / Extension trust Perché questa funzionalità o estensione è necessaria?Why is this feature or extension required?
11 Chiave residenteResident key Questa funzionalità consente la portabilità della chiave di sicurezza, in cui le credenziali sono archiviate nella chiave di sicurezza.This feature enables the security key to be portable, where your credential is stored on the security key.
22 PIN clientClient pin Questa funzionalità consente di proteggere le credenziali con un secondo fattore e si applica alle chiavi di sicurezza che non dispongono di un'interfaccia utente.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 HMAC-segretohmac-secret Questa estensione garantisce che sia possibile accedere al dispositivo quando è offline o in modalità aereo.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Più account per RPMultiple accounts per RP Questa funzionalità garantisce la possibilità di usare la stessa chiave di sicurezza tra più servizi, ad esempio l'account Microsoft e Azure Active Directory.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

I provider seguenti offrono chiavi di sicurezza FIDO2 di diversi fattori di forma che sono noti come compatibili con l'esperienza senza password.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Si consiglia di valutare le proprietà di sicurezza di queste chiavi contattando il fornitore e l'Alleanza FIDO.We encourage you to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

ProviderProvider ContattoContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
HIDHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
Soluzioni TrustKeyTrustKey Solutions https://www.trustkeysolutions.com/security-keys/
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3
Gemalto (gruppo Thales)Gemalto (Thales Group) https://safenet.gemalto.com/multi-factor-authentication/authenticators/passwordless-authentication/
Onespan Inc.OneSpan Inc. https://www.onespan.com/products/fido
IDmelon Technologies Inc.IDmelon Technologies Inc. https://www.idmelon.com/#idmelon

Nota

Se si acquista e si prevede di usare le chiavi di sicurezza basate su NFC, è necessario un lettore NFC supportato per la chiave di sicurezza.If you purchase and plan to use NFC-based security keys, you need a supported NFC reader for the security key. Il lettore NFC non è un requisito o una limitazione di Azure.The NFC reader isn't an Azure requirement or limitation. Rivolgersi al fornitore della chiave di sicurezza basata su NFC per un elenco dei lettori NFC supportati.Check with the vendor for your NFC-based security key for a list of supported NFC readers.

Se si è un fornitore e si desidera ottenere il dispositivo in questo elenco di dispositivi supportati, contattare Fido2Request@Microsoft.com .If you're a vendor and want to get your device on this list of supported devices, contact Fido2Request@Microsoft.com.

Per iniziare a usare le chiavi di sicurezza di FIDO2, completare le procedure seguenti:To get started with FIDO2 security keys, complete the following how-to:

Quali scenari funzionano con l'anteprima?What scenarios work with the preview?

Azure AD funzionalità di accesso senza password sono attualmente in anteprima.Azure AD passwordless sign-in features are currently in preview. Si applicano le considerazioni seguenti:The following considerations apply:

  • Gli amministratori possono abilitare i metodi di autenticazione con password per il tenantAdministrators can enable passwordless authentication methods for their tenant
  • Gli amministratori possono fare riferimento a tutti gli utenti o selezionare utenti/gruppi nel tenant per ogni metodoAdministrators can target all users or select users/groups within their tenant for each method
  • Gli utenti finali possono registrare e gestire questi metodi di autenticazione con password nel portale per gli accountEnd users can register and manage these passwordless authentication methods in their account portal
  • Gli utenti finali possono accedere con questi metodi di autenticazione senza passwordEnd users can sign in with these passwordless authentication methods
    • App Microsoft Authenticator: funziona in scenari in cui viene usata l'autenticazione Azure AD, incluso in tutti i browser, durante l'installazione di Windows 10 (configurazione guidata) e con app per dispositivi mobili integrate in qualsiasi sistema operativo.Microsoft Authenticator App: Works in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Chiavi di sicurezza: usare la schermata di blocco per Windows 10 e il Web in browser supportati come Microsoft Edge (sia legacy che New Edge).Security keys: Work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge (both legacy and new Edge).

Scegliere un metodo con passwordChoose a passwordless method

La scelta tra queste tre opzioni con password dipende dai requisiti di sicurezza, piattaforma e app dell'azienda.The choice between these three passwordless options depends on your company's security, platform, and app requirements.

Di seguito sono riportati alcuni fattori da considerare quando si sceglie la tecnologia con password Microsoft:Here are some factors for you to consider when choosing Microsoft passwordless technology:

Windows Hello for BusinessWindows Hello for Business Accesso senza password con l'app Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app Chiavi di sicurezza FIDO2FIDO2 security keys
PrerequisitiPre-requisite Windows 10 versione 1809 o successivaWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
App Microsoft AuthenticatorMicrosoft Authenticator app
Telefono (dispositivi iOS e Android che eseguono Android 6,0 o versione successiva).Phone (iOS and Android devices running Android 6.0 or above.)
Windows 10 versione 1809 o successivaWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
ModalitàMode PiattaformaPlatform SoftwareSoftware HardwareHardware
Sistemi e dispositiviSystems and devices PC con un Trusted Platform Module incorporato (TPM)PC with a built-in Trusted Platform Module (TPM)
Riconoscimento del PIN e della biometriaPIN and biometrics recognition
Riconoscimento del PIN e della biometria sul telefonoPIN and biometrics recognition on phone Dispositivi di sicurezza FIDO2 compatibili con MicrosoftFIDO2 security devices that are Microsoft compatible
Esperienza utenteUser experience Accedere con un PIN o un riconoscimento biometrico (facciale, Iris o impronta digitale) con i dispositivi Windows.Sign in using a PIN or biometric recognition (facial, iris, or fingerprint) with Windows devices.
L'autenticazione di Windows Hello è associata al dispositivo. per accedere alle risorse aziendali, l'utente deve disporre sia del dispositivo sia di un componente di accesso, ad esempio un PIN o un fattore biometrico.Windows Hello authentication is tied to the device; the user needs both the device and a sign-in component such as a PIN or biometric factor to access corporate resources.
Eseguire l'accesso con un telefono cellulare con impronta digitale, riconoscimento facciale o Iris oppure PIN.Sign in using a mobile phone with fingerprint scan, facial or iris recognition, or PIN.
Gli utenti possono accedere al proprio account di lavoro o personale dal PC o dal telefono cellulare.Users sign in to work or personal account from their PC or mobile phone.
Accedere con il dispositivo di sicurezza FIDO2 (biometria, PIN e NFC)Sign in using FIDO2 security device (biometrics, PIN, and NFC)
L'utente può accedere al dispositivo in base ai controlli dell'organizzazione ed eseguire l'autenticazione in base al PIN, alla biometria usando dispositivi quali chiavi di sicurezza USB e smart card, chiavi o indossabili abilitati per NFC.User can access device based on organization controls and authenticate based on PIN, biometrics using devices such as USB security keys and NFC-enabled smartcards, keys, or wearables.
Scenari abilitatiEnabled scenarios Esperienza senza password con il dispositivo Windows.Password-less experience with Windows device.
Applicabile per PC di lavoro dedicati con la possibilità di Single Sign-On al dispositivo e alle applicazioni.Applicable for dedicated work PC with ability for single sign-on to device and applications.
Soluzione senza password con il telefono cellulare.Password-less anywhere solution using mobile phone.
Applicabile per accedere alle applicazioni aziendali o personali sul Web da qualsiasi dispositivo.Applicable for accessing work or personal applications on the web from any device.
Esperienza senza password per i dipendenti che usano biometria, PIN e NFC.Password-less experience for workers using biometrics, PIN, and NFC.
Applicabile per i PC condivisi e in cui un telefono cellulare non è un'opzione valida, ad esempio per il personale help desk, il chiosco pubblico o il team ospedalieroApplicable for shared PCs and where a mobile phone is not a viable option (such as for help desk personnel, public kiosk, or hospital team)

Usare la tabella seguente per scegliere il metodo che supporterà i requisiti e gli utenti.Use the following table to choose which method will support your requirements and users.

Utente tipoPersona ScenarioScenario AmbienteEnvironment Tecnologia con passwordPasswordless technology
AdminAdmin Proteggere l'accesso a un dispositivo per le attività di gestioneSecure access to a device for management tasks Dispositivo Windows 10 assegnatoAssigned Windows 10 device Chiave di sicurezza di Windows Hello for business e/o FIDO2Windows Hello for Business and/or FIDO2 security key
AdminAdmin Attività di gestione su dispositivi non WindowsManagement tasks on non-Windows devices Dispositivo mobile o non WindowsMobile or non-windows device Accesso senza password con l'app Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Information WorkerInformation worker Lavoro di produttivitàProductivity work Dispositivo Windows 10 assegnatoAssigned Windows 10 device Chiave di sicurezza di Windows Hello for business e/o FIDO2Windows Hello for Business and/or FIDO2 security key
Information WorkerInformation worker Lavoro di produttivitàProductivity work Dispositivo mobile o non WindowsMobile or non-windows device Accesso senza password con l'app Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Ruolo di lavoro FrontlineFrontline worker Chioschi in una fabbrica, impianto, vendita al dettaglio o immissione di datiKiosks in a factory, plant, retail, or data entry Dispositivi Windows 10 condivisiShared Windows 10 devices Chiavi di sicurezza FIDO2FIDO2 Security keys

Passaggi successiviNext steps

Per iniziare a usare senza password in Azure AD, completare una delle procedure seguenti:To get started with passwordless in Azure AD, complete one of the following how-tos: