通过凭据管理来构建复原能力
在令牌请求中向 Microsoft Entra ID 提供凭据时,可能会有多个必须可用于验证的依赖项。 第一个身份验证因素依赖于 Microsoft Entra 身份验证,在某些情况下,还依赖于外部(非 Entra ID)依赖项,例如本地基础结构。 有关混合身份验证体系结构的详细信息,请参阅在混合基础结构中构建复原能力。
最安全且复原能力最强的凭据策略是使用无密码身份验证。 Windows Hello 企业版和 Passkey (FIDO 2.0) 安全密钥的依赖项比其他 MFA 方法少。 对于 macOS 用户,客户可以为 macOS 启用平台凭据。 实现这些方法时,用户能够执行强无密码和防钓鱼多重身份验证 (MFA)。
提示
有关部署这些身份验证方法的深入探讨视频系列,请参阅 Microsoft Entra ID 中的防钓鱼身份验证
如果实现第二种因素,则会将第二种因素的依赖项添加到第一种因素的依赖项。 例如,如果第一个因素是通过直通身份验证 (PTA),第二个因素是短信,则依赖项如下。
- Microsoft Entra 身份验证服务
- Microsoft Entra 多重身份验证服务
- 本地基础结构
- 电话运营商
- 用户的设备(未绘出)
凭据策略应考虑每种身份验证类型的依赖项,并预配避免单点故障的方法。
由于身份验证方法具有不同的依赖项,因此最好允许用户注册尽可能多的第二因素选项。 如果可能,请确保包含带有不同依赖项的第二种因素。 例如,作为第二种因素的语音呼叫和短信共享相同的依赖项,因此将它们作为仅有的选项不会降低风险。
对于第二种因素,使用基于时间的一次性密码 (TOTP) 或 OAuth 硬件令牌的 Microsoft Authenticator 应用或其他验证器应用具有最少的依赖项,并且因此更具复原能力。
有关外部(非 Entra)依赖项的其他详细信息
| 身份验证方法 | 外部(非 Entra)依赖项 | 更多信息 |
|---|---|---|
| 基于证书的身份验证 (CBA) | 在大多数情况下,CBA 需要吊销检查,具体取决于配置。 这会增加对 CRL 分发点 (CDP) 的外部依赖项 | 了解证书吊销过程 |
| 直通身份验证 (PTA) | PTA 使用本地代理来处理密码身份验证。 | Microsoft Entra 直通身份验证的工作原理是什么? |
| 联合 | 联合服务器必须联机且可用于处理身份验证尝试 | 使用 Azure 流量管理器在 Azure 中进行跨区域 AD FS 部署以实现高可用性 |
| 外部身份验证方法 (EAM) | EAM 为客户提供了使用外部 MFA 提供程序的路径。 | 在 Microsoft Entra ID 中管理外部身份验证方法(预览) |
多个凭据如何帮助复原?
预配多个凭据类型可为用户提供适合其首选项和环境约束的选择。 因此,对于在请求时不可用的特定依赖项,提示用户进行多重身份验证的交互式身份验证将更具复原能力。 可以优化多重身份验证的重新身份验证提示。
除了上面所述的单个用户复原能力外,企业还应针对引入错误配置的操作错误、自然灾害或本地联合身份验证服务(尤其是在用于多重身份验证时)的企业级资源中断等大规模中断做出应变计划。
如何实现实现具有复原能力的凭据?
- 部署无密码凭证。 首选防钓鱼方法,例如 Windows Hello 企业版、Passkey(验证器 Passkey 登录和 FIDO2 安全密钥)和基于证书的身份验证 (CBA),目的是在减少依赖项的同时提高安全性。
- 将 Microsoft Authenticator 应用部署为第二个因素。
- 从联合身份验证迁移到云身份验证,以消除对联合标识提供者的依赖。
- 为从 Windows Server Active Directory 同步的混合帐户打开密码哈希同步。 此选项可以随联合身份验证服务(如 Active Directory Federation Services (AD FS))一起启用,并将在联合身份验证服务发生故障时提供回退。
- 分析多重身份验证方法的使用情况以改善用户体验。
- 实现可复原的访问控制策略