Introduzione alla distribuzione dell'autenticazione senza password resistente al phishing in Microsoft Entra ID
Le password sono il vettore di attacco principale per gli avversari moderni e una fonte di attrito per utenti e amministratori. Nell'ambito di una generale strategia di sicurezza Zero Trust, Microsoft consiglia di passare a soluzioni di autenticazione senza password resistenti al phishing. Questa guida consente di selezionare, preparare e distribuire le credenziali senza password resistenti al phishing corrette per l'organizzazione. Questa guida aiuta a pianificare ed eseguire il progetto di autenticazione senza password resistente al phishing.
Funzionalità come l'autenticazione a più fattori (MFA) sono misure eccellenti per proteggere l'organizzazione, ma gli utenti spesso si sentono frustrati per il livello di sicurezza aggiuntivo, oltre che per la necessità di doversi ricordare le password. I metodi di autenticazione senza password resistenti al phishing sono più pratici. Ad esempio, un'analisi degli account consumer Microsoft mostra che l'accesso con una password può richiedere fino a 9 secondi in media, ma le passkey richiedono solo circa 3 secondi nella maggior parte dei casi. La velocità e la facilità di accesso con le passkey sono ancora maggiori rispetto alle password tradizionali e all'accesso MFA. Gli utenti passkey non devono ricordarsi una password o attendere messaggi SMS.
Nota
Questi dati si basano sull'analisi degli accessi agli account consumer Microsoft.
I metodi senza password resistenti al phishing includono anche funzionalità di sicurezza aggiuntive. Vengono conteggiati automaticamente come MFA usando un elemento che l'utente ha (un dispositivo fisico o una chiave di sicurezza) e qualcosa che l'utente conosce oppure è, ad esempio un PIN o un valore biometrico. A differenza delle tradizionali MFA, i metodi senza password resistenti al phishing deflettono gli attacchi di phishing contro gli utenti usando credenziali basate su hardware che non possono essere facilmente compromesse.
Microsoft Entra ID offre le seguenti opzioni di autenticazione senza password resistenti al phishing:
- Passkey (FIDO2)
- Windows Hello for Business
- Credenziali della piattaforma per macOS (anteprima)
- Passkey dell'app Microsoft Authenticator (anteprima)
- Chiavi di sicurezza FIDO2
- Altri passkey e provider, ad esempio iCloud Keychain - in roadmap
- Autenticazione basata su certificati/smart card
Prerequisiti
Prima di avviare il progetto di distribuzione di autenticazione senza password resistente al phishing di Microsoft Entra, completare questi prerequisiti:
- Verificare i requisiti della licenza
- Verificare i ruoli necessari per eseguire azioni con privilegi
- Identificare i team degli stakeholder che devono collaborare
Requisiti di licenza
La registrazione e l'accesso senza password con Microsoft Entra non richiedono una licenza, ma è consigliabile almeno una licenza Microsoft Entra ID P1 per il set completo di funzionalità associate a una distribuzione di autenticazione senza password. Ad esempio, una licenza microsoft Entra ID P1 consente di applicare l'accesso senza password tramite l'accesso condizionale e tenere traccia della distribuzione con un report attività del metodo di autenticazione. Per informazioni sui requisiti di licenza specifici, vedere le indicazioni sui requisiti di licenza per le funzionalità a cui si fa riferimento in questa guida.
Integrare le app con Microsoft Entra ID
Microsoft Entra ID è un servizio di Gestione delle identità e degli accessi (IAM) basato sul cloud che si integra con molti tipi di applicazioni, tra cui app Software-as-a-Service (SaaS), app line-of-business (LOB), app locali e altro ancora. È necessario integrare le applicazioni con Microsoft Entra ID per ottenere il massimo vantaggio dall'investimento nell'autenticazione senza password e resistente al phishing. Man mano che si integrano altre app con Microsoft Entra ID, è possibile proteggere una porzione più ampia dell'ambiente con i criteri di accesso condizionale che applicano l'uso di metodi di autenticazione resistenti al phishing. Per altre informazioni su come integrare le app con Microsoft Entra ID, vedere Cinque passaggi per integrare le app con Microsoft Entra ID.
Quando si sviluppano applicazioni personalizzate, seguire le indicazioni per gli sviluppatori per supportare l'autenticazione senza password e resistente al phishing. Per altre informazioni, vedere Supportare l'autenticazione senza password con chiavi FIDO2 nelle app sviluppate.
Ruoli richiesti
La tabella seguente elenca i requisiti dei ruoli con privilegi minimi per la distribuzione senza password resistente al phishing. È consigliabile abilitare l'autenticazione senza password resistente al phishing per tutti gli account con privilegi.
| Ruolo Microsoft Entra | Descrizione |
|---|---|
| Amministratore utenti | Per implementare l'esperienza di registrazione combinata |
| Amministratore dell'autenticazione | Per implementare e gestire i metodi di autenticazione |
| Amministratore dei criteri di autenticazione | Per implementare e gestire i Criteri dei metodi di autenticazione |
| Utente | Per configurare l'app Authenticator nel dispositivo; per registrare il dispositivo chiave di sicurezza per l'accesso al Web o a Windows 10/11 |
Team degli stakeholder del cliente
Per garantire il successo, assicurarsi di interagire con gli stakeholder appropriati e di comprenderne i ruoli prima di iniziare la pianificazione e l'implementazione. La tabella seguente elenca i team degli stakeholder comunemente consigliati.
| Team stakeholder | Descrizione |
|---|---|
| Identity and Access Management (IAM) | Gestisce le operazioni quotidiane del sistema IAM |
| Architettura di sicurezza delle informazioni | Pianifica e progetta le procedure di sicurezza delle informazioni dell'organizzazione |
| Operazioni di sicurezza delle informazioni | Esegue e monitora le procedure di sicurezza delle informazioni per l'architettura di sicurezza delle informazioni |
| Sicurezza e controllo | Assicura che i processi IT siano sicuri e conformi. Eseguono controlli regolari, valutano i rischi e consigliano misure di sicurezza per attenuare le vulnerabilità identificate e migliorare il comportamento di sicurezza complessivo. |
| Help desk e Supporto | Assiste gli utenti finali che riscontrano problemi durante le distribuzioni di nuove tecnologie e criteri o quando si verificano problemi |
| Comunicazioni dell'utente finale | Modifiche ai messaggi per gli utenti finali in preparazione per facilitare l'implementazione delle tecnologie rivolte agli utenti |
Passaggi successivi
Implementare un'autenticazione senza password resistente al phishing in Microsoft Entra ID