Condividi tramite


Supporto dell’autenticazione FIDO2 con Microsoft Entra ID

Microsoft Entra ID consente l'uso di passkey per l'autenticazione senza password. Questo articolo spiega quali app native, web browser e sistemi operativi supportano l'autenticazione senza password usando passkey FIDO2 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente le passkey associate a dispositivi archiviate nelle chiavi di sicurezza FIDO2 e su Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con le passkey. Stiamo investendo in passkey sincronizzate e associate a dispositivi per gli account aziendali.

Supporto di applicazioni native

Le sezioni seguenti illustrano il supporto per le applicazioni Microsoft e di terze parti. L'autenticazione Passkey (FIDO2) con un provider di identità di terze parti (IDP) non è supportata nelle applicazioni di terze parti che usano il broker di autenticazione o le applicazioni Microsoft in macOS, iOS o Android in questo momento.

Supporto di applicazioni native con broker di autenticazione

Le applicazioni Microsoft forniscono supporto nativo per l'autenticazione FIDO2 per tutti gli utenti che dispongono di un broker di autenticazione installato per il sistema operativo. L'autenticazione FIDO2 è supportata anche per le applicazioni di terze parti che usano il broker di autenticazione.

Nella tabella seguente sono elencati i broker di autenticazione supportati per i diversi sistemi operativi.

Sistema operativo Broker di autenticazione Supporta FIDO2
iOS Microsoft Authenticator
macOS Portale aziendale Microsoft Intune1
Android2 Autenticatore, Portale aziendale o app di Collegamento a Windows

1In macOS è necessario il plug-in Microsoft Enterprise Single Sign-On (SSO) per abilitare il Portale aziendale come broker di autenticazione. I dispositivi che eseguono macOS devono soddisfare i requisiti del plug-in SSO, inclusa la registrazione nella gestione di dispositivi mobili. Per l'autenticazione FIDO2, assicurati di eseguire l'ultima versione delle applicazioni native.

2Il supporto delle applicazioni native per le chiavi di sicurezza FIDO2 in Android versione 13 e versioni precedenti è in fase di sviluppo.

Se un utente ha installato un broker di autenticazione, può scegliere di accedere con una chiave di sicurezza quando accede a un'applicazione, ad esempio a Outlook. Verrà reindirizzato per accedere con FIDO2 e quindi reindirizzato a Outlook come utente connesso dopo la corretta autenticazione.

Supporto di applicazioni Microsoft senza broker di autenticazione

La tabella seguente elenca il supporto delle applicazioni Microsoft per passkey (FIDO2) senza un broker di autenticazione.

Applicazione macOS iOS Android
Desktop remoto
App Windows

Supporto di applicazioni di terze parti senza broker di autenticazione

Se l'utente deve ancora installare un broker di autenticazione, può comunque registrarsi con una passkey quando accede alle applicazioni abilitate per MSAL. Per altre informazioni sui requisiti per le applicazioni abilitate per MSAL, vedi Supportare l'autenticazione senza password con chiavi FIDO2 nelle app che sviluppi.

Supporto Web browser

In questa tabella sono elencati i browser supportati per l'autenticazione di account Microsoft Entra ID e Microsoft tramite FIDO2. Gli account Microsoft vengono creati dagli utenti per servizi come Xbox, Skype o Outlook.com.

Sistema operativo Chrome Edge Firefox Safari
Windows N/D
macOS
ChromeOS N/D N/D N/D
Linux N/D
iOS
Android 1 N/D

1Il supporto per passkey in Authenticator con Edge nei dispositivi Android sarà presto disponibile.

Web browser supportati per ogni piattaforma

Nelle tabelle seguenti sono illustrati i trasporti supportati per ogni piattaforma. I tipi di dispositivi supportati includono USB, NFC (Near Field Communication) e BLE (Bluetooth Low Energy).

Finestre

Browser USB NFC BLE
Edge
Chrome
Firefox

Versione minima del browser

Di seguito sono riportati i requisiti per la versione minima del browser su Windows.

Browser Versione minima
Chrome 76
Edge Windows 10 versione 19031
Firefox 66

1Tutte le versioni del nuovo Microsoft Edge basato su Chromium supportano FIDO2. Il supporto in Microsoft Edge legacy è stato aggiunto nella versione 1903.

macOS

Browser USB NFC1 BLE1
Edge N/D N/D
Chrome N/D N/D
Firefox2 N/D N/D
Safari2,3 N/D N/D

1Le chiavi di sicurezza NFC e BLE non sono supportate in macOS di Apple.

2La nuova registrazione delle chiavi di sicurezza non funziona in questi browser macOS perché non richiedono la configurazione dei dati biometrici o del PIN.

3Vedere Accedi quando vengono registrati più di tre passkey.

ChromeOS

Browser1 USB NFC BLE
Chrome

1La registrazione delle chiavi di sicurezza non è supportata in ChromeOS o nel browser Chrome.

Linux

Browser USB NFC BLE
Edge
Chrome
Firefox

iOS

Browser1,3 Lightning NFC BLE2
Edge N/D
Chrome N/D
Firefox N/D
Safari N/D

1La nuova registrazione delle chiavi di sicurezza non funziona nei browser iOS perché non richiedono la configurazione dei dati biometrici o del PIN.

2Le chiavi di sicurezza BLE non sono supportate in iOS di Apple.

3Vedere Accedi quando vengono registrati più di tre passkey.

Android

Browser1 USB NFC BLE2
Edge
Chrome
Firefox

1La registrazione della chiave di sicurezza con Microsoft Entra ID non è ancora supportata in Android.

2Le chiavi di sicurezza BLE non sono supportate in Android di Google.

Problemi noti

Accedere quando vengono registrati più di tre passkey

Se sono stati registrati più di tre passkey, l'accesso con una passkey potrebbe non funzionare. Se sono presenti più di tre passkey, come soluzione alternativa, fare clic su Opzioni di accesso e accedere senza immettere un nome utente.

Screenshot delle opzioni di accesso.

Supporto PowerShell

Microsoft Graph PowerShell supporta FIDO2. Alcuni moduli di PowerShell che usano Internet Explorer invece di Edge non riescono a eseguire l'autenticazione FIDO2. Ad esempio, i moduli di PowerShell per SharePoint Online o Teams oppure tutti gli script di PowerShell che richiedono credenziali di amministratore, non richiedono FIDO2.

Come soluzione alternativa, la maggior parte dei fornitori può inserire i certificati nelle chiavi di sicurezza FIDO2. L'autenticazione basata su certificati (CBA) funziona in tutti i browser. Se puoi abilitare l'autenticazione basata su certificati per tali account amministratore, nel frattempo puoi richiedere tale tipo di autenticazione invece di FIDO2.

Passaggi successivi

Abilitare l'accesso con chiave di sicurezza senza password