Configura l'autenticazione senza password per il tuo account Microsoft.

La Autenticazione senza password per gli account Microsoft Non si tratta più di una tecnologia futuristica o esclusiva di ambienti altamente avanzati. Oggi, chiunque può accedere a Microsoft 365, Entra ID (precedentemente Azure AD) o al proprio account Microsoft personale utilizzando il telefono cellulare, i dati biometrici o le chiavi di sicurezza, senza dover digitare una sola password. Oltre a essere più comodo, rappresenta una misura fondamentale per ridurre il furto di credenziali e gli attacchi di phishing.

In questo articolo esamineremo, in modo piuttosto dettagliato, Come funziona l'accesso senza password con Microsoft Authenticator e PasskeysEsamineremo i requisiti necessari alla tua organizzazione per implementarlo, come abilitarlo come amministratore in Microsoft Entra ID, cosa possono fare gli utenti finali e quali sono le limitazioni o i problemi noti. Vedremo anche perché Microsoft insiste tanto sull'abbandono della password tradizionale e come tutto ciò si inserisce in una strategia di sicurezza Zero Trust.

Perché Microsoft vuole eliminare le password

Le password sono diventate principale vettore di attacco in ambienti aziendali e personaliVengono riutilizzati, divulgati in seguito a violazioni di dati, indovinati, rubati tramite phishing o malware e, alla minima occasione, un malintenzionato ottiene il pieno accesso ad account di posta elettronica, documenti e applicazioni critiche.

Modelli di sicurezza classici basati su "nome utente + password" più un secondo fattore di base (ad esempio, un SMS) sono meglio di una semplice password, ma presentano ancora diverse debolezze: i messaggi di testo possono essere intercettati, gli utenti cadono ancora vittime di siti web di phishing e il furto di credenziali su larga scala continua.

Per ridurre tutti questi rischi, Microsoft consiglia di passare a Metodi di autenticazione senza password resistenti allo spoofingQuesti metodi si basano su credenziali collegate a un dispositivo fisico (cellulare, laptop, chiave, ecc.) e richiedono qualcosa che si possiede (il dispositivo) e qualcosa che si conosce o si è (PIN, impronta digitale, riconoscimento facciale), implementando l'autenticazione a più fattori in modo integrato, senza costringere l'utente a ricordare nulla.

Inoltre, gli accessi tramite password o credenziali FIDO2 sono molto più veloci. Secondo dati interni di Microsoft, L'autenticazione tramite password può richiedere circa 24 secondi.Mentre una tipica chiave di accesso viene convalidata in circa 8 secondi, e anche meno (circa 3 secondi) se si tratta di una chiave sincronizzata in gestori come Google Password Manager o Portachiavi iCloud.

Questa combinazione di Più sicurezza e meno attrito Per l'utente finale, questo è il motivo per cui Microsoft sta promuovendo con tanta insistenza la sua piattaforma senza password in Microsoft Sign-In ID e in tutto l'ecosistema Microsoft 365 e Windows.

Opzioni di autenticazione senza password in Microsoft Sign In ID

Microsoft Entra ID offre diversi modi per Accedi senza inserire passwordProgettato sia per dispositivi personali che aziendali, e per diverse tipologie di utenti e scenari. Le principali categorie attualmente incluse sono:

Innanzitutto ci sono i chiavi di accesso (FIDO2 / chiavi di accesso)Si tratta di credenziali basate sullo standard FIDO2 memorizzate su un dispositivo (ad esempio, una chiave di sicurezza o una password di piattaforma). Possono essere chiavi sincronizzate tramite gestori come Google Password Manager o iCloud, oppure chiavi basate su hardware fisico come YubiKey e dispositivi simili.

In secondo luogo, Microsoft include Windows Hello per le aziendeQuesta tecnologia crea una credenziale collegata al computer Windows, protetta da un PIN o da dati biometrici (impronta digitale o riconoscimento facciale). Costituisce la base per l'accesso senza password al desktop di Windows quando il dispositivo è associato a un ID di accesso Microsoft o gestito correttamente.

Un'altra opzione è il Chiavi di accesso Microsoft. Accedi a Windows. (in versione preliminare) e il credenziali della piattaforma per macOS (disponibile anche in anteprima). Entrambe le soluzioni consentono al sistema operativo di gestire le credenziali senza password direttamente integrate con Entra ID, semplificando l'accesso sicuro negli ambienti moderni.

Nel mondo della telefonia mobile, spiccano i seguenti modelli: chiavi di accesso nell'applicazione Microsoft AuthenticatorÈ qui che entra in gioco l'accesso senza password tramite telefono: l'utente approva una notifica nell'app, inserisce il numero visualizzato sullo schermo e conferma con un PIN o tramite i dati biometrici del dispositivo, senza dover digitare la password dell'account.

Infine, Microsoft continua a supportare carte intelligenti e autenticazione basata su certificatiche possono essere considerate credenziali senza password in molti contesti aziendali e resistono bene anche ai tentativi di phishing se implementate correttamente.

Come funziona Microsoft Authenticator per accedere senza password

Applicazione Microsoft Authenticator È un componente chiave della strategia senza password di Microsoft. Disponibile per iOS e Android, supporta sia l'autenticazione a più fattori classica (MFA con notifiche push o codici) che accesso telefonico senza password.

Dietro l'autenticatore c'è un autenticazione basata su chiaviIn sostanza, viene generata una credenziale per l'utente e collegata a un dispositivo specifico. Per utilizzare tale credenziale, il dispositivo richiede un fattore di autenticazione locale come un PIN, un'impronta digitale o il riconoscimento facciale. Windows Hello for Business utilizza una tecnologia molto simile, ma è focalizzata sul computer Windows stesso.

Il flusso di utilizzo tipico di accesso tramite telefono È molto semplice. Nella schermata di accesso di Microsoft 365 o in qualsiasi app integrata con Entra ID, l'utente deve solo inserire il proprio nome utente (email aziendale o scolastica). Quindi, invece di digitare la password, seleziona l'opzione per approvare una richiesta nell'app Authenticator.

In quel momento un numero nella schermata di accessoIl dispositivo mobile visualizza una notifica di Authenticator che richiede la conferma dell'accesso. L'utente deve selezionare l'account corretto e inserire nell'app il numero visualizzato sul sito web. Questa verifica incrociata impedisce che qualcuno approvi accidentalmente una notifica che non gli appartiene.

Una volta inserito il numero, il dispositivo chiederà PIN o dati biometrici per verificare che la persona che autorizza sia effettivamente il proprietario del dispositivo mobile. Solo allora l'accesso viene completato e viene concesso l'accesso all'account senza che sia mai stata inserita la password.

Un dettaglio importante è quello È possibile configurare più account Microsoft Sign-In ID. Nella stessa app Authenticator, abilita l'accesso telefonico senza password per tutti gli account, a condizione che il dispositivo sia registrato con il tenant corrispondente. Tuttavia, gli account guest non sono supportati per il modello multi-account sullo stesso dispositivo.

Prerequisiti per l'utilizzo dell'accesso telefonico senza password

Prima di attivare l'accesso senza password per tutti, è necessario assicurarsi che siano soddisfatte alcune condizioni. requisiti tecnici e organizzativi minimiMicrosoft consiglia di esaminare questi punti per evitare problemi futuri.

Da un lato, è altamente consigliabile avere Microsoft introduce l'autenticazione a più fattori (MFA) Configurato all'interno dell'organizzazione, questo sistema consente l'utilizzo delle notifiche push come metodo di verifica. Tali notifiche contribuiscono a bloccare gli accessi non autorizzati e le transazioni fraudolente, e l'app Authenticator genera automaticamente codici di backup nel caso in cui il dispositivo perda la connessione.

Inoltre, è obbligatorio che il Il dispositivo su cui verrà utilizzato l'autenticatore deve essere registrato con ciascun tenant di Entra ID. dove si desidera abilitare l'accesso tramite telefono. Ad esempio, se una persona lavora con account come balas@contoso.com e balas@wingtiptoys.com, il telefono cellulare deve essere registrato con entrambi i tenant (Contoso e Wingtip Toys) per consentire l'accesso senza password con tutte queste identità.

Per la sezione amministrativa, è meglio attivare prima la chiamata. esperienza di registrazione combinata in Microsoft Sign In ID. Questa esperienza unifica la registrazione dei metodi di sicurezza (MFA, reimpostazione della password, ecc.) e semplifica l'attivazione di Authenticator come metodo senza password.

Dal punto di vista delle licenze, il semplice fatto di Registrati ed effettua l'accesso senza password. Non richiede una licenza specifica. Tuttavia, Microsoft consiglia di disporre almeno di una licenza Microsoft Entra ID P1 per sfruttare appieno tutte le funzionalità: accesso condizionale per imporre credenziali resistenti al phishing, report sull'utilizzo dei metodi di autenticazione, ecc.

Infine, è fondamentale identificare i gruppi di lavoro che saranno coinvolti nel progettoGestione delle identità e degli accessi, architettura di sicurezza, operazioni di sicurezza, team di audit, supporto tecnico e comunicazione con gli utenti finali. Se questi gruppi non sono allineati, l'implementazione potrebbe risultare incompleta o generare troppi incidenti.

Come abilitare Microsoft Authenticator senza password come amministratore

Dalla console di gestione di Microsoft Entra ID, gli amministratori hanno la possibilità di definire quali metodi di autenticazione sono consentiti per l'organizzazione. Qui è abilitato Microsoft Authenticator sia per l'autenticazione a più fattori (MFA) tradizionale che per la modalità senza password.

Il punto di partenza è accedere al Accedi al centro di amministrazione Microsoft con un account che abbia, come minimo, il ruolo di Amministratore dei criteri di autenticazione. Una volta effettuato l'accesso, vai alla sezione ID di accesso e da lì a Metodi e criteri di autenticazione, dove vengono gestite le regole di utilizzo per ciascun metodo.

All'interno della configurazione del metodo, è possibile Attiva Microsoft Authenticator e decidere se consentire l'inserimento dell'autenticazione a più fattori classica (notifica push per la conferma della password) e/o l'accesso senza password tramite telefono. Ogni gruppo di utenti può essere configurato per utilizzare una delle due modalità o per limitarla in base alle esigenze di sicurezza.

Per impostazione predefinita, i gruppi sono generalmente configurati per utilizzare "in qualsiasi modo" con AuthenticatorCiò significa che i tuoi membri possono accedere sia approvando una notifica push standard, sia utilizzando l'accesso senza password tramite telefono, se lo hanno registrato correttamente nella tua app.

Una domanda molto comune tra gli amministratori è se sia possibile forzare assolutamente l'uso senza passwordQuesto impedisce all'utente di autenticarsi nuovamente con la propria password anche dopo aver configurato tutto. In realtà, sebbene sia possibile promuovere con forza un modello senza password tramite criteri di accesso condizionale e restrizioni sui metodi consentiti, Microsoft mantiene comunque la possibilità di utilizzare una password in scenari specifici, ad esempio per il ripristino o la compatibilità con determinate applicazioni legacy.

Ciononostante, utilizzando la combinazione di Politica sui metodi di autenticazione e sull'accesso condizionaleSi potrebbe arrivare a una situazione in cui i nuovi utenti, dopo essersi registrati con Authenticator e aver effettuato il primo accesso, utilizzano quasi sempre il telefono o altri metodi senza password, riducendo l'uso della password a circostanze eccezionali.

Registrazione utente nell'applicazione Authenticator

Una volta che Microsoft Authenticator è abilitato come metodo nell'organizzazione, è il momento di affrontare il registrazione dell'utente finaleche può essere fatto in due modi principali: tramite registrazione guidata dalla pagina Informazioni sulla sicurezza oppure utilizzando un pass di accesso temporaneo fornito dall'amministratore.

Nella registrazione guidata standard, l'utente accede alla pagina in un browser Informazioni di sicurezza del tuo accountAccedi con le tue credenziali attuali e seleziona l'opzione Aggiungi metodo. Da lì, scegli "App di autenticazione" e segui le istruzioni per installarla sul tuo dispositivo e collegare il tuo account utilizzando un codice QR o una procedura simile.

Quando tale processo è completato, l'autenticatore viene registrato almeno come Metodo MFANella sezione Informazioni sulla sicurezza dell'account, verrà visualizzato un metodo di autenticazione di tipo Microsoft Authenticator, che può essere "nessuna password" o "inserimento MFA", a seconda di ciò che è consentito e registrato.

Se l'organizzazione desidera che l'utente non debba nemmeno utilizzare una password all'inizio, può optare per Registrazione diretta con pass di accesso temporaneoIn tal caso, l'amministratore genera innanzitutto un pass di accesso temporaneo (TAP) per l'utente, che funge da credenziale temporanea sicura per la configurazione iniziale.

Con questo pass di accesso temporaneo, l'utente installa Microsoft Authenticator sul proprio dispositivo mobile, apre l'app, seleziona Aggiungi account, sceglie un account aziendale o scolastico e si autentica utilizzando il pulsante di autenticazione anziché la password. Successivamente, completa i passaggi indicati dall'applicazione per attivare l'accesso senza password tramite telefono.

In ambienti in cui il ripristino password self-serviceIl TAP può essere utilizzato anche per consentire all'utente di registrare Authenticator come metodo di accesso senza mai dover conoscere o utilizzare una password tradizionale, rafforzando così l'approccio completamente senza password fin dal primo giorno.

Abilita l'accesso tramite telefono nell'app Authenticator.

La registrazione dell'applicazione non è sufficiente: l'utente deve abilitare esplicitamente l'accesso telefonico senza password per ogni account che si desidera utilizzare in questo modo. Questo passaggio spesso passa inosservato, ma è essenziale.

Per attivarlo, l'utente apre l'app Microsoft Authenticator sul proprio dispositivo mobile e seleziona l'opzione account professionale o educativo precedentemente registratoTra le opzioni disponibili, troverai qualcosa di simile a "Configura le richieste di accesso senza password" o "Abilita l'accesso tramite telefono".

Premendo tale opzione, l'applicazione avvia un breve processo di configurazione che potrebbe richiedere Conferma l'identità dell'utente Questo processo prevede l'accesso tramite browser, l'approvazione di una notifica o la convalida di alcune informazioni aggiuntive. Dopo aver completato questi passaggi, l'account viene contrassegnato come idoneo per l'accesso senza password tramite telefono.

Da quel momento in poi, quando l'utente tenta di accedere a Microsoft 365, Entra ID o a qualsiasi applicazione integrata, dopo aver inserito il proprio nome utente potrà scegliere l'opzione per "Approva una richiesta nella mia app Authenticator"Il sito web visualizzerà un numero e l'app chiederà all'utente di selezionarlo e di confermare con un PIN o tramite dati biometrici.

Una volta che l'utente ha iniziato ad accedere in questo modo, il sistema di solito mantenere questo metodo come preferitoViene sempre mostrata l'opzione per approvare la richiesta telefonicamente, pur rimanendo la possibilità di scegliere un metodo alternativo, se necessario.

Per le organizzazioni che desiderano guidare attivamente i propri utenti, è possibile fornire documentazione interna che indichi che, dopo la registrazione di Authenticator, dovrebbero accedere all'app e attivare espressamente l'accesso telefonicoin modo che sia chiaro cosa devono fare e si riduca il numero di interventi di assistenza.

Esperienza di accesso senza password per l'utente

Una volta configurati tutti gli elementi (tenant abilitato, autenticatore registrato e accesso tramite telefono attivato), l'esperienza utente cambia in modo significativo. Invece di affidarsi a una password, l'utente utilizza quasi sempre il proprio dispositivi mobili e dati biometrici.

Nel primo tentativo tipico, la persona scrive il proprio nome utente nel pannello di accesso Da Microsoft 365 o dall'app in questione, tocca Avanti. Se non viene visualizzato di default, puoi toccare Altri modi per accedere per selezionare l'opzione Approva una richiesta nell'app My Authenticator.

Lo schermo visualizzerà un numero casualeQuasi simultaneamente, il dispositivo mobile dell'utente riceverà una notifica da Authenticator che lo avviserà di un tentativo di accesso. Aprendo la notifica, l'app chiederà all'utente di selezionare il numero corretto visualizzato sul suo PC o browser, contribuendo a prevenire accessi non autorizzati o fraudolenti.

Nell'ultimo passaggio, il sistema chiederà all'utente di Sblocca il tuo dispositivo con il PIN, l'impronta digitale o il riconoscimento facciale.Questa combinazione di qualcosa che possiedi (il telefono cellulare) e qualcosa che sei o conosci (PIN o dati biometrici) rende l'autenticazione efficace come un robusto sistema di autenticazione a più fattori (MFA), senza dover ricorrere a codici inviati tramite SMS o e-mail, che sono più vulnerabili.

Dopo diversi tentativi di accesso con questo metodo, la maggior parte degli utenti finisce per dimenticare la password ogni giornoperché il flusso di lavoro di Authenticator diventa il loro metodo naturale per accedere a Office, Teams, OneDrive o qualsiasi altra applicazione collegata all'organizzazione.

Nel caso in cui sia necessario un altro metodo per qualche motivo (ad esempio, perché il telefono cellulare è stato perso o è scarico), c'è sempre la possibilità di ricorrere a altri fattori di autenticazione Se l'amministratore li ha autorizzati: chiavi di accesso, chiavi di sicurezza FIDO2, Windows Hello, smart card o altri meccanismi configurati.

Gestione, controllo e team coinvolti nel progetto senza password

Il modo più consigliato per gestire Microsoft Authenticator e i vari metodi di autenticazione è utilizzare Criteri di accesso per i metodi di autenticazione MicrosoftDa lì, gli amministratori possono abilitare o disabilitare Authenticator, nonché includere o escludere utenti e gruppi specifici.

All'interno di tale direttiva è possibile definire parametri per fornire più contesto nelle richieste di accessoAd esempio, aggiungendo la posizione approssimativa o il nome dell'applicazione che richiede l'accesso, in modo che l'utente abbia maggiori informazioni prima di toccare Approva o Rifiuta sul proprio dispositivo mobile.

Dal punto di vista organizzativo, è fondamentale che il team di Gestione delle identità e degli accessi (IAM) La configurazione quotidiana è gestita dal team di Architettura della Sicurezza, che si occupa anche di definire la strategia di accesso senza password all'interno del quadro di sicurezza generale. Il team di Operazioni di Sicurezza, dal canto suo, monitora gli eventi di autenticazione, indaga sulle potenziali minacce e implementa misure correttive in caso di rilevamento di anomalie.

Il team di sicurezza e audit è responsabile di verificare la conformità alle normative interne ed esterneQuesto implica la revisione periodica dei processi di autenticazione, la valutazione dei rischi e la proposta di miglioramenti. Il tutto è integrato dal lavoro del supporto tecnico, che assiste gli utenti finali nei primi passi con l'autenticazione senza password e risolve problemi specifici.

Infine, l'area di comunicazioni con l'utente finale Svolge un ruolo fondamentale. Un cambiamento così significativo come l'abbandono delle password richiede una comunicazione chiara: cosa cambierà, cosa dovrà fare l'utente, perché è più sicuro e cosa fare in caso di smarrimento del telefono o cambio di dispositivo.

Parallelamente, l'integrazione delle applicazioni con Microsoft Entra ID è un altro aspetto essenziale. Maggiore è il numero di applicazioni (SaaS, LOB, pubblicate in locale, ecc.) integrate con Entra ID, maggiori saranno i risultati ottenibili. Sfrutta l'autenticazione senza password e applica l'accesso condizionale richiedere metodi resistenti al phishing in modo uniforme.

Problemi e limitazioni noti dell'autenticazione senza password

Sebbene il modello senza password sia molto robusto, Microsoft documenta diversi Problemi e limitazioni noti che va tenuto presente per evitare sorprese durante l'implementazione o l'assistenza.

Uno dei casi più frequenti è quando un utente Non visualizzi l'opzione per accedere tramite telefono senza password Nella schermata di autenticazione, anche se Authenticator è configurato. A volte ciò accade perché è presente una verifica in sospeso in Authenticator; se l'utente tenta di accedere nuovamente mentre la richiesta non ha ancora ricevuto risposta, il sistema potrebbe visualizzare solo l'opzione per inserire la password.

La soluzione in questo scenario è semplice: l'utente deve Apri l'app Microsoft Authenticator Accedi al tuo dispositivo mobile e rispondi (approva o rifiuta) a tutte le notifiche in sospeso. Una volta completate queste richieste, l'opzione "telefono senza password" riapparirà normalmente nei successivi tentativi di accesso.

Un'altra limitazione importante è che il vecchio Direttiva AuthenticatorAppSignInPolicy È obsoleto e non è più supportato per il controllo di Authenticator. Per consentire le notifiche push o l'accesso senza password tramite telefono, è sempre necessario utilizzare i criteri Metodi di autenticazione, che vengono gestiti e aggiornati da Microsoft.

Negli ambienti con account federati o ibridi (ad esempio, con Active Directory Federation Services, AD FS), quando un utente abilita una credenziale senza password, il processo di accesso Microsoft entra Interrompere l'utilizzo del parametro login_hintCiò significa che il flusso non obbliga più automaticamente l'utente a un punto di accesso federato, come avveniva in precedenza.

Questo comportamento in genere impedisce a un utente di Il tenant ibrido verrà reindirizzato ad AD FS per convalidare le proprie credenziali.Questo perché si predilige l'autenticazione diretta con metodi senza password supportati da Entra ID. Tuttavia, l'opzione manuale di selezionare "Usa password invece" è solitamente ancora disponibile se la configurazione lo consente.

Nel caso di utenti gestiti da un fornitore di identità locale Tuttavia, anche con l'autenticazione a più fattori (MFA) abilitata, questi utenti potrebbero essere in grado di creare e utilizzare una sola credenziale di accesso al telefono senza password. Se tentano di aggiornare troppe installazioni di Authenticator (ad esempio, più di cinque dispositivi diversi) utilizzando la stessa credenziale senza password, potrebbero verificarsi errori durante il tentativo di registrare nuove istanze.

Come per qualsiasi progetto di sicurezza, queste limitazioni non impediscono l'adozione del modello senza password, ma richiedono... pianificare bene l'architettura delle identitàsoprattutto in organizzazioni ibride di grandi dimensioni o in quelle con particolari esigenze di federazione e autenticazione locale.

In definitiva, l'autenticazione senza password in Microsoft Entra ID, soprattutto con Microsoft Authenticator e le chiavi di accesso, consente alle organizzazioni di ridurre drasticamente il rischio associato a password deboli o rubate, rendendo al contempo il processo di accesso più rapido e comodo per gli utenti. Combinando politiche di autenticazione efficaci, accesso condizionale e una buona comunicazione interna, la password diventa meno importante e i dispositivi mobili, i dati biometrici e le chiavi di sicurezza diventano la base per un'identità più sicura e meno soggetta a furto d'identità.