通过

Microsoft Entra ID 防网络钓鱼无密码身份验证部署中特定角色的注意事项

  • 项目

每个角色在抗网络钓鱼无密码部署期间通常都会面临各自的挑战和注意事项。 确定需要包含哪些角色时,应将这些注意事项纳入部署项目规划中。 接下来的各部分将为每种角色提供具体指导。

信息工作者

信息工作者的要求通常最简单,并且最容易开始防网络钓鱼的无密码部署。 但是,为这些用户部署时,仍有一些经常出现的问题。 常见示例包括:

显示信息工作者要求示例的图示。

信息工作者部署与任何其他用户角色一样需要适当的沟通和支持。 这通常涉及说服用户在其手机上安装某些应用、在用户不会使用应用的地方分发安全密钥、解决关于生物识别的问题以及开发流程以帮助用户从部分或完全丢失凭据中恢复。

处理生物识别问题时,请确保了解 Windows Hello 企业版等技术如何处理生物识别。 生物识别数据仅存储在设备上本地,即使被盗,也不能转换回原始生物识别数据:

信息工作者部署流

信息工作者部署流的阶段 1-3 通常应遵循标准部署流,如下图所示。 根据环境需要调整每个步骤中使用的方法:

显示信息工作者部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 阶段 2:便携式凭据注册
    1. Microsoft Authenticator 应用通行密钥(首选)
    2. FIDO2 安全密钥
  3. 阶段 3:本地凭据注册
    1. Windows Hello for Business
    2. 平台 SSO 安全 Enclave 密钥

一线工作者

由于对凭据便携性的要求越来越高,以及在零售或生产环境中对可携带设备的限制,一线工作者的要求往往更加复杂。 安全密钥对一线工作者来说是一个不错的选择,但必须考虑其成本。 为了实现防网络钓鱼,请务必在安全密钥的成本挑战与智能卡和基于证书的身份验证增加的部署负担之间取得平衡。 请考虑环境中是否存在不同的一线工作者用户角色。 安全密钥可能更适合一些一线工作者,而智能卡可能更适合另一些一线工作者。

显示一线工作者要求示例的图示。

一线工作者部署流

一线工作者部署流的阶段 1-3 通常应遵循强调便携式凭据的修改流。 许多一线工作者可能没有永久的计算设备,并且从不需要 Windows 或 Mac 工作站上的本地凭据。 相反,其主要依赖于可在不同设备之间随身携带的便携式凭据。 根据环境需要调整每个步骤中使用的方法:

显示一线工作者部署流的图示。

  1. 阶段 1:载入
    1. FIDO2 安全密钥代注册(首选)
    2. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 阶段 2:便携式凭据注册
    1. FIDO2 安全密钥(首选)
    2. 智能卡
    3. Microsoft Authenticator 应用通行密钥
  3. 阶段 3(可选):本地凭据注册
    1. 可选:Windows Hello 企业版
    2. 可选:平台 SSO 安全 Enclave 密钥

IT 专业人员/DevOps 工作者

IT 专业人员和 DevOps 辅助角色尤其依赖于远程访问和多个用户帐户,这就是为什么他们被视为不同于信息工作者的原因。 防网络钓鱼无密码技术给 IT 专业人员带来的许多挑战都是由于他们对远程访问系统和运行自动化能力的需求增加造成的。

显示 IT 专业工作者要求示例的图示。

了解使用 RDP 进行防网络钓鱼的支持选项,尤其是对于此角色。

请务必了解用户在何处使用脚本(这些脚本在用户上下文中运行)并因此目前未使用 MFA。 指导 IT 专业人员正确使用服务主体和托管标识运行自动化。 还应考虑允许 IT 专业人员和其他专业人员请求新服务主体并为其分配适当的权限的流。

IT 专业人员/DevOps 工作者部署流

IT 专业人员/DevOps 工作者部署流的阶段 1-3 通常应遵循前图所示的标准部署流,适用于用户的主帐户。 IT 专业人员/DevOps 工作者通常有需要考虑不同因素的辅助帐户。 根据主帐户环境需要调整每个步骤中使用的方法:

显示 IT 专业人员/DevOps 工作者部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 阶段 2:便携式凭据注册
    1. Microsoft Authenticator 应用通行密钥(首选)
    2. FIDO2 安全密钥
  3. 阶段 3:本地凭据注册
    1. Windows Hello for Business
    2. 平台 SSO 安全 Enclave 密钥

如果 IT 专业人员/DevOps 工作人员有备用帐户,则可能需要以不同的方式处理这些帐户。 例如,对于辅助帐户,可以选择使用替代的便携式凭据,而完全放弃计算设备上的本地凭据:

显示 IT 专业人员/DevOps 工作者替代部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务(首选)
    2. 为 IT 专业人员/DevOps 工作者提供辅助帐户 TAP 的替代流程
  2. 阶段 2:便携式凭据注册
    1. Microsoft Authenticator 应用通行密钥(首选)
    2. FIDO2 安全密钥
    3. 智能卡
  3. 阶段 3:使用便携式凭据而不是本地凭据

高度管控的工作者

高度管控的工作者比普通信息工作者面临更多的挑战,因为他们可能在锁定的设备上工作、在锁定的环境中工作,或者具有他们必须满足的特殊严格要求。

显示高度管控工作者要求示例的图示。

高度管控的工作者通常使用智能卡,因为受监管的环境已经大量采用 PKI 和智能卡基础设施。 但是,请考虑何时需要和必需智能卡,以及何时可以使用更友好的选项(例如 Windows Hello 企业版)进行平衡。

高度管控工作者的部署流(无 PKI)

如果不打算使用证书、智能卡和 PKI,则高度管控的工作者部署与信息工作者部署非常相似。 有关更多信息,请参阅信息工作者

高度管控工作者的部署流(有 PKI)

如果打算使用证书、智能卡和 PKI,则高度管控工作者的部署流通常在关键环节上与信息工作者设置流不同。 需要确定本地身份验证方法是否对某些用户可行。 同样,你需要确定是否有一些用户需要仅便携式凭据(例如智能卡),这些凭据可以在没有互联网连接的情况下工作。 根据你的需求,你可以进一步调整部署流,并根据环境中识别的各种用户角色对其进行定制。 根据环境需要调整每个步骤中使用的方法:

显示高度管控工作者部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务(首选)
    2. 按照标识证明流程操作,代表用户注册智能卡
  2. 阶段 2:便携式凭据注册
    1. 智能卡(首选)
    2. FIDO2 安全密钥
    3. Microsoft Authenticator 应用通行密钥
  3. 阶段 3(可选):本地凭据注册
    1. 可选:Windows Hello 企业版
    2. 可选:平台 SSO 安全 Enclave 密钥

注意

始终建议用户至少注册两个凭据。 这可确保用户在其他凭据出现问题时有可用的备份凭据。 对于高度管控的工作者,除了部署的任何智能卡外,还建议部署通行密钥或 Windows Hello 企业版。

后续步骤

在 Microsoft Entra ID 中部署防网络钓鱼的无密码身份验证部署