Eseguire la transizione a una distribuzione senza password
Consapevolezza ed educazione degli utenti
In questo ultimo passaggio verranno inclusi gli utenti rimanenti che si adattano all'utente di lavoro di destinazione per la distribuzione senza password. Prima di eseguire questo passaggio, si vuole investire in una campagna di sensibilizzazione.
Una campagna di sensibilizzazione introduce gli utenti al nuovo modo di eseguire l'autenticazione al dispositivo, ad esempio l'uso di Windows Hello for Business. L'idea della campagna è quella di promuovere positivamente il cambiamento agli utenti in anticipo. Spiegare il valore e il motivo per cui l'azienda sta cambiando. La campagna deve fornire date e incoraggiare domande e feedback. Questa campagna può coincidere con la formazione degli utenti, in cui è possibile mostrare agli utenti le modifiche e, se l'ambiente lo consente, consentire agli utenti di provare l'esperienza.
Suggerimento
Per facilitare la comunicazione dell'utente e garantire una distribuzione Windows Hello for Business riuscita, è possibile trovare materiale personalizzabile (modelli di posta elettronica, poster, training e così via) in Microsoft Entra modelli.
Includere gli utenti rimanenti che si adattano all'utente di lavoro
È stata implementata la campagna di sensibilizzazione per gli utenti di destinazione. Questi utenti sono informati e pronti per la transizione all'assenza di password. Aggiungere alla distribuzione gli utenti rimanenti che corrispondono all'utente di lavoro di destinazione.
Verificare che nessuno degli utenti degli utenti di lavoro necessiti di password
Tutti gli utenti per l'utente di lavoro di destinazione sono stati convertiti correttamente in senza password. Monitorare gli utenti all'interno dell'utente di lavoro per assicurarsi che non si verifichino problemi durante l'utilizzo in un ambiente senza password.
Tenere traccia di tutti i problemi segnalati. Impostare priorità e gravità su ogni problema segnalato e fare in modo che il team eserciti i problemi in modo appropriato. Durante la valutazione dei problemi, considerare le domande seguenti:
Domanda | |
---|---|
🔲 | L'utente che invia report esegue un'attività all'esterno dell'utente di lavoro? |
🔲 | Il problema segnalato interessa l'intera persona di lavoro o solo utenti specifici? |
🔲 | L'interruzione è il risultato di una configurazione errata? |
🔲 | L'interruzione è un divario trascurato rispetto al passaggio 2? |
La priorità e la gravità di ogni organizzazione sono diverse. Tuttavia, la maggior parte delle organizzazioni considera le interruzioni del lavoro abbastanza significative. Il team deve predefinito i livelli di priorità e gravità. Con ognuno di questi livelli, creare contratti di servizio per ogni combinazione di gravità e priorità e tenere tutti responsabili di tali contratti. La pianificazione reattiva consente agli utenti di dedicare più tempo al problema e risolverlo e meno tempo per il processo.
Risolvere i problemi relativi ai contratti di servizio. Gli elementi con gravità più elevata potrebbero richiedere la restituzione di parte o di tutta l'area della password dell'utente. Chiaramente questo risultato non è l'obiettivo finale, ma non lasciare che rallenti lo slancio verso l'assenza di password. Vedere come è stata ridotta l'area delle password dell'utente nel passaggio 2 e passare a una soluzione, distribuirla e convalidarla.
Suggerimento
Monitorare i controller di dominio per gli eventi di autenticazione della password. Ciò consente di identificare in modo proattivo gli utenti che usano ancora le password e di contattarli.
Configurare gli account utente per impedire l'autenticazione della password
È stato eseguito il passaggio di tutti gli utenti per l'utente di lavoro di destinazione a un ambiente senza password e sono stati convalidati tutti i flussi di lavoro. L'ultimo passaggio per completare la transizione senza password consiste nel rimuovere la conoscenza della password da parte dell'utente.
Codifica delle password
Anche se non è possibile rimuovere completamente la password dall'account dell'utente, è possibile impedire all'utente di usare la password per l'autenticazione. L'approccio più semplice ed efficace consiste nell'impostare la password su un valore casuale. Questo approccio impedisce all'utente di conoscere la password e usarla per l'autenticazione, ma consente all'utente di reimpostare la password quando necessario.
Suggerimento
Abilitare Microsoft Entra reimpostazione della password self-service (SSPR) per consentire agli utenti di reimpostare la password. Dopo l'implementazione, gli utenti possono accedere ai propri dispositivi Windows usando Windows Hello for Business o una chiave di sicurezza FIDO2 e reimpostare la password da https://aka.ms/sspr. Combinalo con il writeback delle password per sincronizzare la reimpostazione della password con il Active Directory locale.
Lo script di PowerShell di esempio seguente genera una password casuale di 64 caratteri e la imposta per l'utente specificato nel nome della variabile $userId su Microsoft Entra ID. Modificare la variabile userId dello script in modo che corrisponda all'ambiente (prima riga) e quindi eseguirla in una sessione di PowerShell. Quando viene richiesto di eseguire l'autenticazione in Microsoft Entra ID, usare le credenziali di un account con un ruolo in grado di reimpostare le password.
$userId = "<UPN of the user>"
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome
$passwordParams = @{
UserId = $userId
AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
NewPassword = Generate-RandomPassword
}
Reset-MgUserAuthenticationMethodPassword @passwordParams
È possibile usare uno script simile per reimpostare la password in Active Directory. Modificare la variabile samAccountName dello script in modo che corrisponda all'ambiente (prima riga) e quindi eseguirla in una sessione di PowerShell.
$samAccountName = <sAMAccountName of the user>
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force
Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset
Se i criteri dell'organizzazione lo consentono, è possibile configurare le password casuali in modo che non scadano mai o usare un periodo di scadenza lungo. Questa configurazione impedisce all'utente di essere richiesto di modificare la password.
Attenzione
Eseguire lo script solo da un ambiente sicuro e attendibile e assicurarsi che lo script non venga registrato. Considerare l'host in cui viene eseguito lo script come host con privilegi, con lo stesso livello di sicurezza di un controller di dominio.
Validità delle password e rotazione delle password
Se l'organizzazione non ha requisiti di rotazione delle password, è consigliabile disabilitare l'età della password.
Se l'organizzazione ha un criterio di rotazione delle password, è consigliabile implementare l'automazione per ruotare regolarmente la password dell'utente. Questo approccio garantisce che la password dell'utente sia sempre casuale e impedisce all'utente di conoscere la password.
Per altre indicazioni relative alle password, vedere il white paper Password Guidance.For more password-related guidance, see the white paper Password Guidance.
Passaggi successivi
Microsoft sta lavorando duramente per semplificare il percorso senza password. Stiamo lavorando a nuove funzionalità e funzionalità che consentono di passare a un ambiente senza password e di ottenere la promessa di sicurezza a lungo termine di un ambiente veramente senza password. Ricontrollare spesso per vedere cosa c'è di nuovo.