Siła uwierzytelniania dostępu warunkowego
Siła uwierzytelniania to kontrola dostępu warunkowego określająca, które kombinacje metod uwierzytelniania mogą służyć do uzyskiwania dostępu do zasobu. Użytkownicy mogą spełnić wymagania dotyczące siły, uwierzytelniając się przy użyciu dowolnej z dozwolonych kombinacji.
Na przykład siła uwierzytelniania może wymagać, aby tylko metody uwierzytelniania odporne na wyłudzanie informacji były używane do uzyskiwania dostępu do poufnych zasobów. Aby uzyskać dostęp do niewrażliwego zasobu, administratorzy mogą utworzyć kolejną siłę uwierzytelniania, która umożliwia mniej bezpieczne kombinacje uwierzytelniania wieloskładnikowego (MFA), takie jak hasło i wiadomość SMS.
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania, w których administratorzy mogą określać zakres metod uwierzytelniania dla określonych użytkowników i grup, które mają być używane w aplikacjach federacyjnych microsoft Entra ID. Siła uwierzytelniania umożliwia dalszą kontrolę nad użyciem tych metod na podstawie określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.
Scenariusze dotyczące mocnych stron uwierzytelniania
Mocne uwierzytelnianie może pomóc klientom w rozwiązywaniu tych scenariuszy:
- Wymagaj określonych metod uwierzytelniania w celu uzyskania dostępu do poufnego zasobu.
- Wymagaj określonej metody uwierzytelniania, gdy użytkownik podejmuje wrażliwą akcję w aplikacji (w połączeniu z kontekstem uwierzytelniania dostępu warunkowego).
- Wymagaj od użytkowników użycia określonej metody uwierzytelniania w przypadku uzyskiwania dostępu do poufnych aplikacji poza siecią firmową.
- Wymagaj bezpieczniejszych metod uwierzytelniania dla użytkowników wysokiego ryzyka.
- Wymagaj specyficznych metod uwierzytelniania od użytkowników-gości, którzy uzyskują dostęp do dzierżawcy zasobów (w połączeniu z ustawieniami międzydzierżawcowymi).
Mocne strony uwierzytelniania
Administratorzy mogą określić siłę uwierzytelniania, aby uzyskać dostęp do zasobu, tworząc zasady dostępu warunkowego za pomocą kontrolki Wymagaj siły uwierzytelniania. Mogą wybrać jedną z trzech wbudowanych sił uwierzytelniania: siłę uwierzytelniania wieloskładnikowego, siłę uwierzytelniania wieloskładnikowego bez hasła i siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Mogą również utworzyć niestandardowy poziom uwierzytelniania na podstawie kombinacji metod uwierzytelniania, na które chcą zezwolić.
Wbudowane siły uwierzytelniania
Wbudowane siły uwierzytelniania to kombinacje metod uwierzytelniania, które są wstępnie zdefiniowane przez firmę Microsoft. Wbudowane mechanizmy uwierzytelniania są zawsze dostępne i nie można ich modyfikować. Firma Microsoft zaktualizuje wbudowane mocne strony uwierzytelniania, gdy staną się dostępne nowe metody.
Na przykład wbudowany poziom odporności na phishing w uwierzytelnianiu wieloskładnikowym umożliwia wykonanie następujących kombinacji:
Windows Hello for Business
Or
Klucz zabezpieczeń FIDO2
Or
Uwierzytelnianie oparte na certyfikatach firmy Microsoft (Multifactor)
Kombinacje metod uwierzytelniania dla każdej wbudowanej siły uwierzytelniania są wymienione w poniższej tabeli. Te kombinacje obejmują metody, które muszą być zarejestrowane przez użytkowników i włączone w zasadach metod uwierzytelniania lub starszych zasad ustawień uwierzytelniania wieloskładnikowego.
- Siła MFA: ten sam zestaw kombinacji, który może być użyty dla ustawienia Wymagaj uwierzytelniania wieloskładnikowego.
- Siła uwierzytelniania wieloskładnikowego bez hasła — obejmuje metody uwierzytelniania spełniające wymagania uwierzytelniania wieloskładnikowego, ale nie wymagają hasła.
- Siła uwierzytelniania wieloskładnikowego odpornego na phishing — obejmuje metody wymagające interakcji między metodą uwierzytelniania a interfejsem logowania.
| Kombinacja metody uwierzytelniania | Siła uwierzytelniania MFA | Siła uwierzytelniania MFA bez hasła | Siła uwierzytelniania wieloskładnikowego odpornego na phishing |
|---|---|---|---|
| Klucz zabezpieczeń FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello for Business | ✅ | ✅ | ✅ |
| Uwierzytelnianie oparte na certyfikatach (Multi-Factor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (logowanie za pomocą telefonu) | ✅ | ✅ | |
| Przepustka dostępu tymczasowego (jednorazowe użycie lub wielokrotne użycie) | ✅ | ||
| Hasło i coś, co masz1 | ✅ | ||
| Federacyjny pojedynczy czynnik + coś, co posiadasz1 | ✅ | ||
| Federacyjne uwierzytelnianie wieloczynnikowe | ✅ | ||
| Uwierzytelnianie oparte na certyfikatach (jednoskładnikowe) | |||
| Logowanie sms | |||
| Hasło | |||
| Federacyjny pojedynczy czynnik |
1 Coś, co masz, odnosi się do jednej z następujących metod: wiadomości SMS, wiadomości głosowej, powiadomienia push, tokena OATH oprogramowania lub sprzętowego tokena OATH.
Następujące wywołanie interfejsu API może służyć do wyświetlania listy definicji wszystkich wbudowanych mocnych stron uwierzytelniania:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Administratorzy dostępu warunkowego mogą również tworzyć niestandardowe siły uwierzytelniania, aby dokładnie odpowiadały wymaganiom dostępu. Aby uzyskać więcej informacji, zobacz Niestandardowe poziomy siły uwierzytelniania dostępu warunkowego.
Ograniczenia
Zasady dostępu warunkowego są oceniane tylko po początkowym uwierzytelnieniu — w związku z tym siła uwierzytelniania nie ogranicza początkowego uwierzytelniania użytkownika. Załóżmy, że używasz wbudowanej siły uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Użytkownik nadal może wpisać swoje hasło, ale musi zalogować się przy użyciu metody odpornej na wyłudzanie informacji, takiej jak klucz zabezpieczeń FIDO2, zanim będzie mógł kontynuować.
Wymagaj uwierzytelniania wieloskładnikowego i wymagana siła uwierzytelniania nie mogą być używane razem w tej samej zasadzie dostępu warunkowego — tych dwóch kontrolek dostępu warunkowego nie można używać razem, ponieważ wbudowana siła uwierzytelniania wieloskładnikowego jest równoważna wymaganiu uwierzytelniania wieloskładnikowego.
Metody uwierzytelniania, które nie są obecnie obsługiwane ze względu na siłę uwierzytelnienia — metoda jednorazowego hasła e-mail (Gość) nie jest zawarta w dostępnych kombinacjach.
Windows Hello dla firm — jeśli użytkownik zalogował się przy użyciu Windows Hello dla firm jako podstawowej metody uwierzytelniania, może służyć do spełnienia wymagania dotyczącego siły uwierzytelniania obejmującego Windows Hello dla firm. Jeśli jednak użytkownik zalogował się przy użyciu innej metody, takiej jak hasło jako podstawowa metoda uwierzytelniania, a siła uwierzytelniania wymaga Windows Hello dla firm, nie zostanie wyświetlony monit o zalogowanie się przy użyciu Windows Hello dla firm. Użytkownik musi ponownie uruchomić sesję, wybrać opcje logowania i wybrać metodę wymaganą przez siłę uwierzytelniania.
Znane problemy
Siła uwierzytelniania i częstotliwość logowania — jeśli zasób wymaga siły uwierzytelniania i częstotliwości logowania, użytkownicy mogą spełnić oba wymagania dwa razy.
Załóżmy na przykład, że zasób wymaga klucza dostępu (FIDO2) dla siły uwierzytelniania i częstotliwości logowania 1-godzinnego. 24 godziny temu użytkownik zalogował się przy użyciu klucza dostępu (FIDO2) w celu uzyskania dostępu do zasobu.
Gdy użytkownik odblokuje swoje urządzenie z systemem Windows przy użyciu Windows Hello dla firm, będzie mógł ponownie uzyskać dostęp do zasobu. Wczorajsze logowanie spełnia wymagania dotyczące siły uwierzytelniania, a dzisiejsze odblokowanie urządzenia spełnia wymagania dotyczące częstotliwości logowania.
Dwukrotna reprezentacja poziomu uwierzytelniania — poświadczenia platformy, takie jak Windows Hello dla firm i poświadczenia platformy dla systemu macOS, są przedstawione w ramach siły uwierzytelniania w Windows Hello dla firm. Aby skonfigurować niestandardową siłę uwierzytelniania, która umożliwia korzystanie z poświadczeń platformy dla systemu macOS, użyj funkcji Windows Hello dla firm.
Często zadawane pytania
Czy należy używać siły uwierzytelniania lub zasad metod uwierzytelniania?
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania. Zasady metody uwierzytelniania ułatwiają określanie zakresu i konfigurowanie metod uwierzytelniania, które mają być używane w usłudze Microsoft Entra ID przez określonych użytkowników i grup. Siła uwierzytelniania umożliwia inne ograniczenie metod dla określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.
Na przykład administrator firmy Contoso chce zezwolić swoim użytkownikom na używanie aplikacji Microsoft Authenticator z powiadomieniami wypychanymi lub trybem uwierzytelniania bez hasła. Administrator przechodzi do ustawień aplikacji Microsoft Authenticator w zasadach metod uwierzytelniania, określa zakresy zasad dla odpowiednich użytkowników i ustawia tryb uwierzytelniania na Dowolny.
Następnie w przypadku najbardziej poufnego zasobu firmy Contoso administrator chce ograniczyć dostęp tylko do metod uwierzytelniania bez hasła. Administrator tworzy nową politykę dostępu warunkowego, używając wbudowanego poziomu mocy MFA bez hasła.
W związku z tym użytkownicy w firmie Contoso mogą uzyskiwać dostęp do większości zasobów w dzierżawie przy użyciu hasła i powiadomień wypychanych z aplikacji Microsoft Authenticator LUB tylko przy użyciu aplikacji Microsoft Authenticator (logowanie za pomocą telefonu). Jednak gdy użytkownicy w dzierżawie uzyskują dostęp do poufnej aplikacji, muszą korzystać z aplikacji Microsoft Authenticator (logowanie za pomocą telefonu).
Wymagania wstępne
- Microsoft Entra ID P1 — Twój najemca musi mieć licencję Microsoft Entra ID P1, aby korzystać z dostępu warunkowego. W razie potrzeby możesz włączyć bezpłatną wersję próbną.