Beskriv Azure-godkendelsesmetoder
Godkendelse er processen til oprettelse af identiteten for en person, tjeneste eller enhed. Det kræver, at personen, tjenesten eller enheden angiver en type legitimationsoplysninger for at bevise, hvem de er. Godkendelse er som præsentations-id, når du rejser. Det bekræfter ikke, at du er billetten, det beviser bare, at du er den, du siger, du er. Azure understøtter flere godkendelsesmetoder, herunder standardadgangskoder, enkeltlogon (SSO), multifaktorgodkendelse (MFA) og uden adgangskode.
I længst tid syntes sikkerhed og bekvemmelighed at være i strid med hinanden. Heldigvis giver nye godkendelsesløsninger både sikkerhed og bekvemmelighed.
I følgende diagram vises sikkerhedsniveauet sammenlignet med bekvemmeligheden. Bemærk, at godkendelse uden adgangskode er høj sikkerhed og høj bekvemmelighed, mens adgangskoder på egen hånd er lav sikkerhed, men høj bekvemmelighed.
Hvad er enkeltlogon?
Enkeltlogon (SSO) gør det muligt for en bruger at logge på én gang og bruge disse legitimationsoplysninger til at få adgang til flere ressourcer og programmer fra forskellige udbydere. For at SSO kan fungere, skal de forskellige programmer og udbydere have tillid til den indledende godkender.
Flere identiteter betyder, at flere adgangskoder skal huskes og ændres. Adgangskodepolitikker kan variere fra program til program. Efterhånden som kompleksitetskravene øges, bliver det sværere og sværere for brugerne at huske dem. Jo flere adgangskoder en bruger skal administrere, jo større er risikoen for en sikkerhedshændelse relateret til legitimationsoplysninger.
Overvej processen med at administrere alle disse identiteter. Der lægges større pres på helpdesk, når de håndterer kontolåse og anmodninger om nulstilling af adgangskode. Hvis en bruger forlader en organisation, kan det være en udfordring at spore alle disse identiteter og sikre, at de er deaktiveret. Hvis en identitet overses, kan det give adgang, når den skulle være blevet fjernet.
Med SSO skal du kun huske ét id og én adgangskode. Adgang på tværs af programmer gives til en enkelt identitet, der er knyttet til brugeren, hvilket forenkler sikkerhedsmodellen. Når brugerne ændrer roller eller forlader en organisation, er adgangen knyttet til en enkelt identitet. Denne ændring reducerer den nødvendige indsats for at ændre eller deaktivere konti. Brug af SSO til konti gør det nemmere for brugerne at administrere deres identiteter og for it-tjenesten at administrere brugere.
Vigtig
Enkeltlogon er kun så sikker som den indledende godkender, fordi de efterfølgende forbindelser alle er baseret på sikkerheden for den oprindelige godkender.
Hvad er multifaktorgodkendelse?
Multifactor-godkendelse er processen til at bede en bruger om en ekstra form (eller faktor) til identifikation under logonprocessen. MFA hjælper med at beskytte mod et adgangskodekompromis i situationer, hvor adgangskoden blev kompromitteret, men den anden faktor ikke var.
Tænk på, hvordan du logger på websteder, mail eller onlinetjenester. Når du har indtastet dit brugernavn og din adgangskode, har du så nogensinde haft brug for at angive en kode, der blev sendt til din telefon? Hvis det er tilfældet, har du brugt multifaktorgodkendelse til at logge på.
Multifaktorgodkendelse giver yderligere sikkerhed for dine identiteter ved at kræve, at to eller flere elementer godkendes fuldt ud. Disse elementer falder i tre kategorier:
- Noget, som brugeren ved – dette kan være et udfordringsspørgsmål.
- Noget brugeren har – dette kan være en kode, der sendes til brugerens mobiltelefon.
- Noget brugeren er – dette er typisk en form for biometrisk egenskab, f.eks. et fingeraftryk eller ansigtsscanning.
Multifaktorgodkendelse øger identitetssikkerheden ved at begrænse effekten af eksponering af legitimationsoplysninger (f.eks. stjålne brugernavne og adgangskoder). Når multifaktorgodkendelse er aktiveret, skal en hacker, der har en brugers adgangskode, også have sin telefon eller deres fingeraftryk i besiddelse for at kunne godkende den fuldt ud.
Sammenlign multifaktorgodkendelse med enkeltfaktorgodkendelse. Under enkeltfaktorgodkendelse skal en hacker kun bruge et brugernavn og en adgangskode for at godkende. Multifaktorgodkendelse bør aktiveres, hvor det er muligt, da det giver enorme fordele for sikkerheden.
Hvad er Microsoft Entra multifactor-godkendelse?
Microsoft Entra multifactor-godkendelse er en Microsoft-tjeneste, der indeholder funktioner til multifaktorgodkendelse. Microsoft Entra multifactor-godkendelse giver brugerne mulighed for at vælge en ekstra form for godkendelse under logon, f.eks. et telefonopkald eller en meddelelse om mobilapps.
Hvad er godkendelse uden adgangskode?
Funktioner som MFA er en fantastisk måde at sikre din organisation på, men brugerne bliver ofte frustrerede over det ekstra sikkerhedslag oven på at skulle huske deres adgangskoder. Folk er mere tilbøjelige til at overholde, når det er nemt og praktisk at gøre det. Godkendelsesmetoder uden adgangskode er mere praktiske, fordi adgangskoden fjernes og erstattes med noget, du har, plus noget, du er, eller noget, du ved.
Godkendelse uden adgangskode skal konfigureres på en enhed, før den kan fungere. Din computer er f.eks. noget, du har. Når det er blevet registreret eller tilmeldt, ved Azure nu, at det er knyttet til dig. Nu, hvor computeren er kendt, kan du godkendes uden at bruge en adgangskode, når du har angivet noget, du ved eller er (f.eks. en pinkode eller et fingeraftryk).
Hver organisation har forskellige behov, når det kommer til godkendelse. Microsoft global Azure og Azure Government tilbyder følgende tre godkendelsesmuligheder uden adgangskode, der kan integreres med Microsoft Entra ID:
- Windows Hello til virksomheder
- Microsoft Authenticator-app
- FIDO2-sikkerhedsnøgler
Windows Hello til virksomheder
Windows Hello for Business er ideel til informationsmedarbejdere, der har deres egen angivne Windows-pc. De biometriske legitimationsoplysninger og pinkoden er direkte knyttet til brugerens pc, hvilket forhindrer andre end ejeren i at få adgang. Med PKI-integration (Public Key Infrastructure) og indbygget understøttelse af enkeltlogon (SSO) er Windows Hello for Business en praktisk metode til problemfri adgang til virksomhedens ressourcer i det lokale miljø og i cloudmiljøet.
Microsoft Authenticator-app
Du kan også tillade, at medarbejderens telefon bliver en godkendelsesmetode uden adgangskode. Du bruger muligvis allerede Microsoft Authenticator-appen som en praktisk multifaktorgodkendelsesmulighed ud over en adgangskode. Du kan også bruge godkenderappen som en indstilling uden adgangskode.
Authenticator-appen omdanner enhver iOS- eller Android-telefon til en stærk, adgangskodeløs legitimationsoplysninger. Brugerne kan logge på en hvilken som helst platform eller browser ved at få en meddelelse til deres telefon, matche et tal, der vises på skærmen, med det på deres telefon og derefter bruge deres biometriske (touch eller ansigt) eller pinkode til at bekræfte. Se Download og installér Microsoft Authenticator-appen for at få flere oplysninger om installation.
FIDO2-sikkerhedsnøgler
FIDO(Fast IDentity Online) Alliance hjælper med at fremme åbne godkendelsesstandarder og reducere brugen af adgangskoder som en form for godkendelse. FIDO2 er den nyeste standard, der inkorporerer webgodkendelsesstandarden (WebAuthn).
FIDO2-sikkerhedsnøgler er en uudslettelig standardbaseret godkendelsesmetode uden adgangskode, der kan komme i en hvilken som helst formfaktor. FIDO (Fast Identity Online) er en åben standard for godkendelse uden adgangskode. FIDO gør det muligt for brugere og organisationer at bruge standarden til at logge på deres ressourcer uden et brugernavn eller en adgangskode ved hjælp af en ekstern sikkerhedsnøgle eller en platformnøgle, der er indbygget i en enhed.
Brugerne kan registrere og derefter vælge en FIDO2-sikkerhedsnøgle ved logongrænsefladen som deres primære godkendelsesmetode. Disse FIDO2-sikkerhedsnøgler er typisk USB-enheder, men kan også bruge Bluetooth eller NFC. Med en hardwareenhed, der håndterer godkendelsen, øges sikkerheden for en konto, da der ikke er nogen adgangskode, der kan blive vist eller gættet.