Dela via

Överväganden för specifika personer i en nätfiskeresistent distribution av lösenordsfri autentisering i Microsoft Entra-ID

  • Artikel

Varje persona har sina egna utmaningar och överväganden som ofta uppstår under nätfiskeresistenta lösenordslösa distributioner. När du identifierar vilka personer du behöver hantera bör du ta med dessa överväganden i planeringen av distributionsprojektet. Nästa avsnitt innehåller specifik vägledning för varje persona.

Informationsanställda

Informationsarbetare har vanligtvis de enklaste kraven och är enklast att börja din nätfiskeresistenta lösenordslösa distribution med. Det finns dock fortfarande vissa problem som ofta uppstår när du distribuerar för dessa användare. Vanliga exempel:

Diagram som visar exempel på krav för informationsarbetare.

Distributioner av informationsarbetare, precis som andra användarpersona, kräver korrekt kommunikation och support. Detta innebär ofta att övertyga användare att installera vissa appar på sina telefoner, distribuera säkerhetsnycklar där användarna inte använder appar, ta itu med problem med biometri och utveckla processer för att hjälpa användare att återhämta sig från partiell eller total förlust av sina autentiseringsuppgifter.

När du hanterar problem med biometri ska du se till att du förstår hur tekniker som Windows Hello för företag hantera biometri. Biometriska data lagras endast lokalt på enheten och kan inte konverteras tillbaka till råa biometriska data även om de blir stulna:

Distributionsflöde för informationsarbetare

Faser 1–3 i distributionsflödet för informationsarbetare bör vanligtvis följa standarddistributionsflödet, enligt följande bild. Justera de metoder som används i varje steg efter behov i din miljö:

Diagram som visar distributionsflödet för informationsarbetare.

  1. Fas 1: Registrering
    1. Microsoft Entra – verifierat ID tjänst som används för att hämta ett tillfälligt åtkomstpass
  2. Fas 2: Registrering av portabla autentiseringsuppgifter
    1. Microsoft Authenticator-appens nyckel (rekommenderas)
    2. FIDO2-säkerhetsnyckel
  3. Fas 3: Registrering av lokala autentiseringsuppgifter
    1. Windows Hello för företag
    2. Säker enklavnyckel för plattforms-SSO

Medarbetare i frontlinjen

Medarbetare i frontlinjen har ofta mer komplicerade krav på grund av ökade behov av portabilitet för sina autentiseringsuppgifter och begränsningar för vilka enheter de kan bära i detaljhandels- eller tillverkningsinställningar. Säkerhetsnycklar är ett bra alternativ för medarbetare i frontlinjen, men har en kostnad som måste beaktas. För att uppnå nätfiskemotstånd måste du balansera kostnadsutmaningarna för säkerhetsnycklar mot den extra distributionsbördan för smartkort och certifikatbaserad autentisering. Tänk på om det kan finnas olika användarpersoner i frontlinjen i din miljö. Det är möjligt att säkerhetsnycklar är bättre för vissa arbetare i frontlinjen, där smartkort är bättre för andra.

Diagram som visar exempel på krav för medarbetare i frontlinjen.

Distributionsflöde för frontlinjearbetare

Faser 1–3 i distributionsflödet för arbetare i frontlinjen bör vanligtvis följa ett ändrat flöde som betonar portabla autentiseringsuppgifter. Många arbetare i frontlinjen kanske inte har en permanent databehandlingsenhet, och de behöver aldrig en lokal autentiseringsuppgift på en Windows- eller Mac-arbetsstation. I stället förlitar de sig till stor del på bärbara autentiseringsuppgifter som de kan ta med sig från enhet till enhet. Justera de metoder som används i varje steg efter behov i din miljö:

Diagram som visar distributionsflödet för medarbetare i frontlinjen.

  1. Fas 1: Registrering
    1. FIDO2-säkerhetsnyckel för registrering (rekommenderas)
    2. Microsoft Entra – verifierat ID tjänst som används för att hämta ett tillfälligt åtkomstpass
  2. Fas 2: Registrering av portabla autentiseringsuppgifter
    1. FIDO2-säkerhetsnyckel (rekommenderas)
    2. Smartkort
    3. Lösenordsnyckel för Microsoft Authenticator-appen
  3. Fas 3 (valfritt): Registrering av lokala autentiseringsuppgifter
    1. Valfritt: Windows Hello för företag
    2. Valfritt: Säker enklavernyckel för plattforms-SSO

IT-proffs/DevOps-arbetare

IT-proffs och DevOps-arbetare är särskilt beroende av fjärråtkomst och flera användarkonton, vilket är anledningen till att de anses skilja sig från informationsarbetare. Många av utmaningarna med nätfiskeresistenta lösenordsfria för IT-proffs orsakas av deras ökade behov av fjärråtkomst till system och möjligheten att köra automatiseringar.

Diagram som visar exempel på krav för IT-proffs.

Förstå vilka alternativ för nätfiske som stöds med RDP, särskilt för den här personen.

Se till att förstå var användarna använder skript som körs i användarkontexten och därför inte använder MFA idag. Instruera IT-proffsen på rätt sätt att köra automatiseringar med hjälp av tjänstens huvudnamn och hanterade identiteter. Du bör också överväga processer som gör det möjligt för IT-proffs och andra proffs att begära nya tjänstens huvudnamn och få rätt behörigheter tilldelade till dem.

DISTRIBUTIONsflöde för IT-proffs/DevOps-arbetare

Faser 1–3 i distributionsflödet för IT-proffs/DevOps-arbetare bör vanligtvis följa standarddistributionsflödet enligt bilden ovan för användarens primära konto. IT-proffs/DevOps-arbetare har ofta sekundära konton som kräver olika överväganden. Justera de metoder som används i varje steg efter behov i din miljö för de primära kontona:

Diagram som visar distributionsflödet för IT-proffs/DevOps-arbetare.

  1. Fas 1: Registrering
    1. Microsoft Entra – verifierat ID tjänst som används för att hämta ett tillfälligt åtkomstpass
  2. Fas 2: Registrering av portabla autentiseringsuppgifter
    1. Microsoft Authenticator-appens nyckel (rekommenderas)
    2. FIDO2-säkerhetsnyckel
  3. Fas 3: Registrering av lokala autentiseringsuppgifter
    1. Windows Hello för företag
    2. Säker enklavnyckel för plattforms-SSO

Om dina IT-proffs/DevOps-arbetare har sekundära konton kan du behöva hantera dessa konton på olika sätt. För sekundära konton kan du till exempel välja att använda alternativa bärbara autentiseringsuppgifter och avstå från lokala autentiseringsuppgifter helt och hållet på dina beräkningsenheter:

Diagram som visar ett alternativt distributionsflöde för IT-proffs/DevOps-arbetare.

  1. Fas 1: Registrering
    1. Microsoft Entra – verifierat ID tjänst som används för att hämta ett tillfälligt åtkomstkort (rekommenderas)
    2. Alternativ process för att tillhandahålla TAP:er för sekundära konton till IT-teknikern/DevOps-arbetaren
  2. Fas 2: Registrering av portabla autentiseringsuppgifter
    1. Microsoft Authenticator-appens nyckel (rekommenderas)
    2. FIDO2-säkerhetsnyckel
    3. Smartkort
  3. Fas 3: Portabla autentiseringsuppgifter som används i stället för lokala autentiseringsuppgifter

Strikt reglerade arbetare

Strikt reglerade arbetstagare utgör fler utmaningar än den genomsnittliga informationsarbetaren eftersom de kan arbeta med låsta enheter, arbeta i låsta miljöer eller ha särskilda regelkrav som de måste uppfylla.

Diagram som visar exempel på krav för strikt reglerade arbetare.

Strikt reglerade arbetare använder ofta smartkort på grund av reglerade miljöer som redan har en tung implementering av PKI- och smartkortinfrastruktur. Tänk dock på när smartkort är önskvärda och nödvändiga och när de kan balanseras med mer användarvänliga alternativ, till exempel Windows Hello för företag.

Strikt reglerat arbetsdistributionsflöde utan PKI

Om du inte planerar att använda certifikat, smartkort och PKI speglar den strikt reglerade arbetsdistributionen noggrant distributionen av informationsarbetare. Mer information finns i Informationsarbetare.

Strikt reglerat arbetsdistributionsflöde med PKI

Om du planerar att använda certifikat, smartkort och PKI skiljer sig distributionsflödet för strikt reglerade arbetare vanligtvis från informationsarbetarens installationsflöde på viktiga platser. Det finns ett ökat behov av att identifiera om lokala autentiseringsmetoder är genomförbara för vissa användare. På samma sätt måste du identifiera om det finns vissa användare som behöver autentiseringsuppgifter endast för bärbara datorer, till exempel smartkort, som kan fungera utan internetanslutningar. Beroende på dina behov kan du justera distributionsflödet ytterligare och anpassa det till de olika användarpersoner som identifieras i din miljö. Justera de metoder som används i varje steg efter behov i din miljö:

Diagram som visar distributionsflödet för strikt reglerade arbetare.

  1. Fas 1: Registrering
    1. Microsoft Entra – verifierat ID tjänst som används för att hämta ett tillfälligt åtkomstkort (rekommenderas)
    2. Smartkortsregistrering för användarens räkning, efter en identitetsbevisningsprocess
  2. Fas 2: Registrering av portabla autentiseringsuppgifter
    1. Smartkort (rekommenderas)
    2. FIDO2-säkerhetsnyckel
    3. Lösenordsnyckel för Microsoft Authenticator-appen
  3. Fas 3 (valfritt): Registrering av lokala autentiseringsuppgifter
    1. Valfritt: Windows Hello för företag
    2. Valfritt: Säker enklavernyckel för plattforms-SSO

Kommentar

Vi rekommenderar alltid att användare har minst två registrerade autentiseringsuppgifter. Detta säkerställer att användaren har en tillgänglig säkerhetskopieringsautentiseringsuppgift om något händer med deras andra autentiseringsuppgifter. För strikt reglerade arbetare rekommenderar vi att du distribuerar nycklar eller Windows Hello för företag utöver alla smartkort som du distribuerar.

Nästa steg

Distribuera en nätfiskeresistent distribution av lösenordsfri autentisering i Microsoft Entra-ID