Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du distribuerar och operationaliserar nätfiskeresistent lösenordsfri autentisering i din miljö rekommenderar vi en användarpersonabaserad metod. Olika nätfiskeresistenta lösenordsfria metoder är effektivare än andra för vissa användarpersoner. Den här distributionsguiden hjälper dig att se vilka typer av metoder och distributionsplaner som passar för användarpersoner i din miljö. Den nätfiskeresistenta metoden för lösenordsfri distribution har vanligtvis 6 steg, som i stort sett flödar i ordning, men som inte behöver slutföras till 100 % innan du går vidare till andra steg:
Fastställa dina användarpersoner
Fastställa vilka användarpersoner som är relevanta för din organisation. Det här steget är viktigt för projektet eftersom olika personer har olika behov. Microsoft rekommenderar att du överväger och utvärderar minst 4 allmänna användarpersoner i din organisation.
| Användarprofil | beskrivning |
|---|---|
| Informationsanställda | |
| Medarbetare i frontlinjen | |
| IT-proffs/DevOps-arbetare | |
| Strikt reglerade arbetare |
Microsoft rekommenderar att du distribuerar nätfiskeresistent lösenordsfri autentisering i hela organisationen. Traditionellt är informationsarbetare den enklaste användarpersonan att börja med. Fördröj inte distributionen av säkra autentiseringsuppgifter för informationsarbetare medan du löser problem som påverkar IT-proffs. Ta tillvägagångssättet "låt inte perfekt vara fienden till det goda" och distribuera säkra autentiseringsuppgifter så mycket som möjligt. När fler användare loggar in med nätfiskeresistenta lösenordsfria autentiseringsuppgifter minskar du angreppsytan i din miljö.
Microsoft rekommenderar att du definierar dina personas och sedan placerar varje persona i en Microsoft Entra-ID-grupp specifikt för den användarpersonan. Dessa grupper används i senare steg för att distribuera autentiseringsuppgifter till olika typer av användare och när du börjar tillämpa användningen av nätfiskeresistenta lösenordslösa autentiseringsuppgifter.
Planera enhetsberedskap
Enheter är en viktig aspekt av en lyckad nätfiskeresistent lösenordsfri implementering, eftersom ett av målen med nätfiskeresistenta lösenordsfria inloggningsuppgifter är att skydda dessa med maskinvaran för moderna enheter. Börja med att bekanta dig med FIDO2-support för Microsoft Entra-ID.
Se till att dina enheter är förberedda för nätfiskesäkert, lösenordslöst användande genom att uppgradera till de senaste stödda versionerna av varje operativsystem. Microsoft rekommenderar att dina enheter kör dessa versioner minst:
- Windows 10 22H2 (för Windows Hello för företag)
- Windows 11 22H2 (för bästa användarupplevelse när du använder passnycklar)
- macOS 13 Ventura
- iOS 17
- Android 14
Dessa versioner ger bästa stöd för inbyggda integrerade funktioner som nyckelnycklar, Windows Hello för företag och macOS Platform Credential. Äldre operativsystem kan kräva externa autentiserare, till exempel FIDO2-säkerhetsnycklar, för att stödja nätfiskeresistent lösenordsfri autentisering.
Registrera användare för nätfiskeresistenta autentiseringsuppgifter
Registrering och igångsättning av certifikat är de första stora aktiviteterna för slutanvändare i ditt nätfiskeresistenta projekt för lösenordsfri distribution. Det här avsnittet beskriver distributionen av portabla och lokala autentiseringsuppgifter.
| Behörigheter | beskrivning | Förmåner |
|---|---|---|
| Bärbar | Kan användas på olika enheter. Du kan använda bärbara autentiseringsuppgifter för att logga in på en annan enhet eller för att registrera autentiseringsuppgifter på andra enheter. | Den viktigaste typen av autentiseringsuppgifter för de flesta användare, eftersom de kan användas på olika enheter, och tillhandahålla nätfiskeresistent autentisering i många scenarier. |
| Lokal | Du kan använda lokala autentiseringsuppgifter för att autentisera på en enhet utan att behöva förlita dig på extern maskinvara, till exempel att använda Windows Hello för företag biometrisk igenkänning för att logga in på en app i Microsoft Edge-webbläsaren på samma dator | De har två huvudsakliga fördelar jämfört med de bärbara autentiseringsuppgifterna: |
- För nya användare tar registreringen och startprocessen en användare utan befintliga företagsautentiseringsuppgifter och verifierar deras identitet. Den introducerar dem till deras första bärbara autentiseringsuppgifter och använder den bärbara autentiseringsuppgiften för att starta andra lokala autentiseringsuppgifter på varje av deras datordelenheter. Efter registreringen kan administratören framtvinga nätfiskebeständig autentisering för användare i Microsoft Entra-ID.
- För befintliga användare ska användare i detta skede registrera sig för nätfiskeresistent autentisering utan lösenord på sina befintliga enheter direkt, eller använda befintliga MFA-autentiseringsuppgifter för att initiera nätfiskeresistenta lösenordslösa autentiseringsuppgifter. Slutmålet är detsamma som nya användare – de flesta användare bör ha minst en bärbar autentiseringsuppgift och sedan lokala autentiseringsuppgifter på varje beräkningsenhet. Om du är en administratör som distribuerar lösningar utan lösenord som motstår nätfiske för nuvarande användare, kanske du kan gå vidare till avsnittet Onboarding Step 2: Bootstrapping a Portable Credential.
Innan du börjar rekommenderar Microsoft att du aktiverar nyckel och andra autentiseringsuppgifter för företagsanvändare i klientorganisationen. Om användarna är motiverade att själv registrera sig för starka autentiseringsuppgifter är det fördelaktigt att tillåta det. Du bör åtminstone aktivera Passnyckel (FIDO2) policyn så att användare kan registrera sig för passnycklar och säkerhetsnycklar om de föredrar dem.
Det här avsnittet fokuserar på faserna 1–3:
Användare bör ha minst två autentiseringsmetoder registrerade. Med en annan metod registrerad har användaren en säkerhetskopieringsmetod tillgänglig om något händer med deras primära metod, till exempel när en enhet tappas bort eller blir stulen. Det är till exempel en bra idé för användare att ha nyckelnycklar registrerade både på sin telefon och lokalt på sin arbetsstation i Windows Hello för företag.
Kommentar
Vi rekommenderar alltid att användarna har minst två registrerade autentiseringsmetoder. Detta säkerställer att användaren har en tillgänglig säkerhetskopieringsmetod om något händer med deras primära metod, till exempel vid enhetsförlust eller stöld. Det är till exempel en bra idé för användare att ha nyckelnycklar registrerade både på sin telefon och lokalt på sin arbetsstation i Windows Hello för företag.
Kommentar
Den här vägledningen är skräddarsydd för befintligt stöd för nyckelnycklar i Microsoft Entra-ID, som innehåller enhetsbundna nyckelnycklar i Microsoft Authenticator och enhetsbundna nyckelnycklar på fysiska säkerhetsnycklar. Microsoft Entra ID planerar att lägga till stöd för synkroniserade nyckelnycklar. Mer information finns i Offentlig förhandsversion: Utöka stöd för nyckelnycklar i Microsoft Entra-ID. Den här guiden uppdateras så att den innehåller vägledning för synkroniserade nycklar när den är tillgänglig. Många organisationer kan till exempel ha nytta av att förlita sig på synkronisering för fas 3 i föregående diagram i stället för att starta helt nya autentiseringsuppgifter.
Registrering steg 1: Identitetsverifiering
För fjärranslutna användare som inte har bevisat sin identitet är företagsregistrering en viktig utmaning. Utan korrekt identitetsverifiering kan en organisation inte vara helt säker på att de registrerar den person som de har för avsikt att göra. Microsoft Entra – verifierat ID kan tillhandahålla identitetsverifiering med hög säkerhet. Organisationer kan arbeta med en identitetsverifieringspartner (IDV) för att verifiera identiteterna för nya fjärranvändare i registreringsprocessen. När du har bearbetat en användares myndighets-utfärdade ID kan IDV ange ett verifierat ID som bekräftar användarens identitet. Den nya användaren presenterar det här identitetsbekräftande verifierade ID:t för den anställande organisationen för att upprätta förtroende och bekräfta att organisationen registrerar rätt person. Organisationer kan lägga till Ansiktskontroll med Microsoft Entra – verifierat ID som lägger till ett ansiktsmatchningslager i verifieringen, vilket säkerställer att den betrodda användaren presenterar det identitetsbekräftande verifierade ID:t i det ögonblicket.
När de har verifierat sin identitet genom bevisprocessen får nyanställda ett tillfälligt åtkomstpass (TAP) som de kan använda för att starta sin första bärbara autentiseringsuppgift.
Se följande guider för att aktivera Microsoft Entra Verified ID-onboarding och TAP-utfärdande:
- Registrera nya fjärranställda med ID-verifiering
- Använda ansiktskontroll med Microsoft Entra – verifierat ID för att låsa upp verifieringar med hög säkerhet i stor skala
- Aktivera principen för tillfälligt åtkomstpass
Se följande länkar för licensieringsinformation för Microsoft Entra – verifierat ID:
Vissa organisationer kan välja andra metoder än Microsoft Entra – verifierat ID för att registrera användare och utfärda sina första autentiseringsuppgifter. Microsoft rekommenderar att dessa organisationer fortfarande använder TAP:er, eller något annat sätt som gör att en användare kan registrera sig utan lösenord. Du kan till exempel etablera FIDO2-säkerhetsnycklar med hjälp av Microsoft Graph API.
Onboarding steg 2: Initiera ett bärbart certifikat
Om du vill starta befintliga användare till nätfiskeresistenta lösenordsfria autentiseringsuppgifter måste du först avgöra om dina användare redan är registrerade för traditionell MFA. Användare med traditionella MFA-metoder registrerade kan riktas mot phishing-resistenta lösenordslösa registreringspolicys. De kan använda sin traditionella MFA för att registrera sig för sina första portabla nätfiskeresistenta autentiseringsuppgifter och sedan gå vidare för att registrera sig för lokala autentiseringsuppgifter efter behov.
För nya användare eller användare utan MFA går du igenom en process för att utfärda ett tillfälligt åtkomstpass (TAP). Du kan utfärda en TAP på samma sätt som du ger nya användare sina första autentiseringsuppgifter, eller genom att använda Microsoft Entra – verifierat ID integreringar. När användarna har en TAP är de redo att starta sin första nätfiskeresistenta autentiseringsuppgift.
Det är viktigt att användarens första lösenordslösa autentiseringsuppgifter är en bärbar autentiseringsuppgift som kan användas för att autentisera på andra beräkningsenheter. Till exempel kan nycklar användas för att autentisera lokalt på en iOS-telefon, men de kan också användas för att autentisera på en Windows-dator med ett autentiseringsflöde mellan enheter. Med den här funktionen för flera enheter kan den bärbara nyckeln användas för bootstrap-Windows Hello för företag på Windows-datorn.
Det är också viktigt att varje enhet som användaren regelbundet arbetar på har en lokalt tillgänglig autentiseringsuppgift för att ge användaren en så smidig användarupplevelse som möjligt. Lokalt tillgängliga autentiseringsuppgifter minskar den tid som krävs för att autentisera eftersom användarna inte behöver använda flera enheter, och det finns färre steg. Genom att använda TAP från steg 1 för att registrera ett bärbart autentiseringsbevis som kan initiera dessa andra autentiseringsbevis kan användaren använda nätfiskeresistenta autentiseringsbevis inbyggt på de många enheter som de kan ha.
I följande tabell visas rekommendationer för olika personer:
| Användarpersona | Rekommenderade portabla autentiseringsuppgifter | Alternativa portabla autentiseringsuppgifter |
|---|---|---|
| Informationsarbetare | Lösenord (Authenticatorapp) | Säkerhetsnyckel, smartkort |
| Medarbetare i frontlinjen | Säkerhetsnyckel | Nyckel (autentiseringsapp), smartkort |
| IT-proffs/DevOps-arbetare | Lösenord (Authenticatorapp) | Säkerhetsnyckel, smartkort |
| Strikt reglerad arbetare | Certifikat (smartkort) | Nyckel (autentiseringsapp), säkerhetsnyckel |
Använd följande vägledning för att aktivera rekommenderade och alternativa portabla autentiseringsuppgifter för relevanta användarpersoner för din organisation:
| Metod | Vägledning |
|---|---|
| Passnycklar | |
| Säkerhetsnycklar | |
| Smartkort/certifikatbaserad autentisering (CBA) |
Onboarding steg 3: Initiera lokala autentiseringsuppgifter på datorenheter
När användarna har registrerat en bärbar autentiseringsuppgift är de redo att starta andra autentiseringsuppgifter på varje beräkningsenhet som de regelbundet använder i en 1:1-relation, vilket gynnar deras dagliga användarupplevelse. Den här typen av autentiseringsuppgifter är vanlig för informationsarbetare och IT-proffs, men inte för medarbetare i frontlinjen som delar enheter. Användare som bara delar enheter bör endast använda bärbara autentiseringsuppgifter.
Din organisation måste avgöra vilken typ av autentiseringsuppgifter som föredras för varje användarpersona i det här skedet. Microsoft rekommenderar:
| Användarprofil | Rekommenderade lokala autentiseringsuppgifter – Windows | Rekommenderade lokala autentiseringsuppgifter – macOS | Rekommenderade lokala autentiseringsuppgifter – iOS | Rekommenderade lokala autentiseringsuppgifter – Android | Rekommenderade lokala autentiseringsuppgifter – Linux |
|---|---|---|---|---|---|
| Informationsarbetare | Windows Hello för företag | Plattformens enkel inloggning (SSO) säker enklavnyckel | Lösenord (Authenticatorapp) | Lösenord (Authenticatorapp) | N/A (använd bärbara autentiseringsuppgifter i stället) |
| Medarbetare i frontlinjen | N/A (använd bärbara autentiseringsuppgifter i stället) | N/A (använd bärbara autentiseringsuppgifter i stället) | N/A (använd bärbara autentiseringsuppgifter i stället) | N/A (använd bärbara autentiseringsuppgifter i stället) | N/A (använd bärbara autentiseringsuppgifter i stället) |
| IT-proffs/DevOps-arbetare | Windows Hello för företag | Säker enklavnyckel för plattforms-SSO | Lösenord (Authenticatorapp) | Lösenord (Authenticatorapp) | N/A (använd bärbara autentiseringsuppgifter i stället) |
| Strikt reglerad arbetare | Windows Hello för företag eller CBA | Platform SSO Secure Enclave Key eller CBA | Lösenord (Authenticator app) eller CBA | Lösenord (Authenticator app) eller CBA | N/A (använd smartkort i stället) |
Använd följande vägledning för att aktivera de rekommenderade lokala autentiseringsuppgifterna i din miljö för relevanta användarpersoner för din organisation:
| Metod | Vägledning |
|---|---|
| Windows Hello för företag | |
| Säker enklavnyckel för plattforms-SSO | |
| Passnycklar |
Persona-specifika överväganden
Varje persona har sina egna utmaningar och överväganden som ofta uppstår under nätfiskeresistenta lösenordslösa distributioner. När du identifierar vilka personer du behöver hantera bör du ta med dessa överväganden i planeringen av distributionsprojektet. Följande länkar har specifik vägledning för varje persona:
Främja användning av phishingresistenta autentiseringsmetoder
Det här steget beskriver hur du gör det enklare för användare att använda nätfiskeresistenta autentiseringsuppgifter. Du bör testa distributionsstrategin, planera för distributionen och kommunicera planen till slutanvändarna. Sedan kan du skapa rapporter och övervaka förloppet innan du framtvingar nätfiskeresistenta autentiseringsuppgifter i hela organisationen.
Utvärdera distributionsstrategi
Microsoft rekommenderar att du testar distributionsstrategin som skapades i föregående steg med en uppsättning test- och pilotanvändare. Den här fasen bör innehålla följande steg:
- Skapa en lista över testanvändare och tidiga användare. Dessa användare bör representera dina olika användarpersoner och inte bara IT-administratörer.
- Skapa en Microsoft Entra-ID-grupp och lägg till dina testanvändare i gruppen.
- Aktivera principer för autentiseringsmetoder i Microsoft Entra ID, och begränsa testgruppen till de metoder du aktiverar.
- Mät utrullningen av registrering för dina pilotanvändare med hjälp av aktivitetsrapporten för autentiseringsmetoder.
- Skapa principer för villkorlig åtkomst för att framtvinga användning av nätfiskeresistenta lösenordsfria autentiseringsuppgifter för varje operativsystemtyp och rikta in dig på pilotgruppen.
- Mät framgången för tillämpningen med hjälp av Azure Monitor och Workbooks.
- Samla in feedback från användare om att distributionen har slutförts.
Planera utrullningsstrategi
Microsoft rekommenderar att främja användning baserat på vilka användarprofiler som är mest redo för distribution. Det innebär vanligtvis att distribuera för användare i den här ordningen, men detta kan ändras beroende på din organisation:
- Informationsanställda
- Medarbetare i frontlinjen
- IT-proffs/DevOps-arbetare
- Strikt reglerade arbetare
Använd följande avsnitt för att skapa slutanvändarkommunikation för varje personagrupp, omfång och utrullning av funktionen för registrering av lösenordsnycklar samt användarrapportering och övervakning för att spåra utrullningsförloppet.
Förbered dig för körning med lösenordslös arbetsbok Phishing-Resistant (förhandsversion)
Organisationer kan också välja att exportera sina inloggningsloggar för Microsoft Entra-ID till Azure Monitor- för långsiktig kvarhållning, hotjakt och andra ändamål. Microsoft har släppt en arbetsbok som organisationer med loggar i Azure Monitor kan använda för att hjälpa till med olika faser för en nätfiskeresistent lösenordsfri distributionslösning. Du kan komma åt Phishing-Resistant lösenordslös arbetsbok här: aka.ms/PasswordlessWorkbook. Välj arbetsboken med titeln Phishing-Resistant Lösenordsfri distribution (förhandsversion):
Arbetsboken har två primära avsnitt:
- Beredskapsfas för registrering
- Beredskapsfas för verkställighet
Beredskapsfas för registrering
Använd fliken Beredskapsfas för registrering för att analysera inloggningsloggar i din klientorganisation, fastställa vilka användare som är redo för registrering och vilka användare som kan blockeras från registrering. Med fliken Beredskapsfas för registrering kan du till exempel välja iOS som OS-plattform och sedan Authenticator App Passkey som den typ av autentiseringsuppgifter som du vill utvärdera din beredskap för. Du kan sedan klicka på arbetsbokens visualiseringar för att filtrera ned till användare som förväntas ha registreringsproblem och exportera listan:
Fliken Beredskapsfas för registrering i arbetsboken kan hjälpa dig att utvärdera beredskapen för följande operativsystem och autentiseringsuppgifter:
- Windows
- Windows Hello för företag
- FIDO2-säkerhetsnyckel
- Autentiseringsappens lösennyckel
- Certificate-Based-autentisering/smartkort
- macOS
- Säker enklavnyckel för plattforms-SSO
- FIDO2-säkerhetsnyckel
- Autentiseringsappens passerkod
- Certificate-Based-autentisering/smartkort
- Ios
- FIDO2-säkerhetsnyckel
- Autentiseringsappens lösenordsnyckel
- Certificate-Based-autentisering/smartkort
- Android
- FIDO2-säkerhetsnyckel
- Autentiseringsappens lösenmedel
- Certificate-Based-autentisering/smartkort
Använd varje exporterad lista för att sortera användare som kan ha registreringsproblem. Svar på registreringsproblem bör vara att hjälpa användare att uppgradera enhets os-versioner, ersätta åldrande enheter och välja alternativa autentiseringsuppgifter där det föredragna alternativet inte är genomförbart. Din organisation kan till exempel välja att tillhandahålla fysiska FIDO2-säkerhetsnycklar till Android 13-användare som inte kan använda nycklar i Microsoft Authenticator-appen.
På samma sätt kan du använda rapporten för registreringsberedskap för att hjälpa dig att skapa listor över användare som är redo att börja registrera kommunikation och kampanjer, i enlighet med din övergripande distributionsstrategi.
Förberedelsefas för verkställighet
Det första steget i fasen för tvingande beredskap är att skapa en policy för villkorlig åtkomst i Report-Only-läget. Den här principen fyller dina inloggningsloggar med data om huruvida åtkomsten skulle ha blockerats eller inte om du skulle placera användare/enheter i omfånget för nätfiskebeständig tillämpning. Skapa en ny policy för villkorlig åtkomst i din kundorganisation med följande inställningar:
| Inställning | Värde |
|---|---|
| Tilldelning av användare/grupp | Alla användare, exklusive break glass-konton |
| Appuppgift | Alla resurser |
| Bevilja åtkomstkontroller | Kräv autentiseringsstyrka – Nätfiskeresistent multifaktorsautentisering (MFA) |
| Aktivera princip | Endast rapportläge |
Skapa den här principen så tidigt som möjligt i distributionen, helst innan du ens påbörjar dina registreringskampanjer. Detta säkerställer att du har en bra historisk datamängd över vilka användare och inloggningar som skulle ha blockerats av policyn om den tillämpades.
Använd sedan arbetsboken för att analysera vilka användar-/enhetspar som är redo för verkställande. Ladda ned listor över användare som är redo för tillämpning och lägg till dem i grupper som skapats i enlighet med dina efterlevnadsprinciper. Börja med att välja den endast läsbara policyn för villkorsstyrd åtkomst i policyfiltret:
Rapporten kommer att ge dig en lista över användare som skulle kunna klara av det phishing-resistenta och lösenordsfria kravet framgångsrikt på varje enhetsplattform. Ladda ned varje lista och placera lämpliga användare i en tvingande grupp som är anpassad till enhetsplattformen.
Upprepa den här processen över tid tills du når den punkt där varje tvingande grupp innehåller de flesta eller alla användare. Så småningom bör du kunna aktivera principen endast för rapporter för att tillhandahålla tillämpning för alla användare och enhetsplattformar i klientorganisationen. När du har nått det här slutförda tillståndet kan du ta bort de enskilda efterlevnadsprinciperna för varje enhetsoperativsystem, vilket minskar antalet principer för villkorsstyrd åtkomst som behövs.
Undersöka användare som inte är redo för verkställighet
Använd fliken Ytterligare dataanalys för att undersöka varför vissa användare inte är redo för tillämpning på olika plattformar. Välj rutan Policy Ej Tillfredsställd för att filtrera data för att visa användarinloggningar som skulle ha blockerats av den rapporterande villkorsstyrda åtkomstpolitiken.
Använd de data som tillhandahålls av den här rapporten för att avgöra vilka användare som skulle ha blockerats, vilka enhetsoperativenheter de var på, vilken typ av klientappar de använde och vilka resurser de försökte komma åt. Dessa data bör hjälpa dig att rikta in dig på dessa användare för olika åtgärder för reparation eller registrering, så att de effektivt kan flyttas till tillämpningsområdet.
Planera slutanvändarkommunikation
Microsoft tillhandahåller kommunikationsmallar för slutanvändare. Det autentiseringsdistributionsmaterialet innehåller anpassningsbara e-postmallar för att informera användarna om nätfiskeresistent distribution av lösenordsfri autentisering. Använd följande mallar för att kommunicera med dina användare så att de förstår den nätfiskeresistenta lösenordslösa distributionen:
- nyckel för supportavdelningen
- Nycklar kommer snart
- Registrera lösenordsnyckel för autentiseringsappen
- Påminnelse om att registrera sig för Authenticator App Passkey
Kommunikation bör upprepas flera gånger för att fånga så många användare som möjligt. Din organisation kan till exempel välja att kommunicera de olika faserna och tidslinjerna med ett mönster som liknar detta:
- 60 dagar efter tillämpningen: meddela värdet för nätfiskeresistenta autentiseringsmetoder och uppmuntra användare att proaktivt registrera sig
- 45 dagar kvar till verkställande: upprepa meddelandet
- 30 dagar kvar till verkställighet: meddelande om att nätfiskeskyddad verkställighet börjar om 30 dagar, uppmuntra användare att proaktivt registrera sig
- 15 dagar efter verkställighet: upprepa meddelande, informera dem om hur du kontaktar supportavdelningen
- 7 dagar från verkställighet: upprepa meddelande, informera dem om hur du kontaktar supportavdelningen
- 1 dag från verkställigheten: informera dem om att verkställigheten kommer att ske om 24 timmar, informera dem om hur man kontaktar supportavdelningen
Microsoft rekommenderar att du kommunicerar med användare via andra kanaler utöver bara e-post. Andra alternativ kan vara Microsoft Teams-meddelanden, pausrumsaffischer och championprogram där utvalda anställda utbildas för att förespråka programmet för sina kollegor.
Rapportering och övervakning
Använd den tidigare behandlade Phishing-Resistant lösenordfria arbetsbok för att hjälpa till med övervakning och rapportering av utrullningen. Du kan också använda de rapporter som beskrivs nedan eller förlita dig på dem om du inte kan använda Phishing-Resistant lösenordslös arbetsbok.
Microsoft Entra-ID-rapporter (till exempel aktivitet för autentiseringsmetoder och information om inloggningshändelser för Microsoft Entra multifaktorautentisering) ger tekniska insikter och affärsinsikter som kan hjälpa dig att mäta och driva implementeringen.
Från aktivitetsinstrumentpanelen för autentiseringsmetoder kan du visa registrering och användning.
- Registrering visar antalet användare som kan använda nätfiskesäker lösenordsfri autentisering och andra autentiseringsmetoder. Du kan se diagram som visar vilka autentiseringsmetoder som användare har registrerat och den senaste registreringen för varje metod.
- Användning visar vilka autentiseringsmetoder som användes för inloggning.
Företags- och tekniska programägare bör äga och ta emot rapporter baserat på organisationens krav.
- Spåra utbyggnaden av lösenordsfria autentiseringsuppgifter med rapporter om registreringsaktivitet för autentiseringsmetoder.
- Spåra användarnas införande av autentiseringsmetoder med lösenordsfria autentiseringsuppgifter som är resistenta mot nätfiske, med rapporter om inloggningsaktivitet och inloggningsloggar.
- Använd inloggningsaktivitetsrapporten för att spåra de autentiseringsmetoder som används för att logga in på de olika programmen. Välj användarraden. välj Autentiseringsinformation för att visa autentiseringsmetoden och motsvarande inloggningsaktivitet.
Microsoft Entra-ID lägger till poster i granskningsloggar när dessa villkor inträffar:
- En administratör ändrar autentiseringsmetoder.
- En användare gör någon form av ändring av sina autentiseringsuppgifter i Microsoft Entra-ID.
Microsoft Entra ID behåller de flesta granskningsdata i 30 dagar. Vi rekommenderar längre kvarhållning för granskning, trendanalys och andra affärsbehov.
Få åtkomst till granskningsdata i administrationscentret eller API:et för Microsoft Entra och ladda ned dem till dina analyssystem. Om du behöver längre kvarhållning exporterar du loggar och använder dem i ett SIEM-verktyg (Security Information and Event Management), till exempel Microsoft Sentinel, Splunk eller Sumo Logic.
Övervaka supportavdelningens biljettvolym
IT-supportavdelningen kan ge en ovärderlig signal om hur bra distributionen fortskrider, så Microsoft rekommenderar att du spårar din supportbegäran när du kör en nätfiskeresistent lösenordsfri distribution.
När volymen av dina supportärenden ökar bör du sänka takten på dina utrullningar, användarkommunikation och tillämpningsåtgärder. När biljettvolymen minskar kan du återigen öka dessa aktiviteter. Med den här metoden måste du behålla flexibiliteten i distributionsplanen.
Du kan till exempel genomföra dina distributioner och sedan tillämpningar i omgångar som har datumintervall i stället för specifika datum.
- 1-15 juni: Utrullning och kampanjer för våg 1 kohortregistrering
- 16–30 juni: Implementering och kampanjer för våg 2 kohortregistrering
- 1–15 juli: Utrullning och kampanjer för registrering av Wave 3-kohorten
- 16–31 juli: Genomförande av våg 1-kohort inledd
- 1-15 augusti: Tillämpning för omgång 2-kohort aktiverad
- 16-31 augusti: Framtvingande av wave 3-kohort aktiverat
När du genomför dessa olika faser kan du behöva sakta ner beroende på hur många supportärenden som öppnas och fortsätta när volymen har minskat. För att köra den här strategin rekommenderar Microsoft att du skapar en Microsoft Entra ID-säkerhetsgrupp för varje våg och lägger till varje grupp i dina principer en i taget. Den här metoden hjälper dig att undvika att överbelasta supportteamen.
Tillämpa phishingresistenta metoder för inloggning
Det här avsnittet fokuserar på fas 4.
Den sista fasen i en nätfiskebeständig lösenordsfri distribution är att framtvinga användning av nätfiskeresistenta autentiseringsuppgifter. Den primära mekanismen för att göra detta i Microsoft Entra-ID är autentiseringsstyrkor för villkorsstyrd åtkomst. Microsoft rekommenderar att du närmar dig tillämpningen för varje användarprofil baserat på en metod som tar hänsyn till par av användare och enheter. En utrullning av verkställighet kan till exempel följa detta mönster:
- Informationsarbetare i Windows och iOS
- Informationsarbetare på macOS och Android
- IT-proffs på iOS och Android
- FLW:er på iOS och Android
- FLW:er i Windows och macOS
- IT-proffs i Windows och macOS
Microsoft rekommenderar att du skapar en rapport över alla dina användar-/enhetspar med hjälp av inloggningsdata från din klientorganisation. Du kan använda frågeverktyg som Azure Monitor och Arbetsböcker. Försök åtminstone identifiera alla användar-/enhetspar som matchar dessa kategorier.
Använd den tidigare genomgångna phishing-resistenta lösenordsfria arbetsboken för att hjälpa till med genomförandefasen, om möjligt.
För varje användare skapar du en lista över vilka operativsystem de regelbundet använder för arbete. Anpassa listan efter beredskapen för att genomdriva phishingresistent inloggning för det användar-/enhetsparet.
| OS-typ | Redo för tillämpning | Inte redo för verkställighet |
|---|---|---|
| Windows | 10+ | 8.1 och tidigare, Windows Server |
| iOS | 17+ | 16 och tidigare |
| Android | 14+ | 13 och tidigare |
| macOS | 13+ (Ventura) | 12 och tidigare |
| VDI | Beror på 1 | Beror på 1 |
| Övrigt | Beror på 1 | Beror på 1 |
1För varje användar-/enhetspar där enhetsversionen inte är omedelbart redo för tillämpning, bestäm hur behovet av att säkerställa motståndskraft mot nätfiske ska adresseras. Överväg följande alternativ för äldre operativsystem, virtuell skrivbordsinfrastruktur (VDI) och andra operativsystem som Linux:
- Inför phishing-resistens med extern hårdvara – FIDO2-säkerhetsnycklar
- Genomdriva phishing-resistens med extern maskinvara – smartkort
- Stärk skyddet mot nätfiske med hjälp av fjärrautentiseringsuppgifter, till exempel åtkomstnycklar, i den enhetsöverskridande autentiseringsprocessen
- Upprätthålla skydd mot nätfiske genom autentiseringsuppgifter på distans i RDP-tunnlar (särskilt för VDI)
Den viktigaste uppgiften är att genom data mäta vilka användare och personas som är redo för insatser på specifika plattformar. Påbörja dina verkställighetsåtgärder på användar-/enhetspar som är redo att tillämpas för att "stoppa blödningen" och minska mängden nätbildningsautentisering som förekommer i din miljö.
Gå sedan vidare till andra scenarier där användar-/enhetsparen kräver beredskapsarbete. Arbeta dig genom listan över användar-/enhetspar tills du tillämpar nätfiskeresistent autentisering generellt.
Skapa en uppsättning Microsoft Entra-ID-grupper för att distribuera tillämpning gradvis. Återanvänd grupperna från föregående steg om du använde den vågbaserade distributionsmetoden.
Rekommenderade verkställande policyer för villkorlig åtkomst
Rikta in dig på varje grupp med en specifik princip för villkorsstyrd åtkomst. Den här metoden hjälper dig att gradvis distribuera dina övervakningskontroller för användar-/enhetspar.
| Riktlinje | Gruppnamn som är mål för policyn | Princip – Villkor för enhetsplattform | Princip – Bevilja kontroll |
|---|---|---|---|
| 1 | Windows-användare motståndskraftiga mot nätfiske, redo för lösenordsfri inloggning | Windows | Kräv autentiseringsstyrka – Nätfiskebeständig MFA |
| 2 | macOS-användare redo för lösenordsfri och nätfiskeresistent lösning | macOS | Kräv autentiseringssäkerhet – Nätfiskesäker multifaktorautentisering (MFA) |
| 3 | iOS-användare redo för lösenordslösa och nätfiskeresistenta lösningar | iOS | Kräv autentiseringsstyrka – Phishingbeständig MFA |
| 4 | Användare klara för Androids phishing-resistenta lösenordsfria lösning | Android | Kräv autentiseringsstyrka – Nätfiskebeständig MFA |
| 5 | Andra nätfiskeresistenta användare som är klara för lösenordsfri inloggning | Alla utom Windows, macOS, iOS eller Android | Kräv autentiseringsstyrka – Nätfiskebeständig MFA |
Lägg till varje användare i varje grupp när du avgör om deras enhet och operativsystem är redo eller om de inte har en enhet av den typen. I slutet av distributionen bör varje användare vara i en av grupperna.
Svara på risker för lösenordslösa användare
Microsoft Entra ID Protection hjälper organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. Microsoft Entra ID Protection ger viktiga och användbara identifieringar för dina användare även när de har bytt till att använda nätfiskeresistenta lösenordsfria autentiseringsuppgifter. Till exempel omfattar några relevanta detekteringar för nätfiskeresistenta användare:
- Aktivitet från anonym IP-adress
- Administratören bekräftade att användaren har komprometterats
- Avvikande token
- Skadlig IP-adress
- Microsoft Entra-hotintelligens
- Misstänkt webbläsare
- Angripare i mitten
- Möjligt försök att komma åt Primär uppdateringstoken (PRT)
- Och andra: Riskidentifieringar mappade till riskEventType
Microsoft rekommenderar att Microsoft Entra ID Protection-kunder vidtar följande åtgärder för att på bästa sätt skydda sina nätfiskeresistenta lösenordslösa användare:
- Läs distributionsvägledningen för Microsoft Entra ID Protection: Planera en ID Protection-distribution
- Konfigurera dina riskloggar så att de exporteras till en SIEM
- Undersöka och agera på någon medelhög användarrisk
- Konfigurera en princip för villkorlig åtkomst för att blockera hög risk användare
När du har distribuerat Microsoft Entra ID Protection bör du överväga att använda tokenskydd för villkorsstyrd åtkomst. När användarna loggar in med nätfiskeresistenta lösenordsfria autentiseringsuppgifter fortsätter attacker och detekteringsmetoder att utvecklas. Om användarens inloggningsuppgifter till exempel inte längre enkelt kan fiskas upp kan angripare gå vidare för att försöka stjäla tokens från användarnas enheter. Tokenskydd hjälper till att minska den här risken genom att binda token till maskinvaran för den enhet som de har utfärdats till.