Поделиться через

Что такое проверка подлинности Microsoft Entra?

  • Статья

Одной из основных функций платформы удостоверений является проверка подлинности или проверки подлинности, учетных данных при входе пользователя на устройство, приложение или службу. В идентификаторе Microsoft Entra проверка подлинности включает не только проверку имени пользователя и пароля. Чтобы повысить безопасность и уменьшить потребность в технической помощи, проверка подлинности Microsoft Entra включает следующие компоненты:

  • Самостоятельный сброс пароля
  • Многофакторная проверка подлинности Microsoft Entra
  • Гибридная интеграция для записи изменений паролей обратно в локальную среду
  • Гибридная интеграция для применения политик защиты паролей для локальной среды
  • Проверка подлинности без пароля

Ознакомьтесь с нашим коротким видео, чтобы узнать больше об этих компонентах проверки подлинности.

Улучшение взаимодействия с конечным пользователем

Идентификатор Microsoft Entra помогает защитить удостоверение пользователя и упростить процесс входа. Такие функции, как самостоятельный сброс пароля, позволяют пользователям обновлять или изменять пароли с помощью веб-браузера с любого устройства. Эта функция особенно полезна, если пользователь забыл пароль или учетную запись заблокирован. Не ожидая службы поддержки или администратора, пользователь может разблокировать себя и продолжить работать.

Многофакторная проверка подлинности Microsoft Entra позволяет пользователям выбирать дополнительную форму проверки подлинности во время входа, например телефонный звонок или уведомление о мобильном приложении. Эта возможность уменьшает необходимость в использовании одной фиксированной формы вторичной аутентификации, такой как аппаратный токен. Если в настоящее время у пользователя нет одной формы дополнительной проверки подлинности, он может выбрать другой метод и продолжить работу.

методы проверки подлинности , используемые на экране входа

Проверка подлинности без пароля устраняет необходимость создания и запоминания безопасного пароля. Такие возможности, как ключи безопасности Windows Hello для бизнеса или FIDO2, позволяют пользователям входить на устройство или приложение без пароля. Эта возможность может снизить сложность управления паролями в разных средах.

Самостоятельный сброс пароля

Самостоятельный сброс пароля позволяет пользователям изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или они забыли пароль, они могут следовать указаниям разблокировать себя и вернуться к работе. Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение.

Самостоятельный сброс пароля работает в следующих сценариях:

  • изменение пароля —, когда пользователь знает свой пароль, но хочет изменить его на что-то новое.
  • сброс пароля —, когда пользователь не может войти в систему, например, когда он забыл пароль и хочет его сбросить.
  • разблокировка учетной записи –, если пользователь не может войти, так как его учетная запись заблокирована, и хочет разблокировать свою учетную запись.

Когда пользователь обновляет или сбрасывает пароль с помощью самостоятельного сброса пароля, этот пароль также можно записать обратно в локальную среду Active Directory. Обратная запись паролей гарантирует, что пользователь может немедленно использовать обновленные учетные данные с локальными устройствами и приложениями.

Многофакторная проверка подлинности Microsoft Entra

Многофакторная проверка подлинности — это процесс, в котором пользователь запрашивает во время входа дополнительную форму идентификации, например ввести код на своем мобильном телефоне или предоставить сканирование отпечатков пальцев.

Если для проверки подлинности пользователя используется только пароль, он оставляет небезопасный вектор атаки. ** Если пароль слаб или уже известен в другом месте, действительно ли пользователь входит с именем пользователя и паролем или это злоумышленник? Если требуется вторая форма проверки подлинности, безопасность увеличивается, так как этот дополнительный фактор не является тем, что легко для злоумышленника получить или дублировать.

Концептуальное изображение различных форм многофакторной проверки подлинности

Многофакторная проверка подлинности Microsoft Entra работает, требуя двух или более следующих методов проверки подлинности:

  • То, что вы знаете, например, пароль.
  • То, что у вас есть, например доверенное устройство, которое не легко дублируется, например телефон или аппаратный ключ.
  • Что вы собой представляете - это биометрические данные, такие как отпечаток пальца или сканирование лица.

Пользователи могут зарегистрироваться как для самостоятельного сброса пароля, так и многофакторной аутентификации Microsoft Entra на одном шаге, чтобы упростить процесс регистрации. Администраторы могут определить, какие формы вторичной проверки подлинности можно использовать. Многофакторная проверка подлинности Microsoft Entra также может потребоваться, когда пользователи выполняют самостоятельный сброс пароля для дальнейшего обеспечения безопасности этого процесса.

Защита паролей

По умолчанию идентификатор Microsoft Entra блокирует слабые пароли, такие как Password1. Глобальный список запрещенных паролей автоматически обновляется и применяется, включая известные слабые пароли. Если пользователь Microsoft Entra пытается задать пароль одному из этих слабых паролей, он получает уведомление, чтобы выбрать более безопасный пароль.

Чтобы повысить безопасность, можно определить пользовательские политики защиты паролей. Эти политики могут использовать фильтры для блокировки любого варианта пароля, содержащего имя, например, Contoso или расположение, например Лондон.

Для гибридной безопасности можно интегрировать защиту паролей Microsoft Entra с локальной средой Active Directory. Компонент, установленный в локальной среде, получает глобальный список запрещенных паролей и пользовательские политики защиты паролей от идентификатора Microsoft Entra, а контроллеры домена используют их для обработки событий изменения пароля. Этот гибридный подход гарантирует, что независимо от того, как или где пользователь изменяет свои учетные данные, применяется применение надежных паролей.

Проверка подлинности без пароля

Цель для многих сред — удалить использование паролей в рамках событий входа. Такие функции, как защита паролей Azure или многофакторная аутентификация Microsoft Entra, помогают повысить безопасность, но имя пользователя и пароль остаются слабой формой аутентификации, которая может быть раскрыта или атакована методом грубой силы.

безопасность против удобства в процессе аутентификации, который ведёт к бесключевому

При входе с использованием метода аутентификации без пароля учетные данные предоставляются с помощью таких методов, как биометрия с Windows Hello для бизнеса или ключ безопасности FIDO2. Эти методы проверки подлинности не могут быть легко дублируются злоумышленником.

Идентификатор Microsoft Entra предоставляет способы проверки подлинности с помощью методов без пароля, чтобы упростить вход пользователей и снизить риск атак.

Дальнейшие действия

Чтобы приступить к работе, ознакомьтесь с руководством по для самостоятельного сброса пароля (SSPR) и многофакторной аутентификации Microsoft Entra .

Дополнительные сведения о принципах самостоятельного сброса пароля см. в статье Какработает самостоятельный сброс пароля Microsoft Entra.

Дополнительные сведения о концепциях многофакторной проверки подлинности см. в статье Какработает многофакторная проверка подлинности Microsoft Entra.