Implementare l'autenticazione senza password in Microsoft Entra ID

Completato

L'autenticazione a più fattori riduce significativamente il rischio di violazione in Contoso, ma l'accesso basato su password lascia comunque il phishing come possibile percorso di attacco. Il passaggio successivo consiste nello spostare gli utenti nell'autenticazione senza password, in cui l'accesso si basa sul possesso di un dispositivo attendibile e di un PIN o biometrico locale anziché su un segreto riutilizzabile.

In termini pratici, senza password migliora sia la sicurezza che l'esperienza utente. Gli utenti completano l'accesso più velocemente, i team dell'help desk vedono un minor numero di richieste di reimpostazione delle password e i team di sicurezza riducono l'esposizione agli attacchi di furto e riproduzione delle credenziali.

Associare i metodi senza password agli utenti tipo

Microsoft Entra ID supporta più metodi senza password. La strategia di distribuzione migliore consiste nell'assegnare metodi da persona invece di applicare un metodo per tutti.

Persona Metodo consigliato Alternativa
Amministratori e utenti regolamentati Chiave di sicurezza FIDO2 Windows Hello per le aziende
Lavoratori d'ufficio su dispositivi Windows aziendali Windows Hello per le aziende Chiave di accesso in Microsoft Authenticator
Utenti per dispositivi mobili e multipiattaforma Chiave di accesso in Microsoft Authenticator Passkey sincronizzato
Lavoratori in prima linea o su dispositivi condivisi Chiave di sicurezza FIDO2 Chiave di accesso in Microsoft Authenticator
Utenti BYOD Passkey sincronizzato o Passkey autenticatore Chiave di sicurezza FIDO2

Diagramma del flusso decisionale che mostra i percorsi di distribuzione senza password: FIDO2 per dispositivi condivisi e sul campo, Windows Hello for Business per portatili aziendali, passkey Authenticator per utenti mobili e passkey sincronizzati per scenari bring-your-own-device.

In Contoso i ruoli con privilegi che gestiscono i sistemi sensibili ricevono chiavi di sicurezza FIDO2, mentre la maggior parte dei knowledge worker usa Windows Hello for Business su portatili gestiti e passkey Authenticator su dispositivi mobili.

Distribuire Windows Hello for Business per dispositivi Windows gestiti

Windows Hello for Business (WHfB) crea una credenziale crittografica protetta dall'hardware del dispositivo e sbloccata localmente con un PIN o un movimento biometrico. Poiché non viene inviata alcuna password durante l'accesso, la resistenza al phishing è notevolmente migliorata.

WHfB è ideale per i dispositivi Windows aggiunti a Microsoft Entra o uniti ibridi, gestiti da Intune o Criteri di gruppo. Per una migliore compatibilità e esperienza, convalidare le versioni di Windows supportate e la disponibilità TPM prima dell'implementazione generale.

Usare un approccio di abilitazione in più fasi:

  1. Abilitare i criteri di Windows Hello for Business per un gruppo pilota.
  2. Convalidare la configurazione biometrica e del PIN nell'hardware di destinazione.
  3. Espandi a tutti gli utenti di Windows aziendali.
  4. Tenere traccia del successo degli accessi e delle tendenze di assistenza utenti.

Abilitare passkey in Microsoft Authenticator per utenti mobili e multipiattaforma

Per gli utenti che lavorano su più piattaforme, Passkey in Microsoft Authenticator fornisce credenziali portabili resistenti al phishing. Le credenziali sono supportate dall'hardware nel dispositivo mobile e sbloccate con biometria locale o PIN.

Nell'interfaccia di amministrazione di Microsoft Entra configurare i criteri del metodo di autenticazione Passkey (FIDO2) e impostare come destinazione i gruppi di utenti corretti. Gli utenti eseguono la registrazione dalla pagina Informazioni di sicurezza .

Suggerimento

Usare il pass di accesso temporaneo (TAP) per avviare la registrazione senza password per la prima volta per nuovi assunti e scenari di ripristino.

Rilasciare chiavi di sicurezza FIDO2 per scenari a garanzia elevata

Le chiavi di sicurezza FIDO2 sono ideali per amministratori con privilegi, utenti regolamentati e ambienti workstation condivisi. Forniscono una forte resistenza al phishing e non sono legati a una piattaforma del dispositivo.

Quando si configura FIDO2 nei criteri:

  • Definire prima le chiavi di ambito per i popolamenti con il rischio più elevato.
  • Limitarsi alle chiavi approvate o attestate, laddove possibile.
  • Convalidare le scelte di approvvigionamento rispetto alle linee guida per la compatibilità e l'attestazione di Microsoft.

Per Contoso, questo è il metodo predefinito per gli amministratori e i team incentrati sulla conformità che accedono a aree di gestione e dati altamente sensibili.

Pianificare passkey sincronizzati in cui la comodità è una priorità

I passkey sincronizzati (scenari di supporto in anteprima possono variare) possono migliorare l'adozione per gli utenti con più dispositivi personali. Scambiano alcune caratteristiche di controllo aziendale per praticità e ampio supporto dell'ecosistema.

Usare passkey sincronizzati per i popolamenti di utenti generali a basso rischio, in cui l'usabilità è un driver di adozione principale. Continuare a usare le credenziali associate all'hardware (WHfB o FIDO2) per gli utenti con privilegi.

Estendere la strategia senza password ai carichi di lavoro di applicazioni e servizi

La maggior parte delle applicazioni moderne che usano Microsoft Entra ID con OAuth 2.0/OpenID Connect può usare accessi senza password senza modifiche al codice dell'app. Convalidare i percorsi utente per ogni piattaforma client per confermare il comportamento.

Per le identità non umane e i servizi back-end:

  • Preferisce le identità gestite per i carichi di lavoro ospitati in Azure.
  • Usare l'autenticazione basata su certificati anziché i segreti client di lunga durata quando l'identità gestita non è disponibile.
  • Applicare controlli e monitoraggio delle identità del carico di lavoro alle entità servizio con privilegi elevati.

Implementazione in fasi e misurazione dell'adozione

Un'implementazione in più fasi consente a Contoso di ridurre le interruzioni migliorando al contempo i risultati della sicurezza.

  1. Pilota: pionieri dell'IT e della sicurezza.
  2. Ruoli con privilegi: amministratori e utenti ad alto impatto.
  3. Team aziendali critici: personale sanitario e operativo.
  4. Forza lavoro generale: coinvolgimento a larga scala con campagne di registrazione.
  5. Ottimizzazione: ridurre la dipendenza delle password dove possibile.

Monitorare lo stato di avanzamento con un piccolo set di segnali coerente:

  • Percentuale di accessi completati con metodi senza password.
  • Frequenza di completamento della registrazione per gruppo di utenti.
  • Tendenze degli errori di accesso in base al metodo.
  • Volume dei ticket dell'help desk legato all'autenticazione.

In Contoso, queste metriche guidano l'ottimizzazione dei criteri, le comunicazioni degli utenti e l'idoneità del supporto in modo che la passwordless rimanga sia sicura che pratica. Con i metodi senza password mappati alle persone e distribuiti in fasi, Contoso è in grado di ridurre il rischio di phishing, offrendo agli utenti un accesso più rapido e meno impegnativo.