Rozpocznij wdrażanie uwierzytelniania odpornego na wyłudzanie informacji bez hasła w Microsoft Entra ID
Hasła to podstawowy wektor ataku dla nowoczesnych przeciwników oraz źródło problemów dla użytkowników i administratorów. W ramach ogólnej strategii zabezpieczeń Zero Trust firma Microsoft zaleca przejście na uwierzytelnianie odporne na wyłudzanie informacji bez użycia hasła. Ten przewodnik ułatwia wybieranie, przygotowywanie i wdrażanie odpowiednich poświadczeń bez hasła odpornych na wyłudzanie informacji dla organizacji. Skorzystaj z tego przewodnika, aby zaplanować i wykonać projekt bez hasła odporny na wyłudzanie informacji.
Funkcje takie jak uwierzytelnianie wieloskładnikowe (MFA) to doskonały sposób na zabezpieczenie organizacji. Jednak użytkownicy często są sfrustrowani dodatkową warstwą zabezpieczeń, która jest ponad ich potrzebą zapamiętywania haseł. Metody uwierzytelniania bez hasła odporne na wyłudzanie informacji są wygodniejsze. Na przykład analiza kont konsumentów Microsoft pokazuje, że logowanie przy użyciu hasła może potrwać średnio do 9 sekund, ale w większości przypadków użycie kluczy dostępu trwa tylko około 3 sekund. Szybkość i łatwość logowania za pomocą klucza dostępu jest jeszcze większa w porównaniu z tradycyjnym hasłem i logowaniem za pomocą uwierzytelniania wieloskładnikowego. Użytkownicy z kluczem dostępu nie muszą pamiętać hasła ani czekać na wiadomości SMS.
Uwaga
Te dane są oparte na analizie logowania kont konsumentów Microsoft.
Metody bez hasła odporne na wyłudzanie informacji mają również dodatkowe zabezpieczenia. Automatycznie uznawane są za uwierzytelnianie wieloskładnikowe poprzez użycie czegoś, co użytkownik ma (urządzenie fizyczne lub klucz zabezpieczeń) oraz czegoś, co użytkownik zna lub jest, jak dane biometryczne lub PIN. W przeciwieństwie do tradycyjnego uwierzytelnienia wieloskładnikowego, metody odporne na phishing odpierają ataki wyłudzające informacje wobec użytkowników, wykorzystując poświadczenia oparte na sprzęcie, których nie można łatwo naruszyć.
Identyfikator entra firmy Microsoft oferuje następujące opcje uwierzytelniania bez hasła odporne na wyłudzanie informacji:
- Klucze dostępu (FIDO2)
- Windows Hello for Business
- Poświadczenia platformy dla systemu macOS (wersja zapoznawcza)
- Klucze dostępu aplikacji Microsoft Authenticator
- Klucze zabezpieczeń FIDO2
- Inne klucze dostępu i dostawcy, takie jak iCloud Keychain — w harmonogramie działania
- Uwierzytelnianie oparte na certyfikatach/karty inteligentne
Wymagania wstępne
Przed rozpoczęciem projektu wdrażania odpornego na wyłudzanie informacji i bezhasłowego systemu Microsoft Entra, wykonaj następujące wymagania wstępne:
- Przegląd wymagań dotyczących licencji
- Przejrzyj role potrzebne do wykonywania akcji uprzywilejowanych
- Identyfikowanie zespołów uczestników projektu, które muszą współpracować
Wymagania dotyczące licencji
Rejestracja i logowanie bez hasła w firmie Microsoft Entra nie wymaga licencji, ale zalecamy co najmniej licencję Microsoft Entra ID P1, aby uzyskać pełny zestaw funkcji skojarzonych z wdrożeniem bez hasła. Na przykład licencja microsoft Entra ID P1 pomaga wymusić logowanie bez hasła za pośrednictwem dostępu warunkowego i śledzić wdrażanie przy użyciu raportu aktywności metody uwierzytelniania. Zapoznaj się ze wskazówkami dotyczącymi wymagań licencyjnych dla funkcji wymienionych w tym przewodniku, aby poznać szczegółowe wymagania licencyjne.
Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft
Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem (IAM), która integruje się z wieloma typami aplikacji, w tym aplikacjami typu oprogramowanie jako usługa (SaaS), aplikacjami biznesowymi (LOB), aplikacjami lokalnymi i nie tylko. Musisz zintegrować aplikacje z identyfikatorem Entra firmy Microsoft, aby uzyskać największe korzyści z inwestycji w uwierzytelnianie bez hasła i odporne na wyłudzanie informacji. W miarę integrowania większej liczby aplikacji z identyfikatorem Entra firmy Microsoft można chronić więcej środowiska za pomocą zasad dostępu warunkowego, które wymuszają stosowanie metod uwierzytelniania odpornych na wyłudzanie informacji. Aby dowiedzieć się więcej na temat sposobu integrowania aplikacji z identyfikatorem Entra firmy Microsoft, zobacz Pięć kroków integracji aplikacji z identyfikatorem Entra firmy Microsoft.
Podczas tworzenia własnych aplikacji postępuj zgodnie ze wskazówkami dla deweloperów dotyczącymi obsługi uwierzytelniania bez hasła i odpornego na wyłudzanie informacji. Aby uzyskać więcej informacji, zobacz Obsługa uwierzytelniania bez hasła za pomocą kluczy FIDO2 w opracowywanych aplikacjach.
Wymagane role
W poniższej tabeli wymieniono wymagania dotyczące najmniej uprzywilejowanych ról związanych z wdrażaniem uwierzytelniania bez hasła odpornego na wyłudzanie informacji. Zalecamy włączenie uwierzytelniania bez hasła odpornego na wyłudzanie informacji dla wszystkich uprzywilejowanych kont.
| Rola Microsoft Entra | opis |
|---|---|
| Administrator użytkowników | Aby zaimplementować połączone środowisko rejestracji |
| Administrator uwierzytelniania | Aby zaimplementować metody uwierzytelniania i zarządzać nimi |
| Administrator zasad uwierzytelniania | Aby zaimplementować zasady metod uwierzytelniania i zarządzać nimi |
| Użytkownik | Aby skonfigurować aplikację Authenticator na urządzeniu i zarejestrować klucz zabezpieczeń do logowania w sieci Web lub w systemie Windows 10/11. |
Zespoły uczestników projektu klienta
Aby zapewnić sukces, przed rozpoczęciem planowania i wdrażania upewnij się, że angażujesz się we właściwe osoby biorące udział w projekcie i rozumiesz ich role. W poniższej tabeli wymieniono często zalecane zespoły uczestników projektu.
| Zespół uczestników projektu | opis |
|---|---|
| Zarządzanie tożsamościami i dostępem (IAM) | Zarządza codziennymi działaniami systemu IAM |
| Architektura zabezpieczeń informacji | Planowanie i projektowanie praktyk w zakresie zabezpieczeń informacji organizacji |
| Operacje zabezpieczeń informacji | Uruchamia i monitoruje praktyki bezpieczeństwa informacji dla Architektury Bezpieczeństwa Informacji |
| Kontrola zabezpieczeń i inspekcja | Pomaga zapewnić bezpieczeństwo i zgodność procesów IT. Przeprowadzają regularne inspekcje, oceniają zagrożenia i zalecają środki zabezpieczeń w celu ograniczenia zidentyfikowanych luk w zabezpieczeniach i zwiększenia ogólnego poziomu zabezpieczeń. |
| Biuro Pomocy i Wsparcie techniczne | Pomaga użytkownikom końcowym, którzy napotykają problemy podczas wdrażania nowych technologii i zasad lub gdy występują problemy |
| Komunikacja użytkowników końcowych | Zmiany komunikatów dla użytkowników końcowych w ramach przygotowań do pomocy w prowadzeniu wdrożeń technologii przeznaczonych dla użytkowników |