Kom igång med lösenordsfri autentisering som är resistent mot nätfiske i Microsoft Entra ID.
Lösenord är den primära attackvektorn för moderna angripare och en källa till friktion för användare och administratörer. Som en del av en övergripande Nolltillit säkerhetsstrategi rekommenderar Microsoft att du övergår till nätfiskebeständigt lösenord utan lösenord i din autentiseringslösning. Den här guiden hjälper dig att välja, förbereda och distribuera de rätta lösenordsfria och nätfiskesäkra autentiseringsuppgifterna för din organisation. Använd den här guiden för att planera och genomföra ditt nätfiskeresistenta lösenordslösa projekt.
Funktioner som multifaktorautentisering (MFA) är ett bra sätt att skydda din organisation. Men användarna blir ofta frustrerade över det extra säkerhetsskiktet utöver deras behov av att komma ihåg lösenord. Nätfiskeresistenta metoder för lösenordsfri autentisering är mer praktiska. En analys av Microsofts konsumentkonton visar till exempel att inloggning med ett lösenord kan ta upp till 9 sekunder i genomsnitt, men nyckelnycklar tar bara cirka 3 sekunder i de flesta fall. Hastigheten och enkel inloggning med lösenord är ännu större jämfört med traditionellt lösenord och MFA-inloggning. Lösenordsanvändare behöver inte komma ihåg sitt lösenord eller vänta på SMS.
Anteckning
Dessa data baseras på analys av inloggningar för Microsoft-konsumentkonton.
Nätfiskeresistenta lösenordsfria metoder har också extra säkerhet integrerad. De räknas automatiskt som MFA genom att använda något som användaren har (en fysisk enhet eller säkerhetsnyckel) och något som användaren vet eller är, som en biometrisk kod eller PIN-kod. Och till skillnad från traditionella MFA avleder nätfiskeresistenta lösenordslösa metoder nätfiskeattacker mot dina användare med hjälp av maskinvarubaserade autentiseringsuppgifter som inte är lätta att kompromettera.
Microsoft Entra ID erbjuder följande motståndskraftiga alternativ för lösenordsfri autentisering mot nätfiske:
- Passnycklar (FIDO2)
- Windows Hello för företag
- Plattformsautentiseringsuppgifter för macOS (förhandsversion)
- Microsoft Authenticator lösenordsnycklar
- FIDO2-säkerhetsnycklar
- Andra lösenord och leverantörer, till exempel iCloud-nyckelring – på färdplanen
- Certifikatbaserad autentisering/smartkort
Förutsättningar
Innan du startar ditt Microsoft Entra-projekt för nätfiskesäker och lösenordsfri användning måste du uppfylla följande förutsättningar:
- Granska licenskraven
- Granska de roller som krävs för att utföra privilegierade åtgärder
- Identifiera intressentteam som behöver samarbeta
Licenskrav
Registrering och lösenordsfri inloggning med Microsoft Entra kräver ingen licens, men vi rekommenderar minst en Microsoft Entra ID P1-licens för den fullständiga uppsättningen funktioner som är associerade med en lösenordslös distribution. En Microsoft Entra ID P1-licens hjälper dig till exempel att framtvinga lösenordslös inloggning via villkorlig åtkomst och spåra distributionen med en aktivitetsrapport för autentiseringsmetoder. Se riktlinjerna för licensieringskrav för funktioner som refereras i den här guiden för specifika licensieringskrav.
Integrera appar med Microsoft Entra-ID
Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst (IAM) som integreras med många typer av applikationer, inklusive appar inom Software-as-a-Service (SaaS), verksamhetsspecifika appar (LOB), lokala appar och mer. Du måste integrera dina program med Microsoft Entra-ID för att få ut mesta möjliga av din investering i lösenordsfri och nätfiskeresistent autentisering. När du integrerar fler appar med Microsoft Entra-ID kan du skydda mer av din miljö med principer för villkorsstyrd åtkomst som framtvingar användning av nätfiskeresistenta autentiseringsmetoder. Mer information om hur du integrerar appar med Microsoft Entra-ID finns i Fem steg för att integrera dina appar med Microsoft Entra-ID.
När du utvecklar egna program följer du utvecklarnas vägledning för att stödja lösenordsfri och nätfiskeresistent autentisering. Mer information finns i Stöd för lösenordslös autentisering med FIDO2-nycklar i appar som du utvecklar.
Roller som krävs
I följande tabell anges krav för de minst privilegierade rollerna för phishingresistent lösenordsfri implementering. Vi rekommenderar att du aktiverar nätfiskeresistent lösenordsfri autentisering för alla privilegierade konton.
| Microsoft Entra-roll | beskrivning |
|---|---|
| Användaradministratör | Implementera kombinerad registreringsupplevelse |
| Autentiseringsadministratör | Implementera och hantera autentiseringsmetoder |
| Administratör för autentiseringsprincip | Implementera och hantera policyn för autentiseringsmetoder |
| Användare | Så här konfigurerar du Authenticator-appen på enheten. registrera en säkerhetsnyckelenhet för webb- eller Windows 10/11-inloggning |
Kund- och intressentteam
Se till att du samarbetar med rätt intressenter och att de förstår deras roller innan du påbörjar planeringen och distributionen. I följande tabell visas vanliga rekommenderade intressentteam.
| Intressentteam | beskrivning |
|---|---|
| Identitets- och åtkomsthantering (IAM) | Hanterar dagliga åtgärder i IAM-systemet |
| Arkitektur för informationssäkerhet | Planera och utforma organisationens informationssäkerhetsmetoder |
| Informationssäkerhetsåtgärder | Kör och övervakar informationssäkerhetsmetoder för informationssäkerhetsarkitektur |
| Säkerhetskontroll och granskning | Hjälper till att säkerställa att IT-processerna är säkra och kompatibla. De utför regelbundna granskningar, utvärderar risker och rekommenderar säkerhetsåtgärder för att minska identifierade sårbarheter och förbättra den övergripande säkerhetsstatusen. |
| Helpdesk och support | Hjälper slutanvändare som stöter på problem vid distribution av nya tekniker och principer, eller när problem uppstår |
| Slutanvändarkommunikation | Meddelanden om ändringar till slutanvändare som förberedelse för att hjälpa till att införa användarfokuserad teknikutrullning |
Nästa steg
Distribuera en nätfiskeresistent lösenordsfri autentiseringslösning i Microsoft Entra ID