Siła uwierzytelniania dostępu warunkowego
Siła uwierzytelniania to kontrola dostępu warunkowego określająca, które kombinacje metod uwierzytelniania mogą służyć do uzyskiwania dostępu do zasobu. Użytkownicy mogą spełnić wymagania dotyczące siły, uwierzytelniając się przy użyciu dowolnej z dozwolonych kombinacji.
Na przykład siła uwierzytelniania może wymagać, aby tylko metody uwierzytelniania odporne na wyłudzanie informacji były używane do uzyskiwania dostępu do poufnych zasobów. Aby uzyskać dostęp do niewrażliwego zasobu, administratorzy mogą utworzyć kolejną siłę uwierzytelniania, która umożliwia mniej bezpieczne kombinacje uwierzytelniania wieloskładnikowego (MFA), takie jak hasło i wiadomość SMS.
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania, w których administratorzy mogą określać zakres metod uwierzytelniania dla określonych użytkowników i grup, które mają być używane w aplikacjach federacyjnych microsoft Entra ID. Siła uwierzytelniania umożliwia dalszą kontrolę nad użyciem tych metod na podstawie określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.
Scenariusze dotyczące mocnych stron uwierzytelniania
Mocne uwierzytelnianie może pomóc klientom w rozwiązywaniu tych scenariuszy:
- Wymagaj określonych metod uwierzytelniania w celu uzyskania dostępu do poufnego zasobu.
- Wymagaj określonej metody uwierzytelniania, gdy użytkownik podejmuje wrażliwą akcję w aplikacji (w połączeniu z kontekstem uwierzytelniania dostępu warunkowego).
- Wymagaj od użytkowników użycia określonej metody uwierzytelniania w przypadku uzyskiwania dostępu do poufnych aplikacji poza siecią firmową.
- Wymagaj bezpieczniejszych metod uwierzytelniania dla użytkowników wysokiego ryzyka.
- Wymagaj określonych metod uwierzytelniania od użytkowników-gości, którzy uzyskują dostęp do dzierżawy zasobów (w połączeniu z ustawieniami między dzierżawami).
Mocne strony uwierzytelniania
Administratorzy mogą określić siłę uwierzytelniania, aby uzyskać dostęp do zasobu, tworząc zasady dostępu warunkowego za pomocą kontrolki Wymagaj siły uwierzytelniania. Mogą wybrać jedną z trzech wbudowanych sił uwierzytelniania: siłę uwierzytelniania wieloskładnikowego, siłę uwierzytelniania wieloskładnikowego bez hasła i siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Mogą również utworzyć niestandardową siłę uwierzytelniania na podstawie kombinacji metod uwierzytelniania, które chcą zezwolić.
Wbudowane siły uwierzytelniania
Wbudowane siły uwierzytelniania to kombinacje metod uwierzytelniania, które są wstępnie zdefiniowane przez firmę Microsoft. Wbudowane mocne strony uwierzytelniania są zawsze dostępne i nie można ich modyfikować. Firma Microsoft zaktualizuje wbudowane mocne strony uwierzytelniania, gdy staną się dostępne nowe metody.
Na przykład wbudowana siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji umożliwia wykonanie następujących kombinacji:
Windows Hello for Business
Or
Klucz zabezpieczeń FIDO2
Or
Uwierzytelnianie oparte na certyfikatach firmy Microsoft (Multifactor)
Kombinacje metod uwierzytelniania dla każdej wbudowanej siły uwierzytelniania są wymienione w poniższej tabeli. Te kombinacje obejmują metody, które muszą być zarejestrowane przez użytkowników i włączone w zasadach metod uwierzytelniania lub starszych zasad ustawień uwierzytelniania wieloskładnikowego.
- Siła uwierzytelniania wieloskładnikowego — ten sam zestaw kombinacji, których można użyć do spełnienia ustawienia Wymagaj uwierzytelniania wieloskładnikowego .
- Siła uwierzytelniania wieloskładnikowego bez hasła — obejmuje metody uwierzytelniania spełniające wymagania uwierzytelniania wieloskładnikowego, ale nie wymagają hasła.
- Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji — obejmuje metody wymagające interakcji między metodą uwierzytelniania a powierzchnią logowania.
Kombinacja metody uwierzytelniania | Siła uwierzytelniania wieloskładnikowego | Siła uwierzytelniania wieloskładnikowego bez hasła | Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji |
---|---|---|---|
Klucz zabezpieczeń FIDO2 | ✅ | ✅ | ✅ |
Windows Hello for Business | ✅ | ✅ | ✅ |
Uwierzytelnianie oparte na certyfikatach (Multi-Factor) | ✅ | ✅ | ✅ |
Microsoft Authenticator (logowanie za pomocą telefonu) | ✅ | ✅ | |
Dostęp tymczasowy (jednorazowe użycie i wielokrotne użycie) | ✅ | ||
Hasło i coś, co masz1 | ✅ | ||
Federacyjny pojedynczy czynnik + coś, co masz1 | ✅ | ||
Federacyjny wieloskładnikowy | ✅ | ||
Uwierzytelnianie oparte na certyfikatach (jednoskładnikowe) | |||
Logowanie sms | |||
Hasło | |||
Federacyjny pojedynczy czynnik |
1 Coś, co masz, odnosi się do jednej z następujących metod: wiadomości SMS, głosu, powiadomień wypychanych, tokenu OATH oprogramowania lub sprzętowego tokenu OATH.
Następujące wywołanie interfejsu API może służyć do wyświetlania listy definicji wszystkich wbudowanych mocnych stron uwierzytelniania:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Administratorzy dostępu warunkowego mogą również tworzyć niestandardowe siły uwierzytelniania, aby dokładnie odpowiadały wymaganiom dostępu. Aby uzyskać więcej informacji, zobacz Niestandardowe siły uwierzytelniania dostępu warunkowego.
Ograniczenia
Zasady dostępu warunkowego są oceniane tylko po początkowym uwierzytelnieniu — w związku z tym siła uwierzytelniania nie ogranicza początkowego uwierzytelniania użytkownika. Załóżmy, że używasz wbudowanej siły uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Użytkownik nadal może wpisać swoje hasło, ale musi zalogować się przy użyciu metody odpornej na wyłudzanie informacji, takiej jak klucz zabezpieczeń FIDO2, zanim będzie mógł kontynuować.
Wymagaj uwierzytelniania wieloskładnikowego i nie można używać siły uwierzytelniania razem w tych samych zasadach dostępu warunkowego — tych dwóch kontrolek udzielania dostępu warunkowego nie można używać razem, ponieważ wbudowana siła uwierzytelniania Wieloskładnikowego jest równoważna kontroli udzielania uwierzytelniania wieloskładnikowego.
Metody uwierzytelniania, które nie są obecnie obsługiwane przez siłę uwierzytelniania — metoda uwierzytelniania jednorazowego przekazywania wiadomości e-mail (gościa) nie jest uwzględniana w dostępnych kombinacjach.
Windows Hello dla firm — jeśli użytkownik zalogował się przy użyciu Windows Hello dla firm jako podstawowej metody uwierzytelniania, może służyć do spełnienia wymagania dotyczącego siły uwierzytelniania obejmującego Windows Hello dla firm. Jeśli jednak użytkownik zalogował się przy użyciu innej metody, takiej jak hasło jako podstawowa metoda uwierzytelniania, a siła uwierzytelniania wymaga Windows Hello dla firm, nie zostanie wyświetlony monit o zalogowanie się przy użyciu Windows Hello dla firm. Użytkownik musi ponownie uruchomić sesję, wybrać opcje logowania i wybrać metodę wymaganą przez siłę uwierzytelniania.
Znane problemy
Siła uwierzytelniania i częstotliwość logowania — jeśli zasób wymaga siły uwierzytelniania i częstotliwości logowania, użytkownicy mogą spełnić oba wymagania dwa razy.
Załóżmy na przykład, że zasób wymaga klucza dostępu (FIDO2) dla siły uwierzytelniania i częstotliwości logowania 1-godzinnego. 24 godziny temu użytkownik zalogował się przy użyciu klucza dostępu (FIDO2) w celu uzyskania dostępu do zasobu.
Gdy użytkownik odblokuje swoje urządzenie z systemem Windows przy użyciu Windows Hello dla firm, będzie mógł ponownie uzyskać dostęp do zasobu. Wczorajsze logowanie spełnia wymagania dotyczące siły uwierzytelniania, a dzisiejsze odblokowanie urządzenia spełnia wymagania dotyczące częstotliwości logowania.
Podwójna reprezentacja bloku siły uwierzytelniania — poświadczenia platformy, takie jak Windows Hello dla firm i poświadczenia platformy dla systemu macOS, są reprezentowane w sile uwierzytelniania w usłudze Windows Hello dla firm. Aby skonfigurować niestandardową siłę uwierzytelniania, która umożliwia korzystanie z poświadczeń platformy dla systemu macOS, użyj funkcji Windows Hello dla firm.
Często zadawane pytania
Czy należy używać siły uwierzytelniania lub zasad metod uwierzytelniania?
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania. Zasady metody uwierzytelniania ułatwiają określanie zakresu i konfigurowanie metod uwierzytelniania, które mają być używane w usłudze Microsoft Entra ID przez określonych użytkowników i grup. Siła uwierzytelniania umożliwia inne ograniczenie metod dla określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.
Na przykład administrator firmy Contoso chce zezwolić swoim użytkownikom na używanie aplikacji Microsoft Authenticator z powiadomieniami wypychanymi lub trybem uwierzytelniania bez hasła. Administrator przechodzi do ustawień aplikacji Microsoft Authenticator w zasadach metod uwierzytelniania, określa zakresy zasad dla odpowiednich użytkowników i ustawia tryb uwierzytelniania na Dowolny.
Następnie w przypadku najbardziej poufnego zasobu firmy Contoso administrator chce ograniczyć dostęp tylko do metod uwierzytelniania bez hasła. Administrator tworzy nowe zasady dostępu warunkowego przy użyciu wbudowanej siły uwierzytelniania wieloskładnikowego bez hasła.
W związku z tym użytkownicy w firmie Contoso mogą uzyskiwać dostęp do większości zasobów w dzierżawie przy użyciu hasła i powiadomień wypychanych z aplikacji Microsoft Authenticator LUB tylko przy użyciu aplikacji Microsoft Authenticator (logowanie za pomocą telefonu). Jednak gdy użytkownicy w dzierżawie uzyskują dostęp do poufnej aplikacji, muszą korzystać z aplikacji Microsoft Authenticator (logowanie za pomocą telefonu).
Wymagania wstępne
- Microsoft Entra ID P1 — Twoja dzierżawa musi mieć licencję Microsoft Entra ID P1, aby korzystać z dostępu warunkowego. W razie potrzeby możesz włączyć bezpłatną wersję próbną.