Abilitare l'accesso alla chiave di sicurezza senza password per Azure AD (anteprima)Enable passwordless security key sign in for Azure AD (preview)

RequisitiRequirements

  • Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
  • Anteprima della registrazione combinata con gli utenti abilitati per SSPRCombined registration preview with users enabled for SSPR
  • L'anteprima della chiave di sicurezza FIDO2 richiede chiavi di sicurezza FIDO2 compatibiliFIDO2 security key preview requires compatible FIDO2 security keys
  • Webauthn richiede Microsoft Edge in Windows 10 versione 1809 o successivaWebAuthN requires Microsoft Edge on Windows 10 version 1809 or higher
  • L'accesso a Windows basato su FIDO2 richiede che Azure AD aggiunto Windows 10 versione 1809 o successivaFIDO2 based Windows sign in requires Azure AD joined Windows 10 version 1809 or higher

Preparare i dispositivi per l'anteprimaPrepare devices for preview

I dispositivi con cui si eseguirà il pilota devono eseguire Windows 10 versione 1809 o successiva.Devices that you will be piloting with must be running Windows 10 version 1809 or higher. L'esperienza migliore è in Windows 10 versione 1903 o successiva.The best experience is on Windows 10 version 1903 or higher.

Abilitare le chiavi di sicurezza per l'accesso a WindowsEnable security keys for Windows sign in

Le organizzazioni possono scegliere di usare uno o più dei metodi seguenti per abilitare l'uso delle chiavi di sicurezza per l'accesso a Windows.Organizations may choose to use one or more of the following methods to enable the use of security keys for Windows sign in.

Abilitare il provider di credenziali tramite IntuneEnable credential provider via Intune

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Microsoft Intune > registrazione del dispositivo registrazione > Windows > Proprietà Windows Hello for business > .Browse to Microsoft Intune > Device enrollment > Windows enrollment > Windows Hello for Business > Properties.
  3. In Impostazioni impostare Usa chiavi di sicurezza per l'accesso a attivato.Under Settings set Use security keys for sign-in to Enabled.

La configurazione delle chiavi di sicurezza per l'accesso non dipende dalla configurazione di Windows Hello for business.Configuration of security keys for sign in, is not dependent on configuring Windows Hello for Business.

Abilitare la distribuzione di Intune di destinazioneEnable targeted Intune deployment

Per specificare come destinazione gruppi di dispositivi specifici per abilitare il provider di credenziali, usare le seguenti impostazioni personalizzate tramite Intune.To target specific device groups to enable the credential provider, use the following custom settings via Intune.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Microsoft Intune > configurazione > del dispositivoprofili > Crea profilo.Browse to Microsoft Intune > Device configuration > Profiles > Create profile.
  3. Configurare il nuovo profilo con le seguenti impostazioniConfigure the new profile with the following settings
    1. Nome: Chiavi di sicurezza per l'accesso a WindowsName: Security Keys for Windows Sign-In
    2. Descrizione: Abilita le chiavi di sicurezza di FIDO da usare durante l'accesso a WindowsDescription: Enables FIDO Security Keys to be used during Windows Sign In
    3. Piattaforma: Windows 10 e versioni successivePlatform: Windows 10 and later
    4. Tipo di profilo: PersonalizzatoProfile type: Custom
    5. Impostazioni URI OMA personalizzate:Custom OMA-URI Settings:
      1. Nome: Attivare le chiavi di sicurezza di FIDO per l'accesso a WindowsName: Turn on FIDO Security Keys for Windows Sign-In
      2. OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSigninOMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      3. Tipo di dati: IntegerData Type: Integer
      4. Valore: 1Value: 1
  4. Questo criterio può essere assegnato a utenti, dispositivi o gruppi specifici.This policy can be assigned to specific users, devices, or groups. Altre informazioni sono disponibili nell'articolo assegnare profili utente e dispositivo in Microsoft Intune.More information can be found in the article Assign user and device profiles in Microsoft Intune.

Creazione dei criteri di configurazione del dispositivo personalizzati di Intune

Abilitare il provider di credenziali tramite il pacchetto di provisioningEnable credential provider via provisioning package

Per i dispositivi non gestiti da Intune, è possibile installare un pacchetto di provisioning per abilitare la funzionalità.For devices not managed by Intune, a provisioning package can be installed to enable the functionality. L'app progettazione configurazione di Windows può essere installata dal Microsoft Store.The Windows Configuration Designer app can be installed from the Microsoft Store.

  1. Avviare Progettazione configurazione Windows.Launch the Windows Configuration Designer.
  2. Selezionare file > nuovo progetto.Select File > New project.
  3. Assegnare un nome al progetto e prendere nota del percorso in cui è stato creato il progetto.Give your project a name and take note of the path where your project is created.
  4. Selezionare Avanti.Select Next.
  5. Lasciare il pacchetto di provisioning selezionato come flusso di lavoro del progetto selezionato e selezionare Avanti.Leave Provisioning package selected as the Selected project workflow and select Next.
  6. Selezionare tutte le edizioni desktop di Windows in scegliere le impostazioni da visualizzare e configurare e selezionare Avanti.Select All Windows desktop editions under Choose which settings to view and configure and select Next.
  7. Selezionare Fine.Select Finish.
  8. Nel progetto appena creato passare a Impostazioni > di runtimeWindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.In your newly created project, browse to Runtime settings > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.
  9. Impostare UseSecurityKeyForSignIn su Enabled.Set UseSecurityKeyForSignIn to Enabled.
  10. Selezionare Esporta > pacchetto di provisioningSelect Export > Provisioning package
  11. Lasciare le impostazioni predefinite nella finestra Compila in descrivere il pacchetto di provisioning e selezionare Avanti.Leave the defaults in the Build window under Describe the provisioning package and select Next.
  12. Lasciare le impostazioni predefinite nella finestra Compila in selezionare i dettagli di sicurezza per il pacchetto di provisioning e fare clic su Avanti.Leave the defaults in the Build window under Select security details for the provisioning package and select Next.
  13. Prendere nota di o modificare il percorso nelle finestre di compilazione in selezionare dove salvare il pacchetto di provisioning e selezionare Avanti.Take note of or change the path in the Build windows under Select where to save the provisioning package and select Next.
  14. Selezionare Compila nella pagina Compila il pacchetto di provisioning .Select Build on the Build the provisioning package page.
  15. Salvare i due file creati (ppkg e cat) in un percorso in cui è possibile applicarli ai computer in un secondo momento.Save the two files created (ppkg and cat) to a location where you can apply them to machines later.
  16. Per applicare il pacchetto di provisioning creato, seguire le istruzioni riportate nell'articolo applicare un pacchetto di provisioning.Follow the guidance in the article Apply a provisioning package, to apply the provisioning package you created.

Ottenere le chiavi di sicurezza FIDO2Obtain FIDO2 security keys

Per ulteriori informazioni sulle chiavi e sui produttori supportati, vedere la sezione relativa alle chiavi di sicurezza di FIDO2 nell'articolo.See the section FIDO2 Security Keys, in the article What is passwordless? for more information about supported keys and manufacturers.

Nota

Se si acquista e si prevede di usare le chiavi di sicurezza basate su NFC, sarà necessario un lettore NFC supportato.If you purchase and plan to use NFC based security keys you will need a supported NFC reader.

Abilita metodo di autenticazione con passwordEnable passwordless authentication method

Abilitare l'esperienza di registrazione combinataEnable the combined registration experience

Le funzionalità di registrazione per i metodi di autenticazione con password si basano sull'anteprima della registrazione combinata.Registration features for passwordless authentication methods rely on the combined registration preview. Per abilitare l'anteprima della registrazione combinata, seguire la procedura descritta nell'articolo abilitare la registrazione delle informazioni di sicurezza combinata (anteprima).Follow the steps in the article Enable combined security information registration (preview), to enable the combined registration preview.

Abilita nuovo metodo di autenticazione con passwordEnable new passwordless authentication method

  1. Accedere al portale di AzureSign in to the Azure portal
  2. Passare a Azure Active Directory > > Metodidiautenticazionedisicurezzacriterimetododi > autenticazione (anteprima)Browse to Azure Active Directory > Security > Authentication methods > Authentication method policy (Preview)
  3. In ogni Metodoscegliere le opzioni seguentiUnder each Method, choose the following options
    1. Abilita -Sì o noEnable - Yes or No
    2. Destinazione -tutti gli utenti o utenti selezionatiTarget - All users or Select users
  4. Salva ogni metodoSave each method

Avviso

I "criteri di restrizione chiave" di FIDO2 non funzionano ancora.The FIDO2 “Key restriction policies” do not work yet. Questa funzionalità sarà disponibile prima della disponibilità generale. per impostazione predefinita, non modificare questi criteri.This functionality will be available before general availability, please do not change these policies from default.

Nota

Non è necessario acconsentire esplicitamente a entrambi i metodi senza password (se si desidera visualizzare in anteprima solo un metodo senza password, è possibile abilitare solo tale metodo).You don’t need to opt in to both of the passwordless methods (if you want to preview only one passwordless method, you can enable only that method). Si consiglia di provare entrambi i metodi poiché hanno entrambi i vantaggi.We encourage you try out both methods since they both have their own benefits.

Registrazione e gestione degli utenti delle chiavi di sicurezza FIDO2User registration and management of FIDO2 security keys

  1. Passare a https://myprofile.microsoft.comBrowse to https://myprofile.microsoft.com
  2. Accedi se non è già stato fattoSign in if not already
  3. Fare clic su info di sicurezzaClick Security Info
    1. Se l'utente ha già registrato almeno un metodo di Multi-Factor Authentication di Azure, può registrare immediatamente una chiave di sicurezza FIDO2.If the user already has at least one Azure Multi-Factor Authentication method registered, they can immediately register a FIDO2 security key.
    2. Se non hanno almeno un metodo di Multi-Factor Authentication di Azure registrato, è necessario aggiungerne uno.If they don’t have at least one Azure Multi-Factor Authentication method registered, they must add one.
  4. Aggiungere una chiave di sicurezza FIDO2 facendo clic su Aggiungi metodo e scegliendo chiave di sicurezzaAdd a FIDO2 Security key by clicking Add method and choosing Security key
  5. Scegliere un dispositivo USB o un dispositivo NFCChoose USB device or NFC device
  6. Prepara la tua chiave e scegli AvantiHave your key ready and choose Next
  7. Verrà visualizzata una casella con la richiesta di creare/immettere un PIN per la chiave di sicurezza, quindi eseguire il gesto necessario per la chiave biometrica o touch.A box will appear and ask you to create/enter a PIN for your security key, then perform the required gesture for your key either biometric or touch.
  8. L'esperienza di registrazione combinata verrà restituita e verrà richiesto di fornire un nome significativo per il token, in modo che sia possibile identificare quale se si dispone di più.You will be returned to the combined registration experience and asked to provide a meaningful name for your token so you can identify which one if you have multiple. Fare clic su Avanti.Click Next.
  9. Fare clic su fine per completare il processoClick Done to complete the process

Gestire la chiave di sicurezza biometria, PIN o reimpostare la chiave di sicurezzaManage security key biometric, PIN, or reset security key

  • Windows 10 versione 1809Windows 10 version 1809
    • Il software complementare del fornitore della chiave di sicurezza è obbligatorioCompanion software from the security key vendor is required
  • Windows 10 versione 1903 o successivaWindows 10 version 1903 or higher
    • Gli utenti possono aprire le impostazioni di Windows nellachiave di sicurezza degli account > del dispositivo >Users can open Windows Settings on their device > Accounts > Security Key
    • Gli utenti possono modificare il PIN, aggiornare i dati biometrici o reimpostare la chiave di sicurezzaUsers can change their PIN, update biometrics, or reset their security key

Registrazione e gestione degli utenti dell'app Microsoft AuthenticatorUser registration and management of Microsoft Authenticator app

Per configurare l'app Microsoft Authenticator per l'accesso tramite telefono, seguire le istruzioni riportate nell'articolo accedere agli account usando l'app Microsoft Authenticator.To configure the Microsoft Authenticator app for phone sign in, follow the guidance in the article Sign in to your accounts using the Microsoft Authenticator app.

Accedi con credenziali senza passwordSign in with passwordless credential

Accedere alla schermata di bloccoSign in at the lock screen

Nell'esempio seguente un utente Bala Sandhu ha già eseguito il provisioning della chiave di sicurezza FIDO2.In the example below a user Bala Sandhu has already provisioned their FIDO2 security key. Bala può scegliere il provider di credenziali della chiave di sicurezza dalla schermata di blocco di Windows 10 e inserire la chiave di sicurezza per accedere a Windows.Bala can choose the security key credential provider from the Windows 10 lock screen and insert the security key to sign into Windows.

Accesso alla chiave di sicurezza dalla schermata di blocco di Windows 10

Accedere al WebSign in on the web

Nell'esempio seguente un utente ha già eseguito il provisioning della chiave di sicurezza FIDO2.In the example below a user has already provisioned their FIDO2 security key. L'utente può scegliere di accedere al Web con la chiave di sicurezza FIDO2 all'interno del browser Microsoft Edge in Windows 10 versione 1809 o successiva.The user can choose to sign in on the web with their FIDO2 security key inside of the Microsoft Edge browser on Windows 10 version 1809 or higher.

Firma della chiave di sicurezza in Microsoft Edge

Problemi notiKnown issues

Provisioning delle chiavi di sicurezzaSecurity key provisioning

Il provisioning e il deprovisioning dell'amministratore delle chiavi di sicurezza non sono disponibili nell'anteprima pubblica.Administrator provisioning and de-provisioning of security keys is not available in the public preview.

Aggiunta ad Azure AD ibridoHybrid Azure AD join

Gli utenti che si basano su WIA SSO che usano credenziali gestite, come le chiavi di sicurezza FIDO2 o l'accesso senza password con Microsoft Authenticator app, devono partecipare a un join ibrido in Windows 10 per sfruttare i vantaggi di SSO.Users relying on WIA SSO that use managed credentials like FIDO2 security keys or passwordless sign in with Microsoft Authenticator app need to Hybrid Join on Windows 10 to get the benefits of SSO. Tuttavia, le chiavi di sicurezza funzionano solo per i computer Azure Active Directory aggiunti per il momento.However, security keys only work for Azure Active Directory Joined machines for now. Si consiglia di provare solo le chiavi di sicurezza di FIDO2 per la schermata di blocco di Windows in macchine virtuali Unite Azure Active Directory.We recommend you only try out FIDO2 security keys for the Windows lock screen on pure Azure Active Directory Joined machines. Questa limitazione non è valida per il Web.This limitation doesn’t apply for the web.

Modifiche UPNUPN changes

Stiamo lavorando per supportare una funzionalità che consente la modifica di UPN nei dispositivi ibridi AADJ e AADJ.We are working on supporting a feature that allows UPN change on hybrid AADJ and AADJ devices. Se l'UPN di un utente viene modificato, non è più possibile modificare le chiavi di sicurezza di FIDO2 per tenere conto di tale valore.If a user’s UPN changes, you can no longer modify FIDO2 security keys to account for that. Quindi, l'unico approccio consiste nel reimpostare il dispositivo e l'utente deve eseguire di nuovo la registrazione.So the only approach is to reset the device and the user has to re-register.

Passaggi successiviNext steps

Informazioni sulla registrazione dei dispositiviLearn about device registration

Informazioni su Azure Multi-Factor AuthenticationLearn about Azure Multi-Factor Authentication