Aan de slag met phishingbestendige verificatieimplementatie zonder wachtwoord in Microsoft Entra-id
Wachtwoorden zijn de primaire aanvalsvector voor moderne aanvallers en een bron van wrijving voor gebruikers en beheerders. Als onderdeel van een algehele Zero Trust-beveiligingsstrategie raadt Microsoft aan om over te stappen op phishing-bestendig wachtwoordloos in uw verificatieoplossing. Deze handleiding helpt u bij het selecteren, voorbereiden en implementeren van de juiste phishingbestendige referenties voor uw organisatie. Gebruik deze handleiding om uw phishingbestendige project zonder wachtwoord te plannen en uit te voeren.
Functies zoals meervoudige verificatie (MFA) zijn een uitstekende manier om uw organisatie te beveiligen. Maar gebruikers raken vaak gefrustreerd met de extra beveiligingslaag bovenop hun noodzaak om wachtwoorden te onthouden. Phishingbestendige verificatiemethoden zonder wachtwoord zijn handiger. Een analyse van Microsoft-consumentenaccounts laat bijvoorbeeld zien dat aanmelding met een wachtwoord gemiddeld tot 9 seconden kan duren, maar dat wachtwoordsleutels in de meeste gevallen slechts ongeveer 3 seconden duren. De snelheid en het gemak van aanmelding met een wachtwoordsleutel is nog groter in vergelijking met het traditionele wachtwoord en MFA-aanmelding. Wachtwoordsleutelgebruikers hoeven hun wachtwoord niet te onthouden of wachten op sms-berichten.
Notitie
Deze gegevens zijn gebaseerd op analyse van aanmeldingen van microsoft-consumentenaccounts.
Phishingbestendige methoden zonder wachtwoord hebben ook extra beveiliging. Ze tellen automatisch als MFA met behulp van iets dat de gebruiker heeft (een fysieke apparaat of beveiligingssleutel) en iets wat de gebruiker weet of is, zoals een biometrische pincode of pincode. En in tegenstelling tot traditionele MFA kunnen phishing-bestendige methoden zonder wachtwoord phishing-aanvallen tegen uw gebruikers afleiden met behulp van door hardware ondersteunde referenties die niet eenvoudig kunnen worden aangetast.
Microsoft Entra ID biedt de volgende phishingbestendige verificatieopties zonder wachtwoord:
- Wachtwoordsleutels (FIDO2)
- Windows Hello voor Bedrijven
- Platformreferenties voor macOS (preview)
- Wachtwoordsleutels voor Microsoft Authenticator-apps (preview)
- FIDO2-beveiligingssleutels
- Andere wachtwoordsleutels en providers, zoals iCloud-sleutelhanger, op roadmap
- Verificatie op basis van certificaten/smartcards
Vereisten
Voordat u begint met uw Microsoft Entra phishing-bestendig implementatieproject zonder wachtwoord, moet u deze vereisten voltooien:
- Licentievereisten controleren
- De rollen controleren die nodig zijn om bevoegde acties uit te voeren
- Belanghebbendenteams identificeren die moeten samenwerken
Licentievereisten
Voor registratie en aanmelden zonder wachtwoord bij Microsoft Entra is geen licentie vereist, maar we raden ten minste een Microsoft Entra ID P1-licentie aan voor de volledige set mogelijkheden die zijn gekoppeld aan een implementatie zonder wachtwoord. Met een Microsoft Entra ID P1-licentie kunt u bijvoorbeeld aanmelden zonder wachtwoord afdwingen via voorwaardelijke toegang en implementatie bijhouden met een activiteitenrapport voor verificatiemethoden. Raadpleeg de richtlijnen voor licentievereisten voor functies waarnaar in deze handleiding wordt verwezen voor specifieke licentievereisten.
Apps integreren met Microsoft Entra-id
Microsoft Entra ID is een IAM-service (Identity and Access Management) in de cloud die kan worden geïntegreerd met veel soorten toepassingen, waaronder SaaS-apps (Software-as-a-Service), Lob-apps (Line-Of-Business), on-premises apps en meer. U moet uw toepassingen integreren met Microsoft Entra ID om optimaal te profiteren van uw investering in wachtwoordloze en phishingbestendige verificatie. Wanneer u meer apps integreert met Microsoft Entra ID, kunt u meer van uw omgeving beveiligen met beleid voor voorwaardelijke toegang waarmee het gebruik van phishingbestendige verificatiemethoden wordt afgedwongen. Zie vijf stappen voor het integreren van apps met Microsoft Entra ID voor meer informatie over het integreren van apps met Microsoft Entra ID.
Wanneer u uw eigen toepassingen ontwikkelt, volgt u de richtlijnen voor ontwikkelaars voor het ondersteunen van wachtwoordloze en phishingbestendige verificatie. Zie Ondersteuning voor verificatie zonder wachtwoord met FIDO2-sleutels in apps die u ontwikkelt voor meer informatie.
Vereiste rollen
De volgende tabel bevat vereisten voor de minst bevoorrechte rol voor de implementatie zonder wachtwoord die bestand zijn tegen phishing. U wordt aangeraden phishingbestendige verificatie zonder wachtwoord in te schakelen voor alle bevoegde accounts.
| Microsoft Entra-rol | Beschrijving |
|---|---|
| Gebruikersbeheerder | Gecombineerde registratie-ervaring implementeren |
| Verificatiebeheerder | Verificatiemethoden implementeren en beheren |
| Beheerder van verificatiebeleid | Het beleid voor verificatiemethoden implementeren en beheren |
| User | Authenticator-app configureren op apparaat; om het apparaat met de beveiligingssleutel in te schrijven voor web- of Windows 10/11-aanmelding |
Teams voor belanghebbenden van klanten
Om succes te garanderen, moet u ervoor zorgen dat u contact opneemt met de juiste belanghebbenden en dat ze hun rollen begrijpen voordat u begint met uw planning en implementatie. De volgende tabel bevat veelgebruikte belanghebbendenteams.
| Belanghebbendenteam | Beschrijving |
|---|---|
| Identiteits- en toegangsbeheer (IAM) | Beheert dagelijkse bewerkingen van het IAM-systeem |
| Informatiebeveiligingsarchitectuur | Plannen en ontwerpen van de procedures voor informatiebeveiliging van de organisatie |
| Informatiebeveiligingsbewerkingen | Wordt uitgevoerd en bewaakt informatiebeveiligingsprocedures voor informatiebeveiligingsarchitectuur |
| Beveiligingscontrole en controle | Helpt ervoor te zorgen dat IT-processen veilig en compatibel zijn. Ze voeren regelmatig controles uit, beoordelen risico's en raden beveiligingsmaatregelen aan om geïdentificeerde beveiligingsproblemen te beperken en de algehele beveiligingspostuur te verbeteren. |
| Helpdesk en ondersteuning | Helpt eindgebruikers die problemen ondervinden tijdens implementaties van nieuwe technologieën en beleid, of wanneer er problemen optreden |
| Communicatie van eindgebruikers | Berichten worden gewijzigd aan eindgebruikers ter voorbereiding om gebruikersgerichte technologie-implementaties te stimuleren |