Možnosti bezheslového ověřování pro Microsoft Entra ID

Funkce, jako je vícefaktorové ověřování (MFA), představují skvělý způsob zabezpečení vaší organizace, ale uživatelé jsou často frustrovaní další vrstvou zabezpečení, která si musí pamatovat svá hesla. Metody ověřování bez hesla jsou pohodlnější, protože heslo se odebere a nahradí něčím, co máte, nebo něco, co znáte.

Ověřování	Něco, co máte	Něco, co jste nebo víte
Bez hesla	Zařízení, telefon nebo klíč zabezpečení Ve Windows 10	Biometrický kód nebo PIN kód

Každá organizace má různé potřeby, pokud jde o ověřování. Microsoft Entra ID a Azure Government integrují následující možnosti ověřování bez hesla:

• Windows Hello pro firmy
• Přihlašovací údaje platformy pro macOS
• Jednotné přihlašování (PSSO) platformy pro macOS s ověřováním pomocí čipové karty
• Microsoft Authenticator
• Přístupové klíče (FIDO2)
• Ověřování pomocí certifikátů

Windows Hello pro firmy

Windows Hello pro firmy je ideální pro informační pracovníky, kteří mají svůj vlastní určený počítač s Windows. Biometrické přihlašovací údaje a přihlašovací údaje k PIN kódu jsou přímo svázané s počítačem uživatele, což brání přístupu od kohokoli jiného než vlastníka. Díky integraci infrastruktury veřejných klíčů (PKI) a integrované podpoře jednotného přihlašování (SSO) poskytuje Windows Hello pro firmy pohodlný způsob bezproblémového přístupu k podnikovým prostředkům místně i v cloudu.

Následující kroky ukazují, jak funguje proces přihlašování s ID Microsoft Entra:

1. Uživatel se přihlásí k Windows pomocí biometrického gesta nebo gesta PIN kódu. Gesto odemkne privátní klíč Windows Hello pro firmy, a následně se odešle poskytovateli podpory zabezpečení cloudového ověřování označovaného jako Cloud Authentication Provider (CloudAP). Další informace o CloudAP naleznete v tématu Co je primární obnovovací token?.
2. CloudAP vyžaduje nonce (náhodné libovolné číslo, které lze použít jednou) od Microsoft Entra ID.
3. Microsoft Entra ID vrátí nonce, který je platný po dobu 5 minut.
4. CloudAP podepíše nonce pomocí privátního klíče uživatele a odešle podepsanou nonce zpět do Microsoft Entra ID.
5. Microsoft Entra ID ověří podepsané nonce pomocí bezpečně registrovaného veřejného klíče uživatele oproti podpisu nonce. Microsoft Entra ID ověří podpis a pak ověří vrácenou znaménku. Po ověření nonce vytvoří Microsoft Entra ID primární obnovovací token (PRT) s klíčem relace, který je šifrovaný pomocí transportního klíče zařízení, a vrátí ho CloudAP.
6. CloudAP obdrží šifrovaný PRT s klíčem relace. CloudAP používá privátní transportní klíč zařízení k dešifrování klíče relace a chrání klíč relace pomocí čipu TPM (Trusted Platform Module) zařízení.
7. CloudAP vrátí úspěšnou odpověď na autentizaci systému Windows. Uživatel pak může přistupovat k windows a cloudovým a místním aplikacím pomocí bezproblémového přihlašování (SSO).

Průvodce plánováním Windows Hello pro firmy vám může pomoct při rozhodování o typu nasazení Windows Hello pro firmy a možnostech, které je potřeba zvážit.

Přihlašovací údaje platformy pro macOS

Přihlašovací údaje platformy pro macOS jsou novou funkcí systému macOS, která je povolená pomocí rozšíření jednotného přihlašování Microsoft Enterprise (SSOe). Poskytuje kryptografický klíč typu hardware zavázaný zabezpečenou enklávou, který se používá pro SSO napříč aplikacemi, jež k ověřování používají Microsoft Entra ID. Heslo místního účtu uživatele není ovlivněno a je nutné se přihlásit k Macu.

Přihlašovací údaje platformy pro macOS umožňují uživatelům přejít bez hesla tak, že nakonfigurují Touch ID k odemknutí zařízení a na základě technologie Windows Hello pro firmy používají přihlašovací údaje odolné vůči phish. Díky tomu šetří zákaznickým organizacím peníze tím, že odstraňuje potřebu klíčů zabezpečení a posouvá cíle Zero Trust pomocí integrace se Secure Enclave.

Přihlašovací údaje platformy pro macOS se dají použít také jako přihlašovací údaje odolné proti útokům phishing, které se dají použít v výzvách WebAuthn, včetně scénářů opětovného ověřování prohlížeče. Správci zásad ověřování musí povolit metodu ověřování FIDO2 (Passkey), která podporuje přihlašovací údaje platformy pro macOS jako přihlašovací údaje odolné proti útokům phishing. Pokud v zásadách FIDO používáte zásady omezení klíčů, musíte do seznamu povolených identifikátorů AAGUID přidat identifikátor AAGUID pro platformu macOS: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

1. Uživatel odemkne macOS pomocí gesta otisku prstu nebo hesla, které odemkne klíčovou tašku a poskytne přístup k UserSecureEnclaveKey.
2. macOS požaduje nonce (náhodné jednorázové číslo, které lze použít jen jednou) z Microsoft Entra ID.
3. Id Microsoft Entra vrátí hodnotu, která je platná po dobu 5 minut.
4. Operační systém (OS) odešle žádost o přihlášení do Microsoft Entra ID s vloženým kontrolním výrazem podepsaným pomocí UserSecureEnclaveKey, který se nachází v zabezpečené enklávě.
5. Microsoft Entra ID ověřuje podepsané tvrzení pomocí bezpečně registrovaného veřejného klíče uživatele pro klíč UserSecureEnclave. Microsoft Entra ID ověří podpis a jednorázové číslo. Po ověření kontrolního výrazu vytvoří ID Microsoft Entra primární obnovovací token (PRT) šifrovaný pomocí veřejného klíče UserDeviceEncryptionKey, který se vymění během registrace a odešle odpověď zpět do operačního systému.
6. Operační systém dešifruje a ověří odpověď, načte tokeny jednotného přihlašování, uloží a sdílí ho s rozšířením jednotného přihlašování pro poskytování jednotného přihlašování. Uživatel má přístup k macOS, cloudu a místním aplikacím pomocí jednotného přihlašování.

Další informace o konfiguraci a nasazení přihlašovacích údajů platformy pro macOS najdete v článku o jednotném přihlašování platformy pro macOS.

Jednotné přihlašování platformy pro macOS pomocí čipové karty SmartCard

Jednotné přihlašování (PSSO) platformy pro macOS umožňuje uživatelům používat metodu ověřování čipové karty SmartCard bez hesla. Uživatel se k počítači přihlásí pomocí externí čipové karty nebo pevného tokenu kompatibilního s čipovou kartou (například Yubikey). Jakmile je zařízení odemknuté, použije se čipová karta s ID Microsoft Entra k udělení jednotného přihlašování napříč aplikacemi, které k ověřování pomocí ověřování pomocí certifikátů (CBA) používají ID Microsoft Entra. Aby tato funkce fungovala, musí být jazyk CBA nakonfigurovaný a povolený pro uživatele. Informace o konfiguraci CBA najdete v tématu Postup konfigurace ověřování založeného na certifikátech Microsoft Entra.

Pokud ho chcete povolit, musí správce nakonfigurovat PSSO pomocí Microsoft Intune nebo jiného podporovaného řešení mobilní správy zařízení (MDM).

1. Uživatel odemkne macOS pomocí PIN kódu čipové karty, který odemkne čipovou kartu a sadu klíčů, aby poskytl přístup k registračním klíčům zařízení, které jsou přítomné v Secure Enclave.
2. macOS požaduje nonce (náhodné libovolné číslo, které lze použít pouze jednou) z Microsoft Entra ID.
3. ID Microsoft Entra vrátí nonce, která je platná po dobu 5 minut.
4. Operační systém (OS) odešle žádost o přihlášení do Microsoft Entra ID s vloženým kontrolním výrazem podepsaným certifikátem Microsoft Entra uživatele z čipové karty.
5. ID Microsoft Entra ověřuje podepsané prohlášení, podpis a nonce. Po ověření kontrolního výrazu vytvoří ID Microsoft Entra primární obnovovací token (PRT) šifrovaný pomocí veřejného klíče UserDeviceEncryptionKey, který se vymění během registrace a odešle odpověď zpět do operačního systému.
6. Operační systém dešifruje a ověří odpověď, načte tokeny jednotného přihlašování, uloží a sdílí ho s rozšířením jednotného přihlašování pro poskytování jednotného přihlašování. Uživatel má přístup k macOS, cloudu a místním aplikacím pomocí jednotného přihlašování.

Microsoft Authenticator

Můžete také povolit, aby se telefon zaměstnance stal metodou ověřování bez hesla. Aplikaci Authenticator už můžete používat jako praktickou možnost vícefaktorového ověřování kromě hesla. Aplikaci Authenticator můžete použít také jako možnost bez hesla.

Aplikace Authenticator změní jakýkoli telefon s iOSem nebo Androidem na silné přihlašovací údaje bez hesla. Uživatelé se můžou přihlásit k libovolné platformě nebo prohlížeči tím, že dostanou oznámení na svůj telefon a porovnají číslo zobrazené na obrazovce s tím na jejich telefonu. Pak můžou k potvrzení použít biometrické údaje (dotyk nebo tvář) nebo PIN kód. Podrobnosti o instalaci najdete v tématu Stažení a instalace aplikace Microsoft Authenticator.

Ověřování bez hesla pomocí aplikace Microsoft Authenticator se řídí stejným základním vzorem jako Windows Hello pro firmy. Je to trochu složitější, protože uživatel musí být identifikován, aby ID Microsoft Entra mohl najít používanou verzi aplikace Authenticator:

1. Uživatel zadá své uživatelské jméno.
2. Microsoft Entra ID zjistí, že uživatel má silné přihlašovací údaje a spustí proces silně zabezpečených přihlašovacích údajů.
3. Oznámení se do aplikace odešle prostřednictvím služby Apple Push Notification Service (APNS) na zařízeních s iOSem nebo prostřednictvím Firebase Cloud Messaging (FCM) na zařízeních s Androidem.
4. Uživatel obdrží nabízené oznámení a otevře aplikaci.
5. Aplikace volá ID Microsoft Entra a přijímá výzvu k ověření přítomnosti a ne.
6. Uživatel tuto výzvu dokončí zadáním biometrického kódu nebo PIN kódu k odemknutí privátního klíče.
7. Nonce je podepsáno privátním klíčem a odesláno zpět do Microsoft Entra ID.
8. Id Microsoft Entra provádí ověření veřejného nebo privátního klíče a vrací token.

Pokud chcete začít s přihlašováním bez hesla, postupujte následovně:

Povolení přihlašování bez hesla pomocí aplikace Authenticator

Přístupové klíče (FIDO2)

Uživatelé můžou zaregistrovat klíč (FIDO2) a zvolit ho jako primární metodu přihlašování. U hardwarového zařízení, které zpracovává ověřování, se zvyšuje zabezpečení účtu, protože neexistuje žádné heslo, které by bylo možné vystavit nebo odhadnout. V současné době může správce ověřování zřídit zabezpečení FIDO2 jménem uživatele pomocí rozhraní Microsoft Graph API a vlastního klienta. Zřizování jménem uživatelů je v tuto chvíli omezeno na bezpečnostní klíče.

FiDO (Fast IDentity Online) Alliance pomáhá podporovat otevřené ověřovací standardy a omezit používání hesel jako formu ověřování. FIDO2 je nejnovější standard, který zahrnuje standard webového ověřování (WebAuthn). FIDO umožňuje organizacím použít standard WebAuthn pomocí externího klíče zabezpečení nebo klíče platformy integrovaného do zařízení pro přihlášení bez uživatelského jména nebo hesla.

Klíče zabezpečení FIDO2 jsou nefalšovatelnou metodou ověřování bez použití hesla, která může přijít v jakémkoli provedení. Běžně se jedná o zařízení USB, ale můžou také používat bluetooth nebo bezkontaktní komunikaci (NFC). Klíče (FIDO2) jsou založené na stejném standardu WebAuthn a dají se uložit v Authenticatoru nebo na mobilních zařízeních, tabletech nebo počítačích.

Klíče zabezpečení FIDO2 lze použít k přihlášení ke svému Microsoft Entra ID nebo k zařízením s Windows 10 připojených hybridně k Microsoft Entra a získat jednotné přihlášení ke svým cloudovým a místním prostředkům. Uživatelé se také můžou přihlásit k podporovaným prohlížečům. Klíče zabezpečení FIDO2 jsou skvělou volbou pro podniky, které jsou velmi citlivé na zabezpečení nebo mají scénáře nebo zaměstnance, kteří nejsou ochotni nebo nemůžou používat telefon jako druhý faktor.

Další informace o podpoře klíče (FIDO2) najdete v tématu Podpora ověřování pomocí klíče (FIDO2) s ID Microsoft Entra. Osvědčené postupy pro vývojáře najdete v tématu Podpora ověřování FIDO2 v aplikacích, které vyvíjejí.

Následující proces se používá, když se uživatel přihlásí pomocí klíče zabezpečení FIDO2:

1. Uživatel připojí klíč zabezpečení FIDO2 do svého počítače.
2. Systém Windows zjistí klíč zabezpečení FIDO2.
3. Systém Windows odešle žádost o ověření.
4. Microsoft Entra ID odešle zpět nonce jako jedinečný identifikátor.
5. Uživatel dokončí gesto odemknutí privátního klíče uloženého v zabezpečené enklávě klíče zabezpečení FIDO2.
6. Klíč zabezpečení FIDO2 podepisuje nonce pomocí soukromého klíče.
7. Požadavek na token primární aktualizace (PRT) s podepsaným nonce se odešle na ID Microsoft Entra.
8. Microsoft Entra ID ověřuje podepsané nonce pomocí veřejného klíče FIDO2.
9. Microsoft Entra ID vrátí PRT, aby bylo možné povolit přístup k místním prostředkům.

Seznam zprostředkovatelů klíčů zabezpečení FIDO2 najdete v tématu Staňte se dodavatelem klíče zabezpečení kompatibilního s rozhraním FIDO2 kompatibilním s Microsoftem.

Pokud chcete začít používat klíče zabezpečení FIDO2, postupujte následovně:

Povolení přihlašování bez hesla pomocí klíčů zabezpečení FIDO2

Ověřování pomocí certifikátů

Ověřování založené na certifikátech Microsoft Entra (CBA) umožňuje zákazníkům povolit nebo vyžadovat, aby se uživatelé ověřili přímo pomocí certifikátů X.509 vůči jejich ID Microsoft Entra pro aplikace a přihlašování v prohlížeči. CBA umožňuje zákazníkům přijmout ověřování odolné proti útokům phishing a přihlásit se pomocí certifikátu X.509 proti infrastruktuře veřejných klíčů (PKI).

Klíčové výhody používání jazyka Microsoft Entra CBA

Zaměstnanecké výhody	Popis
Skvělé uživatelské prostředí	– Uživatelé, kteří potřebují ověřování založené na certifikátech, se teď můžou přímo ověřit na základě ID Microsoft Entra a nemusí investovat do federace. – Uživatelské rozhraní portálu umožňuje uživatelům snadno nakonfigurovat, jak mapovat pole certifikátů na atribut objektu uživatele, aby vyhledali uživatele v tenantovi (vazby uživatelského jména certifikátu). – Uživatelské rozhraní portálu pro konfiguraci zásad ověřování, které vám pomůže určit, které certifikáty jsou jednofaktorové a vícefaktorové.
Snadné nasazení a správa	– Microsoft Entra CBA je bezplatná funkce a k jeho použití nepotřebujete žádné placené edice Microsoft Entra ID. – Není nutné provádět složitá místní nasazení ani konfiguraci sítě. – Přímé ověření vůči ID Microsoft Entra.
Bezpečný	– Místní hesla nemusí být uložená v cloudu v žádné podobě. – Chrání vaše uživatelské účty tím, že bezproblémově pracuje se zásadami podmíněného přístupu Microsoft Entra, včetně vícefaktorového ověřování odolného proti útokům phishing (MFA vyžaduje licencovanou edici) a blokuje starší ověřování. – Podpora silného ověřování, kde uživatelé mohou definovat zásady ověřování prostřednictvím polí certifikátů, jako jsou například údaje o vydavateli nebo OID (identifikátory objektů), aby určili, které certifikáty se kvalifikují jako jednofaktorové nebo vícefaktorové. – Tato funkce bezproblémově funguje s funkcemi podmíněného přístupu a s možností nastavení síly ověřování pro vynucení vícefaktorového ověřování, aby pomohla zabezpečit vaše uživatele.

Podporované scénáře

Podporovány jsou následující scénáře:

• Přihlášení uživatelů k aplikacím založeným na webovém prohlížeči na všech platformách
• Přihlášení uživatelů k mobilním aplikacím Office na platformách iOS/Android a nativních aplikacích Office ve Windows, včetně Outlooku, OneDrivu atd.
• Přihlášení uživatelů v mobilních nativních prohlížečích
• Podpora podrobných pravidel ověřování pro vícefaktorové ověřování pomocí vystavitele certifikátu Subject a identifikátorů OID zásad.
• Konfigurace vazeb mezi účty a certifikáty pomocí libovolného pole certifikátu:
  • Alternativní název subjektu (SAN) PrincipalName a SAN RFC822Nare
  • Identifikátor klíče předmětu (SKI) a SHA1PublicKey
• Konfigurace vazeb účtu typu certificate-to-user pomocí libovolného atributu objektu uživatele:
  • Hlavní název uživatele (User Principal Name, UPN)
  • onPremisesUserPrincipalName
  • CertifikátUživatelskéID

Podporované scénáře

Vezměte na vědomí následující:

• Správci můžou pro svého tenanta povolit metody ověřování bez hesla.
• Správci můžou cílit na všechny uživatele nebo vybrat uživatele nebo skupiny zabezpečení v rámci svého tenanta pro každou metodu.
• Uživatelé můžou tyto metody ověřování bez hesla zaregistrovat a spravovat na portálu účtu.
• Uživatelé se můžou přihlásit pomocí těchto metod ověřování bez hesla:
  • Ověřovací aplikace: Funguje ve scénářích, ve kterých se používá ověřování Microsoft Entra, včetně všech prohlížečů, během instalace Windows 10 a integrovaných mobilních aplikací v jakémkoli operačním systému.
  • Klíče zabezpečení: Práce na zamykací obrazovce pro Windows 10 a na webu v podporovaných prohlížečích, jako je Microsoft Edge (starší i nový Edge).
• Uživatelé můžou používat přihlašovací údaje bez hesla pro přístup k prostředkům v tenantech, kde jsou hostem, ale přesto můžou být potřeba k provádění vícefaktorového ověřování v daném tenantovi prostředků. Další informace naleznete v tématu Možné dvojité vícefaktorové ověřování.
• Uživatelé nemohou v rámci tenanta zaregistrovat přihlašovací údaje bez hesla, podobně jako nemají v daném tenantovi spravované heslo.

Nepodporované scénáře

Pro každou metodu bez hesla pro jakýkoli uživatelský účet doporučujeme maximálně 20 sad klíčů. Při přidání dalších klíčů se zvětší velikost objektu uživatele a u některých operací si můžete všimnout snížení výkonu. V takovém případě byste měli odebrat nepotřebné klíče. Další informace a rutiny PowerShellu pro dotazování a odebrání klíčů najdete v modulu WHfBTools PowerShellu pro čištění osamocených klíčů Windows Hello pro firmy. Volitelný parametr /UserPrincipalName slouží k dotazování pouze klíčů pro konkrétního uživatele. Je vyžadováno mít oprávnění ke spuštění jako správce nebo jako zadaný uživatel.

Když pomocí PowerShellu vytvoříte soubor CSV se všemi existujícími klíči, pečlivě identifikujte klíče, které potřebujete zachovat, a odeberte tyto řádky ze souboru CSV. Potom použijte upravený CSV soubor s PowerShellem k odstranění zbývajících klíčů, aby byl počet klíčů na účtu pod limitem.

Je bezpečné odstranit jakýkoli klíč označený jako sirotek="True" v souboru CSV. Osamocený klíč je jeden pro zařízení, které už není zaregistrované v Microsoft Entra ID. Pokud odebrání všech osamocených objektů stále nesnižuje uživatelský účet pod limitem, je nutné se podívat na sloupce DeviceId a CreationTime, abyste zjistili, které klíče je třeba odstranit. Dávejte pozor, abyste neodstranili žádný řádek v CSV souboru, který chcete zachovat. Klíče pro jakékoli DeviceID odpovídající zařízením, která uživatel aktivně používá, by měly být odstraněny z CSV souboru před krokem odstranění.

Volba metody bez hesla

Volba mezi těmito třemi možnostmi bez hesla závisí na požadavcích vaší společnosti na zabezpečení, platformu a aplikaci.

Tady jsou některé faktory, které byste měli zvážit při volbě technologie Microsoftu bez hesla:

	Windows Hello pro firmy	Přihlášení bez hesla pomocí aplikace Authenticator	Klíče zabezpečení FIDO2
Požadavky	Windows 10 verze 1809 nebo novější Microsoft Entra ID	Aplikace Authenticator Telefon (zařízení s iOSem a Androidem)	Windows 10 verze 1903 nebo novější Microsoft Entra ID
Režim	Platforma	Software	Hardwarové vybavení
Systémy a zařízení	Počítač s integrovaným modulem TPM (Trusted Platform Module) Rozpoznávání PIN kódu a biometrických údajů	Rozpoznávání PIN kódu a biometrických údajů na telefonu	Zařízení zabezpečení FIDO2 kompatibilní s Microsoftem
Uživatelské prostředí	Přihlaste se pomocí PIN kódu nebo biometrického rozpoznávání (obličeje, duhovky nebo otisku prstu) na zařízeních s Windows. Ověřování Windows Hello je svázané se zařízením; Uživatel potřebuje pro přístup k firemním prostředkům zařízení i přihlašovací komponentu, jako je PIN nebo biometrický faktor.	Přihlaste se pomocí mobilního telefonu pomocí skenování otisků prstů, rozpoznávání obličeje nebo duhovky nebo PIN kódu. Uživatelé se přihlašují k pracovnímu nebo osobnímu účtu ze svého počítače nebo mobilního telefonu.	Přihlášení pomocí zabezpečovacího zařízení FIDO2 (biometrické údaje, PIN kód a NFC) Uživatel může přistupovat k zařízení na základě kontrol organizace a ověřit se pomocí PIN kódu, biometrických údajů pomocí zařízení, jako například bezpečnostních klíčů USB a čipových karet s podporou NFC, nebo nositelných zařízení.
Povolené scénáře	Zkušenost bez hesla s Windows zařízením Platí pro vyhrazený pracovní počítač se schopností jednotného přihlašování k zařízením a aplikacím.	Řešení bez hesla kdekoli pomocí mobilního telefonu Platí pro přístup k pracovním nebo osobním aplikacím na webu z libovolného zařízení.	Prostředí bez hesla pro pracovníky používající biometrické údaje, PIN kód a NFC Platí pro sdílené počítače a v případě, že mobilní telefon není použitelnou možností (například pro pracovníky helpdesku, veřejný terminál nebo tým nemocnice).

Pomocí následující tabulky vyberte, která metoda podporuje vaše požadavky a uživatele.

Osoba	Scénář	Prostředí	Technologie bez hesla
Administrátor	Zabezpečený přístup k zařízení pro úlohy správy	Přiřazené zařízení s Windows 10	Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Admin	Úlohy správy na zařízeních s jiným systémem než Windows	Mobilní nebo zařízení bez Windows	Přihlášení bez hesla pomocí aplikace Authenticator
Informační pracovník	Produktivita práce	Přiřazené zařízení s Windows 10	Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Informační pracovník	Produktivita práce	Mobilní nebo ne-Windows zařízení	Přihlášení bez hesla pomocí aplikace Authenticator
Frontline worker	Kiosky v továrně, závodu, maloobchodě nebo při zadávání dat	Sdílená zařízení s Windows 10	Klíče zabezpečení FIDO2

Další kroky

Pokud chcete začít používat bez hesla v Microsoft Entra ID, proveďte jeden z následujících postupů:

• Povolení přihlašování bez hesla pomocí klíče zabezpečení FIDO2
• Povolení přihlašování bez hesla založeného na telefonu pomocí aplikace Authenticator

Externí odkazy

• FIDO Alliance
• Protokol CTAP (Client to Authenticator Protocol) FIDO2 specifikace