Login a Windows senza password:
FIDO2 e impronta in azienda

In breve: si può accedere a Windows senza password, con una chiave di sicurezza FIDO2 e l’impronta digitale, anche su PC Microsoft Entra hybrid joined gestiti da Intune — mantenendo il single sign-on alle risorse on-premises. L’abbiamo configurato per un cliente con infrastruttura ibrida: di seguito l’architettura, l’esperienza utente reale (solo impronta) e i limiti da conoscere prima di partire. Niente teoria: come si fa davvero.

Cosa significa accedere con FIDO2

FIDO2 è lo standard aperto che permette di autenticarsi con una chiave di sicurezza fisica invece che con una password. La chiave custodisce una credenziale crittografica legata al servizio per cui è stata registrata: per questo è resistente al phishing. Non c’è un codice da digitare o intercettare — come accade con le password e con gli OTP via SMS o app — e su una pagina fasulla la chiave semplicemente non risponde.

Per accedere servono due cose insieme: il possesso della chiave e un fattore locale — un’impronta o un PIN. Una chiave smarrita, da sola, non basta. È il principio della gestione dell’identità digitale moderna: qualcosa che hai, sbloccato da qualcosa che sei.

I tre livelli che rendono possibile il login

Far funzionare il login FIDO2 su PC ibridi (Entra hybrid joined) — cioè registrati sia in Active Directory locale sia in Microsoft Entra — richiede tre livelli che devono parlarsi:

• 1Identità (Microsoft Entra)— il metodo FIDO2 va abilitato nelle policy dei metodi di autenticazione e assegnato agli utenti che registreranno la chiave.
• 2Dispositivo (Intune)— una policy del Settings Catalog attiva sul PC il provider di credenziali FIDO2 (l’impostazione Use Security Key For Sign-in), così la chiave compare nella schermata di accesso di Windows.
• 3Active Directory (Entra Kerberos)— il tassello indispensabile per l’ibrido: Microsoft Entra emette un ticket Kerberos parziale che un domain controller converte in ticket completo, dando l’SSO alle risorse interne. Si configura lato server di sincronizzazione con il modulo Azure AD Hybrid Authentication Management, e la sua chiave va ruotata periodicamente.

L’esperienza utente: solo impronta

Nel caso reale abbiamo usato chiavi FIDO2 biometriche, con lettore d’impronta integrato. L’accesso quotidiano avviene così: si inserisce la chiave e si appoggia il dito. Il PIN della chiave viene impostato solo come fallback di gestione e recupero, e non è richiesto nell’uso normale. Un dettaglio operativo che fa la differenza: conviene impostare PIN e registrare l’impronta sulla chiave prima di registrare la passkey su Entra, così la verifica è biometrica fin dal primo accesso.

E la privacy? La biometria non lascia mai il dispositivo: l’impronta viene elaborata e conservata localmente, sulla chiave o sul computer, e non viene mai trasmessa a Entra, ad Active Directory o ad altri server. Ciò che viaggia è solo una prova crittografica che la verifica locale è andata a buon fine. È un approccio coerente con il GDPR, perché il dato biometrico non viene centralizzato.

Per non restare bloccati se la chiave non è disponibile, si registra una passkey di backup nell’app Microsoft Authenticator sullo smartphone: anch’essa una credenziale FIDO2 resistente al phishing, sbloccata dal volto o dall’impronta del telefono — non una notifica push né un OTP. Risultato: ogni utente ha due metodi passwordless, la chiave fisica per l’uso quotidiano e la passkey sul telefono come riserva.

Come si parte da zero, senza password

C’è un classico problema dell’uovo e della gallina: per registrare la prima chiave senza usare una password serve un punto d’ingresso sicuro. Lo strumento è il Temporary Access Pass (TAP): un codice temporaneo a tempo che l’amministratore emette per l’utente. Con il TAP l’utente accede al portale di sicurezza, registra la chiave FIDO2 e poi la passkey di backup. Conviene un TAP multi-uso con validità ampia, per non scontrarsi con il limite stretto di quello monouso.

A supporto, una campagna di registrazione guida gli utenti del gruppo target ad aggiungere la chiave al primo accesso. Lato PC basta sincronizzare Intune e riavviare per recepire la regola; su una macchina già ibrida si verifica con dsregcmd /status che risulti sia Entra joined sia domain joined. L’estensione agli altri utenti avviene tramite un gruppo dedicato, senza rifare la configurazione ogni volta.

Cosa NON funziona: i limiti reali

La parte che nessuno racconta, e che conta in fase di progetto. Il login con chiave FIDO2 copre l’accesso interattivo al PC Windows, ma non si estende automaticamente a tutto:

• RDP, VDI e Citrix— non supportati nativamente, se non tramite redirezione WebAuthn dove disponibile. Idem per il login diretto ai server e per «Esegui come».
• Dispositivi solo AD domain joined— senza hybrid join verso Entra, lo scenario non si applica.
• Account di emergenza (break-glass)— vanno tenuti fuori dal perimetro passwordless, come rete di sicurezza.
• Prerequisiti— Windows 10 2004 o successivo, domain controller Windows Server 2016+ aggiornati con AES abilitato, almeno un domain controller scrivibile per sito.

Perché conviene, e come aiutiamo

Togliere la password dall’accesso ai computer aziendali elimina il vettore d’attacco più sfruttato — credenziali rubate, phishing, riuso delle password — e migliora anche l’esperienza: si entra con un dito. L’autenticazione resistente al phishing è tra le misure più richieste anche in chiave NIS2, e si inserisce naturalmente in un modern workplace gestito con Microsoft 365 e Intune.

AtWorkStudio opera da Piacenza dal 2000. Progettiamo e gestiamo ambienti ibridi Entra/Intune e percorsi passwordless end-to-end. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN (Agenzia per la Cybersicurezza Nazionale) per i servizi cloud, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.