Udostępnij za pośrednictwem

Opcje uwierzytelniania bez hasła dla usługi Microsoft Entra ID

  • Artykuł

Funkcje takie jak uwierzytelnianie wieloskładnikowe (MFA) to doskonały sposób na zabezpieczenie organizacji, ale użytkownicy często są sfrustrowani dodatkową warstwą zabezpieczeń, ponieważ muszą pamiętać swoje hasła. Metody uwierzytelniania bez hasła są wygodniejsze, ponieważ hasło zostało usunięte i zastąpione czymś, co masz lub znasz.

Uwierzytelnianie Coś, co masz Coś, co jesteś lub wiesz
Logowanie bez hasła Urządzenie z systemem Windows 10, telefon lub klucz zabezpieczeń Biometryczne lub PIN

Każda organizacja ma różne potrzeby, jeśli chodzi o uwierzytelnianie. Microsoft Entra ID i Azure Government integrują następujące opcje uwierzytelniania bez hasła:

  • Windows Hello for Business
  • Poświadczenia platformy dla systemu macOS
  • Logowanie jednokrotne na platformie dla systemu macOS z uwierzytelnianiem za pomocą karty inteligentnej
  • Microsoft Authenticator
  • Klucze dostępu (FIDO2)
  • Uwierzytelnianie oparte na certyfikatach

Uwierzytelnianie: zabezpieczenia i wygoda

Windows Hello for Business

Windows Hello dla firm jest idealnym rozwiązaniem dla pracowników przetwarzających informacje, którzy mają własne wyznaczone komputery z systemem Windows. Poświadczenia biometryczne i PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp osobie innej niż właściciel. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsłudze logowania jednokrotnego Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmowych lokalnie i w chmurze.

Przykład logowania użytkownika przy użyciu Windows Hello dla firm.

W poniższych krokach pokazano, jak działa proces logowania z identyfikatorem Entra firmy Microsoft:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu Windows Hello dla firm

  1. Użytkownik loguje się do systemu Windows przy użyciu gestu biometrycznego lub numeru PIN. Gest odblokuje klucz prywatny Windows Hello dla firm i jest wysyłany do dostawcy pomocy technicznej zabezpieczeń uwierzytelniania w chmurze o nazwie Cloud Authentication Provider (CloudAP). Aby uzyskać więcej informacji na temat usługi CloudAP, zobacz Co to jest podstawowy token odświeżania?.
  2. Usługa CloudAP żąda jednorazowej wartości (losowej dowolnej liczby, której można używać raz) z Microsoft Entra ID.
  3. Identyfikator Microsoft Entra zwraca jednorazowy kod ważny przez 5 minut.
  4. Usługa CloudAP podpisuje liczbę jednorazową przy użyciu klucza prywatnego użytkownika i zwraca podpisaną liczbę jednorazową do Entra ID firmy Microsoft.
  5. Microsoft Entra ID weryfikuje podpisany nonce przy użyciu bezpiecznie zarejestrowanego klucza publicznego użytkownika, porównując go z podpisem nonce. Identyfikator Entra firmy Microsoft weryfikuje podpis, a następnie weryfikuje zwrócony podpisany element. Po zweryfikowaniu splotu, Microsoft Entra ID tworzy podstawowy token odświeżania (PRT) z kluczem sesji zaszyfrowanym przy użyciu klucza transportowego urządzenia i zwraca go do CloudAP.
  6. CloudAP odbiera zaszyfrowany PRT z kluczem sesji. Usługa CloudAP używa prywatnego klucza transportu urządzenia do odszyfrowania klucza sesji i chroni klucz sesji przy użyciu modułu TPM (Trusted Platform Module) urządzenia.
  7. Usługa CloudAP zwraca pomyślną odpowiedź uwierzytelniania na system Windows. Następnie użytkownik może uzyskiwać dostęp do aplikacji systemu Windows i chmury i aplikacji lokalnych przy użyciu bezproblemowego logowania jednokrotnego.

Przewodnik planowania Windows Hello dla firm może pomóc w podejmowaniu decyzji dotyczących typu wdrożenia Windows Hello dla firm i opcji, które należy wziąć pod uwagę.

Poświadczenie platformy dla systemu macOS

Poświadczenia platformy dla systemu macOS to nowa funkcja w systemie macOS, która jest włączona przy użyciu rozszerzenia logowania jednokrotnego (SSOe) firmy Microsoft Enterprise. Aprowizuje ona bezpieczny klucz kryptograficzny związany ze sprzętem, który jest używany do SSO w aplikacjach korzystających z Microsoft Entra ID do uwierzytelniania. Nie ma to wpływu na hasło konta lokalnego użytkownika i jest wymagane do zalogowania się na komputerze Mac.

Zrzut ekranu przedstawiający przykład wyskakującego okna zachęcającego użytkownika do zarejestrowania konta systemu macOS u dostawcy tożsamości przy użyciu platformowego logowania jednokrotnego.

Poświadczenia platformy dla systemu macOS umożliwiają użytkownikom korzystanie z funkcji bezhasłowego logowania przez skonfigurowanie funkcji Touch ID do odblokowywania urządzenia oraz używanie poświadczeń odpornych na phishing, opartych na technologii Windows Hello for Business. Pozwala to oszczędzić organizacjom klientów pieniądze, usuwając potrzebę kluczy zabezpieczeń i rozwija cele zero trust przy użyciu integracji z bezpieczną enklawą.

Poświadczenia platformy dla systemu macOS mogą być również używane jako poświadczenia odporne na wyłudzanie informacji w wyzwaniach związanych z uwierzytelnianiem internetowym, w tym scenariuszy ponownego uwierzytelniania przeglądarki. Administratorzy zasad uwierzytelniania muszą włączyć metodę uwierzytelniania passkey (FIDO2), aby obsługiwać poświadczenia platformy dla macOS jako poświadczenia zabezpieczone przed phishingiem. Jeśli używasz zasad ograniczeń klucza w zasadach FIDO, musisz dodać identyfikator AAGUID dla poświadczeń platformy systemu macOS do listy dozwolonych identyfikatorów AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu logowania jednokrotnego platformy systemu macOS.

  1. Użytkownik odblokuje system macOS za pomocą gestu odcisku palca lub hasła, który odblokuje torbę klucza w celu zapewnienia dostępu do klucza UserSecureEnclaveKey.
  2. System macOS żąda wartości innej niż (losowej dowolnej liczby, która może być używana tylko raz) z identyfikatora Entra firmy Microsoft.
  3. Microsoft Entra ID zwraca wartość znaku jednorazowego ważną przez 5 minut.
  4. System operacyjny wysyła żądanie logowania do identyfikatora Entra firmy Microsoft z osadzoną asercją podpisaną za pomocą klucza UserSecureEnclaveKey znajdującego się w bezpiecznej enklawie.
  5. Microsoft Entra ID weryfikuje podpisaną asercję, używając bezpiecznie zarejestrowanego klucza publicznego użytkownika powiązanego z kluczem UserSecureEnclave. Identyfikator Entra firmy Microsoft sprawdza poprawność podpisu i innego elementu. Po zweryfikowaniu asercji Microsoft Entra ID tworzy podstawowy token odświeżania (PRT) zaszyfrowany przy użyciu klucza publicznego UserDeviceEncryptionKey wymienianego podczas rejestracji i wysyła odpowiedź z powrotem do systemu operacyjnego.
  6. System operacyjny odszyfrowuje i weryfikuje odpowiedź, pobiera tokeny logowania jednokrotnego, przechowuje i udostępnia je rozszerzeniu logowania jednokrotnego w celu zapewnienia logowania jednokrotnego. Użytkownik może uzyskiwać dostęp do aplikacji systemu macOS, chmurowych i lokalnych przy użyciu logowania jednokrotnego.

Aby uzyskać więcej informacji na temat konfigurowania i wdrażania poświadczeń platformy dla systemu macOS, zapoznaj się z artykułem Logowanie jednokrotne platformy dla systemu macOS.

Jednokrotne logowanie do platformy macOS za pomocą karty inteligentnej

Logowanie jednokrotne platformy (PSSO) dla systemu macOS umożliwia użytkownikom korzystanie z funkcji bez hasła przy użyciu metody uwierzytelniania SmartCard. Użytkownik loguje się do maszyny przy użyciu zewnętrznej karty inteligentnej lub tokenu twardego zgodnego z kartą inteligentną (np. Yubikey). Po odblokowaniu urządzenia karta inteligentna jest używana z identyfikatorem Entra firmy Microsoft do udzielania logowania jednokrotnego w aplikacjach korzystających z identyfikatora Microsoft Entra do uwierzytelniania przy użyciu uwierzytelniania opartego na certyfikatach (CBA). Usługa CBA musi być skonfigurowana i włączona dla użytkowników, aby ta funkcja działała. Aby skonfigurować CBA, zobacz Jak skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft Entra.

Aby to włączyć, administrator musi skonfigurować PSSO (logowanie jednokrotne) przy użyciu usługi Microsoft Intune lub innego obsługiwanego rozwiązania do zarządzania urządzeniami przenośnymi (MDM).

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu logowania jednokrotnego platformy systemu macOS.

  1. Użytkownik odblokuje system macOS przy użyciu numeru PIN karty inteligentnej, który odblokuje kartę inteligentną i torbę klucza w celu zapewnienia dostępu do kluczy rejestracji urządzeń znajdujących się w bezpiecznej enklawie.
  2. System macOS żąda liczby jednorazowej (losowej, dowolnej liczby, która może być używana tylko raz) od Microsoft Entra ID.
  3. Identyfikator Entra firmy Microsoft zwraca wartość jednorazową (nonce) ważną przez 5 minut.
  4. System operacyjny wysyła żądanie logowania do Microsoft Entra ID z załączoną asercją podpisaną certyfikatem Microsoft Entra użytkownika z karty inteligentnej.
  5. Identyfikator Entra firmy Microsoft weryfikuje podpisaną asercję, podpis i inną wartość. Po zweryfikowaniu asekuracji Microsoft Entra ID tworzy podstawowy token odświeżania (PRT) zaszyfrowany przy użyciu klucza publicznego UserDeviceEncryptionKey, który jest wymieniany podczas rejestracji, i wysyła odpowiedź z powrotem do systemu operacyjnego.
  6. System operacyjny odszyfrowuje i weryfikuje odpowiedź, pobiera tokeny logowania jednokrotnego, przechowuje i udostępnia je rozszerzeniu logowania jednokrotnego w celu zapewnienia logowania jednokrotnego. Użytkownik może uzyskiwać dostęp do aplikacji systemu macOS, chmurowych i lokalnych przy użyciu logowania jednokrotnego.

Microsoft Authenticator

Możesz również zezwolić telefonowi pracownika na użycie metody uwierzytelniania bez hasła. Oprócz hasła można już używać aplikacji Authenticator jako wygodnej opcji uwierzytelniania wieloskładnikowego. Możesz również użyć aplikacji Authenticator jako opcji bez hasła.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu aplikacji Microsoft Authenticator

Aplikacja Authenticator zamienia każdy telefon z iOS lub Androidem w silne poświadczenie bez hasła. Użytkownicy mogą zalogować się do dowolnej platformy lub przeglądarki, otrzymując powiadomienie na telefonie i dopasowując numer wyświetlony na ekranie do tego na swoim telefonie. Następnie mogą użyć danych biometrycznych (dotyk lub twarz) lub PIN, aby potwierdzić. Aby uzyskać szczegółowe informacje na temat instalacji, zobacz Pobieranie i instalowanie aplikacji Microsoft Authenticator.

Uwierzytelnianie bez hasła przy użyciu aplikacji Microsoft Authenticator jest zgodne z tym samym wzorcem podstawowym co Windows Hello dla firm. Jest to nieco bardziej skomplikowane, ponieważ użytkownik musi zostać zidentyfikowany, aby identyfikator Entra firmy Microsoft mógł znaleźć używaną wersję aplikacji Authenticator:

Diagram przedstawiający kroki związane z logowaniem użytkownika za pomocą aplikacji Microsoft Authenticator

  1. Użytkownik wprowadza swoją nazwę użytkownika.
  2. Identyfikator Microsoft Entra ID wykrywa, że użytkownik ma silne poświadczenia i uruchamia proces silnego uwierzytelniania.
  3. Powiadomienie jest wysyłane do aplikacji za pośrednictwem usługi Apple Push Notification Service (APNS) na urządzeniach z systemem iOS lub za pośrednictwem usługi Firebase Cloud Messaging (FCM) na urządzeniach z systemem Android.
  4. Użytkownik otrzymuje powiadomienie push i otwiera aplikację.
  5. Aplikacja wywołuje identyfikator Firmy Microsoft Entra i otrzymuje wyzwanie dotyczące obecności i niezwiązane z weryfikacją obecności.
  6. Użytkownik ukończy wyzwanie, wprowadzając dane biometryczne lub PIN w celu odblokowania klucza prywatnego.
  7. Nonce jest podpisywany kluczem prywatnym i wysyłany z powrotem do Microsoft Entra ID.
  8. Identyfikator Entra firmy Microsoft przeprowadza weryfikację klucza publicznego/prywatnego i zwraca token.

Aby rozpocząć logowanie bez hasła, wykonaj następujące instrukcje:

Włączanie logowania bez hasła przy użyciu aplikacji Authenticator

Klucze dostępu (FIDO2)

Użytkownicy mogą zarejestrować klucz dostępu (FIDO2) i wybrać go jako podstawową metodę logowania. W przypadku urządzenia sprzętowego obsługującego uwierzytelnianie bezpieczeństwo konta jest zwiększane, ponieważ nie ma hasła, które można uwidocznić lub odgadnąć. Obecnie w wersji zapoznawczej administrator uwierzytelniania może również aprowizować zabezpieczenia FIDO2 w imieniu użytkownika przy użyciu interfejsu API programu Microsoft Graph i klienta niestandardowego. Aprowizowanie w imieniu użytkowników jest w tej chwili ograniczone do kluczy zabezpieczeń.

FiDO (Fast IDentity Online) Alliance pomaga promować otwarte standardy uwierzytelniania i zmniejszyć wykorzystanie haseł jako formy uwierzytelniania. FIDO2 to najnowszy standard obejmujący standard uwierzytelniania internetowego (WebAuthn). FiDO umożliwia organizacjom stosowanie standardu WebAuthn przy użyciu klucza zabezpieczeń zewnętrznego lub klucza platformy wbudowanego w urządzenie w celu logowania się bez nazwy użytkownika lub hasła.

Klucze zabezpieczeń FIDO2 to metoda uwierzytelniania bez hasła, odporna na phishing, oparta na standardach, która może mieć dowolną formę. Są to często urządzenia USB, ale mogą również używać komunikacji Bluetooth lub komunikacji zbliżeniowej (NFC). Hasła (FIDO2) są oparte na tym samym standardzie WebAuthn i mogą być zapisywane w aplikacji Authenticator lub na urządzeniach przenośnych, tabletach lub komputerach.

Klucze zabezpieczeń FIDO2 mogą być używane do logowania się do systemu Microsoft Entra ID lub do urządzeń z systemem Windows 10, które są połączone hybrydowo z Microsoft Entra, oraz do uzyskania jednokrotnego logowania do zasobów w chmurze i lokalnych. Użytkownicy mogą również zalogować się do obsługiwanych przeglądarek. Klucze zabezpieczeń FIDO2 są doskonałym rozwiązaniem dla przedsiębiorstw, które mają wysokie wymagania dotyczące bezpieczeństwa lub mają scenariusze albo pracowników, którzy nie chcą lub nie mogą używać telefonu jako drugiego czynnika.

Aby uzyskać więcej informacji na temat obsługi klucza dostępu (FIDO2), zobacz Obsługa uwierzytelniania klucza dostępu (FIDO2) z Microsoft Entra ID. Aby uzyskać najlepsze rozwiązania dla deweloperów, zobacz Obsługa uwierzytelniania FIDO2 w opracowywanych aplikacjach.

Logowanie się do przeglądarki Microsoft Edge przy użyciu klucza zabezpieczeń

Następujący proces jest używany, gdy użytkownik loguje się przy użyciu klucza zabezpieczeń FIDO2:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu klucza zabezpieczeń FIDO2

  1. Użytkownik podłącza klucz zabezpieczeń FIDO2 do komputera.
  2. System Windows wykrywa klucz zabezpieczeń FIDO2.
  3. System Windows wysyła żądanie uwierzytelniania.
  4. Identyfikator Entra firmy Microsoft wysyła z powrotem nonce.
  5. Użytkownik wykonuje gest odblokowania klucza prywatnego przechowywanego w bezpiecznej enklawie klucza zabezpieczeń FIDO2.
  6. Klucz zabezpieczeń FIDO2 podpisuje nonce kluczem prywatnym.
  7. Żądanie tokenu podstawowego odświeżania (PRT) z podpisanym parametrem nonce jest wysyłane do Microsoft Entra ID.
  8. Identyfikator Entra firmy Microsoft weryfikuje podpisany nonce przy użyciu klucza publicznego FIDO2.
  9. Identyfikator Entra firmy Microsoft zwraca PRT, aby umożliwić dostęp do zasobów lokalizacji lokalnej.

Aby uzyskać listę dostawców kluczy zabezpieczeń FIDO2, zobacz Zostań dostawcą kluczy zabezpieczeń FIDO2 zgodnym z firmą Microsoft.

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2, wykonaj następujące instrukcje:

Włączanie logowania bez hasła przy użyciu kluczy zabezpieczeń FIDO2

Uwierzytelnianie oparte na certyfikatach

Uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) umożliwia klientom zezwolenie lub wymaganie od użytkowników uwierzytelniania bezpośrednio przy użyciu certyfikatów X.509 względem identyfikatora Entra firmy Microsoft dla aplikacji i logowania w przeglądarce. CBA umożliwia klientom wdrażanie uwierzytelniania odpornego na phishing i logowanie się za pomocą certyfikatu X.509 w kontekście ich infrastruktury kluczy publicznych (PKI).

Diagram uwierzytelniania opartego na certyfikatach firmy Microsoft.

Najważniejsze korzyści wynikające z korzystania z usługi Microsoft Entra CBA

Świadczenia opis
Fantastyczne środowisko pracy użytkownika — Użytkownicy, którzy potrzebują uwierzytelniania opartego na certyfikatach, mogą teraz bezpośrednio uwierzytelniać się w usłudze Microsoft Entra ID i nie muszą inwestować w federację.
— Interfejs użytkownika portalu umożliwia użytkownikom łatwe konfigurowanie sposobu mapowania pól certyfikatu na atrybut obiektu użytkownika w celu wyszukania użytkownika w dzierżawie (powiązania nazwy użytkownika certyfikatu)
— Interfejs użytkownika portalu służący do konfigurowania zasad uwierzytelniania w celu określenia, które certyfikaty są jednoskładnikowe i wieloskładnikowe.
Łatwe wdrażanie i administrowanie - Microsoft Entra CBA jest bezpłatną funkcją i nie potrzebujesz żadnych płatnych wersji microsoft Entra ID, aby z niego korzystać.
— Nie ma potrzeby złożonych wdrożeń lokalnych ani konfiguracji sieci.
— Bezpośrednie uwierzytelnianie względem identyfikatora Entra firmy Microsoft.
Zabezpiecz — Hasła lokalne nie muszą być przechowywane w chmurze w żadnej formie.
— Chroni konta użytkowników, bezproblemowo współpracując z zasadami dostępu warunkowego firmy Microsoft Entra, w tym uwierzytelnianiem wieloskładnikowym odpornym na wyłudzanie informacji (uwierzytelnianie wieloskładnikowe wymaga licencjonowanej wersji) i blokowanie starszego uwierzytelniania.
— Obsługa silnego uwierzytelniania, w której użytkownicy mogą definiować zasady uwierzytelniania przy użyciu pól certyfikatów, takich jak identyfikatory wystawcy lub identyfikatory polityk OID (identyfikatory obiektów), aby określić, które certyfikaty kwalifikują się jako jednopoziomowe uwierzytelnianie versus wielopoziomowe uwierzytelnianie.
— Funkcja bezproblemowo współpracuje z funkcjami dostępu warunkowego oraz z funkcją siły uwierzytelniania, aby wymusić uwierzytelnianie wieloskładnikowe, co pomaga zabezpieczyć użytkowników.

Obsługiwane scenariusze

Obsługiwane są następujące scenariusze:

  • Logowania użytkowników do aplikacji opartych na przeglądarce internetowej na wszystkich platformach.
  • Logowania użytkowników do aplikacji mobilnych pakietu Office na platformach iOS/Android i aplikacjach natywnych pakietu Office w systemie Windows, w tym Outlook, OneDrive itd.
  • Logowania użytkowników w przeglądarkach natywnych dla urządzeń przenośnych.
  • Obsługa szczegółowych reguł uwierzytelniania dla uwierzytelniania wieloskładnikowego z wykorzystaniem podmiotu wydawcy certyfikatów i OID polityki.
  • Konfigurowanie powiązań certyfikatu z kontem użytkownika przy użyciu dowolnego pola certyfikatu:
    • Nazwa alternatywna podmiotu (SAN) PrincipalName i SAN RFC822Name
    • Identyfikator klucza podmiotu (SKI) i SHA1PublicKey
  • Konfigurowanie powiązań certyfikatu z kontem użytkownika przy użyciu dowolnych atrybutów obiektu użytkownika:
    • Główna nazwa użytkownika
    • onPremisesUserPrincipalName
    • Identyfikatory użytkownika certyfikatu

Obsługiwane scenariusze

Obowiązują następujące zastrzeżenia:

  • Administratorzy mogą włączyć metody uwierzytelniania bez hasła dla swojej dzierżawy.
  • Administratorzy mogą adresować do wszystkich użytkowników lub wybierać użytkowników/grupy zabezpieczeń dla każdej metody.
  • Użytkownicy mogą rejestrować te metody uwierzytelniania bez hasła i zarządzać nimi w portalu konta.
  • Użytkownicy mogą logować się przy użyciu tych metod uwierzytelniania bez hasła:
    • Aplikacja Authenticator: działa w scenariuszach, w których jest używane uwierzytelnianie firmy Microsoft Entra, w tym we wszystkich przeglądarkach, podczas instalacji systemu Windows 10 i ze zintegrowanymi aplikacjami mobilnymi w dowolnym systemie operacyjnym.
    • Klucze zabezpieczeń: działają na ekranie blokady dla systemu Windows 10 i internetu w obsługiwanych przeglądarkach, takich jak Microsoft Edge (starsza wersja i nowa wersja Edge).
  • Użytkownicy mogą używać poświadczeń bez hasła do uzyskiwania dostępu do zasobów w dzierżawach, w których są gośćmi, ale nadal mogą być zobowiązani do wykonania uwierzytelniania wieloskładnikowego w tej dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Możliwe podwójne uwierzytelnianie wieloskładnikowe.
  • Użytkownicy nie mogą rejestrować poświadczeń bez hasła w dzierżawie, w której są gośćmi, tak samo jak nie mają hasła zarządzanego w tej dzierżawie.

Nieobsługiwane scenariusze

Zalecamy nie więcej niż 20 zestawów kluczy dla każdej metody bez hasła dla dowolnego konta użytkownika. W miarę dodawania większej liczby kluczy rozmiar obiektu użytkownika zwiększa się i można zauważyć pogorszenie niektórych operacji. W takim przypadku należy usunąć niepotrzebne klucze. Aby uzyskać więcej informacji i poznać polecenia cmdlet programu PowerShell służące do wykonywania zapytań i usuwania kluczy, zobacz Używanie modułu programu PowerShell WHfBTools do usuwania osieroconych kluczy Windows Hello dla firm. Użyj opcjonalnego parametru /UserPrincipalName, aby wykonać zapytanie tylko o klucze dla określonego użytkownika. Wymagane uprawnienia są uruchamiane jako administrator lub określony użytkownik.

Jeśli używasz programu PowerShell do tworzenia pliku CSV ze wszystkimi istniejącymi kluczami, dokładnie zidentyfikuj klucze, które należy zachować, i usuń te wiersze z woluminu CSV. Następnie użyj zmodyfikowanego pliku CSV z programem PowerShell, aby usunąć pozostałe klucze, aby ograniczyć liczbę kluczy konta.

Usunięcie dowolnego klucza zgłoszonego jako "Osierocone"="True" w pliku CSV jest bezpieczne. Osierocony klucz to taki, który pochodzi od urządzenia nie będącego już zarejestrowanego w Microsoft Entra ID. Jeśli usunięcie wszystkich osieroconych nadal nie umożliwia zmniejszenia liczby kont użytkownika poniżej limitu, należy spojrzeć na kolumny DeviceId i CreationTime, aby zidentyfikować klucze przeznaczone do usunięcia. Należy zachować ostrożność, aby usunąć dowolny wiersz w pliku CSV dla kluczy, które chcesz zachować. Klucze dla dowolnego identyfikatora Urządzenia odpowiadającego urządzeniom, których aktywnie używa użytkownik, należy usunąć z woluminu CSV przed wykonaniem kroku usuwania.

Wybieranie metody bez hasła

Wybór tych trzech opcji bez hasła zależy od wymagań firmy dotyczących zabezpieczeń, platformy i aplikacji.

Poniżej przedstawiono kilka czynników, które należy wziąć pod uwagę podczas wybierania technologii bez hasła firmy Microsoft:

Windows Hello for Business Logowanie bez hasła przy użyciu aplikacji Authenticator Klucze zabezpieczeń FIDO2
Wymagania wstępne Windows 10, wersja 1809 lub nowsza
Microsoft Entra ID		 Aplikacja Authenticator
Telefon (urządzenia z systemem iOS i Android)		 Windows 10, wersja 1903 lub nowsza
Microsoft Entra ID
Tryb Platforma Oprogramowanie Sprzęt
Systemy i urządzenia Komputer z wbudowanym modułem TPM (Trusted Platform Module)
Rozpoznawanie PIN i danych biometrycznych		 Numer PIN i rozpoznawanie biometryczne na telefonie Urządzenia zabezpieczające FIDO2, które są zgodne z firmą Microsoft
Środowisko użytkownika Zaloguj się przy użyciu numeru PIN lub funkcji rozpoznawania biometrycznego (twarzy, tęczówki lub odcisku palca) na urządzeniach z systemem Windows.
Uwierzytelnianie funkcji Windows Hello jest powiązane z urządzeniem; użytkownik potrzebuje zarówno urządzenia, jak i składnika logowania, takiego jak numer PIN lub współczynnik biometryczny, aby uzyskać dostęp do zasobów firmy.		 Zaloguj się przy użyciu telefonu komórkowego ze skanowaniem odcisków palców, rozpoznawaniem twarzy lub tęczówki albo numerem PIN.
Użytkownicy logują się do konta służbowego lub osobistego z komputera lub telefonu komórkowego.		 Logowanie przy użyciu urządzenia zabezpieczającego FIDO2 (biometryczne, pin i NFC)
Użytkownik może uzyskiwać dostęp do urządzenia w oparciu o mechanizmy kontroli organizacji i uwierzytelniać się na podstawie numeru PIN, biometrii przy użyciu urządzeń, takich jak klucze zabezpieczeń USB i karty inteligentne z obsługą NFC, klucze lub urządzenia do noszenia.
Włączone scenariusze Środowisko bez hasła na urządzeniu z systemem Windows.
Dotyczy dedykowanego komputera roboczego z możliwością logowania jednokrotnego do urządzeń i aplikacji.		 Rozwiązanie bez hasła w dowolnym miejscu przy użyciu telefonu komórkowego.
Dotyczy uzyskiwania dostępu do aplikacji służbowych lub osobistych w Internecie z dowolnego urządzenia.		 Bez hasła dla pracowników korzystających z biometrii, numeru PIN i nfc.
Dotyczy udostępnionych komputerów i miejsca, w których telefon komórkowy nie jest opcją realną (np. dla personelu pomocy technicznej, kiosku publicznego lub zespołu szpitalnego)

Skorzystaj z poniższej tabeli, aby wybrać metodę, która spełnia Twoje wymagania i użytkowników.

Osoba Scenariusz Środowisko Technologia bez hasła
Administrator Bezpieczny dostęp do urządzenia na potrzeby zadań zarządzania Przypisane urządzenie z systemem Windows 10 Windows Hello dla firm i/lub klucz zabezpieczeń FIDO2
Administrator Zadania zarządzania na urządzeniach z systemem innych niż Windows Urządzenie przenośne lub inne niż Windows Logowanie bez hasła przy użyciu aplikacji Authenticator
Pracownik informacji Praca nad produktywnością Przypisane urządzenie z systemem Windows 10 Windows Hello dla firm i/lub klucz zabezpieczeń FIDO2
Pracownik informacyjny Praca nad produktywnością Urządzenie przenośne lub inne niż Windows Logowanie bez hasła przy użyciu aplikacji Authenticator
Pracownik pierwszej linii Kioski w fabryce, zakładzie, handlu detalicznym lub wprowadzaniu danych Udostępnione urządzenia z systemem Windows 10 Klucze zabezpieczeń FIDO2

Następne kroki

Aby rozpocząć pracę bez hasła w usłudze Microsoft Entra ID, wykonaj jedną z następujących instrukcji: