Začínáme s nasazením autentizace bez hesla odolné proti phishingu v Microsoft Entra ID
Hesla jsou primárním vektorem útoku pro moderní protivníky a zdroj potíží pro uživatele a správce. V rámci celkové strategie zabezpečení nulové důvěry (Zero Trust) Microsoft doporučuje ve vašem řešení ověřování přejít na bezheslové odolné proti phishingu. Tato příručka vám pomůže vybrat, připravit a nasadit správné přihlašovací údaje bez hesla odolné proti útokům phishing pro vaši organizaci. Pomocí tohoto průvodce můžete naplánovat a spustit projekt bez hesla odolný proti útokům phishing.
Funkce, jako je vícefaktorové ověřování (MFA), představují skvělý způsob zabezpečení vaší organizace. Uživatelé jsou ale často frustrováni další vrstvou zabezpečení, kromě potřeby pamatovat si hesla. Metody ověřování bez hesla odolné proti útokům phishing jsou pohodlnější. Analýza uživatelských účtů Microsoftu například ukazuje, že přihlášení pomocí hesla může v průměru trvat až 9 sekund, ale ve většině případů trvá přístupové klíče přibližně 3 sekundy. Rychlost a jednoduchost přihlašování pomocí bezpečnostního klíče je ještě větší ve srovnání s tradičním heslem a přihlášením s vícefaktorovým ověřováním. Uživatelé klíčových hesel si nemusí pamatovat heslo, ani čekat na SMS zprávy.
Poznámka:
Tato data jsou založená na analýze přihlášení uživatelských účtů Microsoft.
Metody bez hesla odolné proti phishingu mají také dodatečné vestavěné zabezpečení. Automaticky jsou považovány za MFA pomocí něčeho, co má uživatel (fyzické zařízení nebo bezpečnostní klíč) a něco, co uživatel ví nebo je, například biometrický údaj nebo PIN kód. A na rozdíl od tradičního vícefaktorového ověření, phishingové útoky proti vašim uživatelům jsou odraženy metodami bez hesla odolnými vůči phishingu, využívajícími přihlašovací údaje chráněné hardwarem, které nelze snadno ohrozit.
Microsoft Entra ID nabízí následující možnosti ověřování bez hesla odolné proti útokům phishing:
- Přístupové klíče (FIDO2)
- Windows Hello pro firmy
- Přihlašovací údaje na platformě pro macOS (náhled)
- Klíče aplikace Microsoft Authenticator
- Klíče zabezpečení FIDO2
- Další klíče a poskytovatelé, jako je klíčník iCloudu – v plánu
- Ověřování na základě certifikátů / čipové karty
Požadavky
Před zahájením projektu nasazení řešení bez hesla odolného proti phishingu od společnosti Microsoft Entra splňte tyto požadavky:
- Kontrola licenčních požadavků
- Kontrola rolí potřebných k provádění privilegovaných akcí
- Identifikace zúčastněných týmů, které potřebují spolupracovat
Požadavky na licenci
Registrace a přihlášení bez hesla pomocí Microsoft Entra nevyžaduje licenci, ale pro úplnou sadu funkcí přidružených k nasazení bez hesla doporučujeme aspoň licenci Microsoft Entra ID P1. Například licence Microsoft Entra ID P1 pomáhá prosazovat bezheslové přihlášení prostřednictvím funkce podmíněného přístupu a sledovat nasazení pomocí sestavy aktivit ověřovacích metod. Konkrétní licenční požadavky najdete v pokynech k licenčním požadavkům pro funkce, na které odkazuje tato příručka.
Integrace aplikací s Microsoft Entra ID
Microsoft Entra ID je cloudová služba pro správu identit a přístupu (IAM), která se integruje s mnoha typy aplikací, včetně aplikací Typu software jako služba (SaaS), obchodních aplikací (LOB), místních aplikací a dalších. Potřebujete integrovat své aplikace s Microsoft Entra ID, abyste získali největší výhodu z vaší investice do ověřování bez hesla a ověřování odolného proti útokům phishing. Při integraci více aplikací s Microsoft Entra ID můžete chránit více prostředí pomocí zásad podmíněného přístupu, které vynucují použití metod ověřování odolných proti útokům phishing. Další informace o tom, jak integrovat aplikace s ID Microsoft Entra, najdete v pěti krocích integrace aplikací s Microsoft Entra ID.
Při vývoji vlastních aplikací postupujte podle pokynů pro vývojáře pro podporu bezheslové a odolné autentizace proti phishingu. Další informace najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.
Požadované role
Následující tabulka uvádí požadavky na nejméně privilegované role pro nasazení bez hesla odolné proti útokům phishing. Pro všechny privilegované účty doporučujeme povolit ověřování bez hesla odolné proti útokům phishing.
| Role Microsoft Entra | Popis |
|---|---|
| Správce uživatelů | Implementace kombinovaného prostředí registrace |
| Správce ověřování | Implementace a správa metod ověřování |
| Správce zásad ověřování | Implementace a správa zásad metod ověřování |
| Uživatel | Konfigurace aplikace Authenticator na zařízení; registrace zařízení s klíčem zabezpečení pro přihlášení k webu nebo Windows 10/11 |
Týmy zúčastněných stran zákazníků
Abyste zajistili úspěch, ujistěte se, že se účastníte správných zúčastněných stran a že před zahájením plánování a zavádění rozumí jejich rolím. Následující tabulka uvádí běžně doporučené týmy účastníků.
| Tým účastníků | Popis |
|---|---|
| Správa identit a přístupu (IAM) | Spravuje každodenní provoz systému IAM. |
| Architektura zabezpečení informací | Plány a návrhy postupů zabezpečení informací organizace |
| Operace zabezpečení informací | Řídí a monitoruje praktiky zabezpečení informací pro architekturu informační bezpečnosti |
| Zajištění zabezpečení a audit | Pomáhá zajistit, aby procesy IT byly zabezpečené a vyhovující. Provádějí pravidelné audity, vyhodnocují rizika a doporučují bezpečnostní opatření ke zmírnění zjištěných ohrožení zabezpečení a zlepšení celkového stavu zabezpečení. |
| Podpora a zákaznická služba | Pomáhá koncovým uživatelům, kteří při nasazování nových technologií a zásad narazí na problémy nebo při výskytu problémů. |
| Komunikace koncových uživatelů | Zprávy o změnách pro koncové uživatele v přípravě na podporu zavádění uživatelsky orientovaných technologií |
Další kroky
Nasazení ověřování bez hesla odolného proti útokům phishing v MICROSOFT Entra ID