Wprowadzenie do wdrażania uwierzytelniania bez hasła odpornego na wyłudzanie informacji w usłudze Microsoft Entra ID
Hasła to podstawowy wektor ataku dla nowoczesnych przeciwników oraz źródło problemów dla użytkowników i administratorów. W ramach ogólnej strategii zabezpieczeń zero trust firma Microsoft zaleca przejście do rozwiązania uwierzytelniania odpornego na wyłudzanie informacji bez hasła. Ten przewodnik ułatwia wybieranie, przygotowywanie i wdrażanie odpowiednich poświadczeń bez hasła odpornych na wyłudzanie informacji dla organizacji. Skorzystaj z tego przewodnika, aby zaplanować i wykonać projekt bez hasła odporny na wyłudzanie informacji.
Funkcje takie jak uwierzytelnianie wieloskładnikowe (MFA) to doskonały sposób na zabezpieczenie organizacji. Jednak użytkownicy często są sfrustrowani dodatkową warstwą zabezpieczeń, aby pamiętać hasła. Metody uwierzytelniania bez hasła odporne na wyłudzanie informacji są wygodniejsze. Na przykład analiza kont konsumentów Microsoft pokazuje, że logowanie przy użyciu hasła może potrwać średnio do 9 sekund, ale w większości przypadków użycie kluczy dostępu trwa tylko około 3 sekund. Szybkość i łatwość logowania za pomocą klucza dostępu jest jeszcze większa w porównaniu z tradycyjnym hasłem i logowaniem za pomocą uwierzytelniania wieloskładnikowego. Użytkownicy z kluczem dostępu nie muszą pamiętać hasła ani czekać na wiadomości SMS.
Uwaga
Te dane są oparte na analizie logowania kont konsumentów Microsoft.
Metody bez hasła odporne na wyłudzanie informacji mają również dodatkowe zabezpieczenia. Automatycznie są one liczone jako uwierzytelnianie wieloskładnikowe przy użyciu czegoś, co użytkownik ma (urządzenie fizyczne lub klucz zabezpieczeń) i coś, co użytkownik wie lub jest, jak biometryczny lub PIN. W przeciwieństwie do tradycyjnej uwierzytelniania wieloskładnikowego metody odporne na wyłudzanie informacji odwrotne od ataków wyłudzających informacje dla użytkowników przy użyciu poświadczeń opartych na sprzęcie, których nie można łatwo naruszyć.
Identyfikator entra firmy Microsoft oferuje następujące opcje uwierzytelniania bez hasła odporne na wyłudzanie informacji:
- Passkeys (FIDO2)
- Windows Hello for Business
- Poświadczenia platformy dla systemu macOS (wersja zapoznawcza)
- Klucze dostępu aplikacji Microsoft Authenticator
- Klucze zabezpieczeń FIDO2
- Inne klucze dostępu i dostawcy, takie jak iCloud Keychain — w harmonogramie działania
- Uwierzytelnianie oparte na certyfikatach/karty inteligentne
Wymagania wstępne
Przed rozpoczęciem projektu wdrażania bez wyłudzania informacji firmy Microsoft wykonaj następujące wymagania wstępne:
- Przegląd wymagań dotyczących licencji
- Przejrzyj role potrzebne do wykonywania akcji uprzywilejowanych
- Identyfikowanie zespołów uczestników projektu, które muszą współpracować
Wymagania dotyczące licencji
Rejestracja i logowanie bez hasła w firmie Microsoft Entra nie wymaga licencji, ale zalecamy co najmniej licencję Microsoft Entra ID P1, aby uzyskać pełny zestaw funkcji skojarzonych z wdrożeniem bez hasła. Na przykład licencja microsoft Entra ID P1 pomaga wymusić logowanie bez hasła za pośrednictwem dostępu warunkowego i śledzić wdrażanie przy użyciu raportu aktywności metody uwierzytelniania. Zapoznaj się ze wskazówkami dotyczącymi wymagań dotyczących licencjonowania dotyczącymi funkcji wymienionych w tym przewodniku, aby uzyskać szczegółowe wymagania dotyczące licencjonowania.
Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft
Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem (IAM), która integruje się z wieloma typami aplikacji, w tym aplikacjami typu oprogramowanie jako usługa (SaaS), aplikacjami biznesowymi (LOB), aplikacjami lokalnymi i nie tylko. Musisz zintegrować aplikacje z identyfikatorem Entra firmy Microsoft, aby uzyskać największe korzyści z inwestycji w uwierzytelnianie bez hasła i odporne na wyłudzanie informacji. W miarę integrowania większej liczby aplikacji z identyfikatorem Entra firmy Microsoft można chronić więcej środowiska za pomocą zasad dostępu warunkowego, które wymuszają stosowanie metod uwierzytelniania odpornych na wyłudzanie informacji. Aby dowiedzieć się więcej na temat sposobu integrowania aplikacji z identyfikatorem Entra firmy Microsoft, zobacz Pięć kroków integracji aplikacji z identyfikatorem Entra firmy Microsoft.
Podczas tworzenia własnych aplikacji postępuj zgodnie ze wskazówkami dla deweloperów dotyczącymi obsługi uwierzytelniania bez hasła i odpornego na wyłudzanie informacji. Aby uzyskać więcej informacji, zobacz Obsługa uwierzytelniania bez hasła za pomocą kluczy FIDO2 w opracowywanych aplikacjach.
Wymagane role
W poniższej tabeli wymieniono najmniej uprzywilejowane wymagania roli dotyczące wdrażania bez hasła odpornego na wyłudzanie informacji. Zalecamy włączenie uwierzytelniania bez hasła odpornego na wyłudzanie informacji dla wszystkich uprzywilejowanych kont.
| Rola Microsoft Entra | opis |
|---|---|
| Administrator użytkowników | Aby zaimplementować połączone środowisko rejestracji |
| Administrator uwierzytelniania | Aby zaimplementować metody uwierzytelniania i zarządzać nimi |
| Administrator zasad uwierzytelniania | Aby zaimplementować zasady metod uwierzytelniania i zarządzać nimi |
| User | Aby skonfigurować aplikację Authenticator na urządzeniu; aby zarejestrować urządzenie klucza zabezpieczeń dla sieci Web lub logowania w systemie Windows 10/11 |
Zespoły uczestników projektu klienta
Aby zapewnić sukces, przed rozpoczęciem planowania i wdrażania upewnij się, że angażujesz się we właściwe osoby biorące udział w projekcie i rozumiesz ich role. W poniższej tabeli wymieniono często zalecane zespoły uczestników projektu.
| Zespół uczestników projektu | opis |
|---|---|
| Zarządzanie tożsamościami i dostępem (IAM) | Zarządza codziennymi operacjami systemu zarządzania dostępem i tożsamościami |
| Architektura zabezpieczeń informacji | Planowanie i projektowanie praktyk w zakresie zabezpieczeń informacji organizacji |
| Operacje zabezpieczeń informacji | Uruchamia i monitoruje praktyki zabezpieczeń informacji dotyczące architektury zabezpieczeń informacji |
| Kontrola zabezpieczeń i inspekcja | Pomaga zapewnić bezpieczeństwo i zgodność procesów IT. Przeprowadzają regularne inspekcje, oceniają zagrożenia i zalecają środki zabezpieczeń w celu ograniczenia zidentyfikowanych luk w zabezpieczeniach i zwiększenia ogólnego poziomu zabezpieczeń. |
| Pomoc techniczna i pomoc techniczna | Pomaga użytkownikom końcowym, którzy napotykają problemy podczas wdrażania nowych technologii i zasad lub gdy występują problemy |
| Komunikacja użytkowników końcowych | Zmiany komunikatów dla użytkowników końcowych w ramach przygotowań do pomocy w prowadzeniu wdrożeń technologii przeznaczonych dla użytkowników |