开始在 Microsoft Entra ID 中部署防网络钓鱼的无密码身份验证
密码是新式攻击者的主要攻击途径,也是用户和管理员的摩擦来源。 作为整体零信任安全策略的一部分,Microsoft 建议在身份验证解决方案中转用防网络钓鱼的无密码。 本指南可帮助你为组织选择、准备和部署正确的防网络钓鱼无密码凭据。 使用本指南规划和执行防网络钓鱼无密码项目。
多重身份验证 (MFA) 等功能是保护组织的一种绝佳方式。 但用户通常对需要记住密码之外的额外安全层感到沮丧。 防网络钓鱼无密码身份验证方法更方便。 例如,对 Microsoft 使用者帐户的分析表明,使用密码登录平均可能需要 9 秒,但在大多数情况下,通行密钥只需大约 3 秒。 与传统密码和 MFA 登录相比,通行密钥登录的速度和便捷性更为出色。 通行密钥用户无需记住其密码,也不需要等待短信。
注意
此数据基于对 Microsoft 使用者帐户登录的分析。
防网络钓鱼无密码方法也具有内置的额外安全性。 他们通过使用用户拥有的某些东西(物理设备或安全密钥)以及用户知道或是其本人的某些东西(例如生物识别或 PIN 码)自动算作 MFA。 与传统的 MFA 不同,防网络钓鱼的无密码方法通过使用不易被破解的硬件支持凭据来抵御针对用户的网络钓鱼攻击。
Microsoft Entra ID 提供以下防网络钓鱼无密码身份验证选项:
- 通行密钥 (FIDO2)
- Windows Hello for Business
- macOS 平台凭据(预览版)
- Microsoft Authenticator 应用通行密钥(预览版)
- FIDO2 安全密钥
- 其他通行密钥和提供程序,如 iCloud 密钥链 - 规划中
- 基于证书的身份验证/智能卡
先决条件
在启动 Microsoft 防网络钓鱼无密码部署项目之前,请完成以下先决条件:
- 查看 OEM 许可要求
- 查看执行特权操作所需的角色
- 确定需要协作的利益干系人团队
许可要求
使用 Microsoft Entra 进行注册和无密码登录不需要许可证,但我们建议至少拥有 Microsoft Entra ID P1 许可证,以获得与无密码部署相关的全套功能。 例如,Microsoft Entra ID P1 许可证可帮助你通过条件访问强制实施无密码登录,然后使用身份验证方法活动报告跟踪部署。 有关特定许可要求,请参阅本指南中引用的功能的许可要求指导。
将应用与 Microsoft Entra ID 集成
Microsoft Entra ID 是一种基于云的标识和访问管理 (IAM) 服务,可与多种类型的应用程序集成,包括软件即服务 (SaaS) 应用、业务线 (LOB) 应用、本地应用等。 你需要将应用程序与 Microsoft Entra ID 集成,以便从对无密码和防网络钓鱼身份验证的投资中获得最大收益。 将更多应用与 Microsoft Entra ID 集成时,可以通过强制使用防网络钓鱼身份验证方法的条件访问策略保护更多环境。 要详细了解如何将应用与 Microsoft Entra ID 集成,请参阅将应用与 Microsoft Entra ID 集成的五个步骤。
开发自己的应用程序时,请按照开发人员指导支持无密码和防网络钓鱼身份验证。 有关更多信息,请参阅支持在自己开发的应用中通过 FIDO2 密钥进行无密码身份验证。
必需的角色
下表列出了防网络钓鱼无密码部署的最低特权角色要求。 我们建议为所有特权帐户启用防网络钓鱼无密码身份验证。
| Microsoft Entra 角色 | 说明 |
|---|---|
| 用户管理员 | 实现组合注册体验 |
| 身份验证管理员 | 实现和管理身份验证方法 |
| 身份验证策略管理员 | 实现和管理身份验证方法策略 |
| 用户 | 在设备上配置 Authenticator 应用;为安全密钥设备注册 Web 登录或 Windows 10/11 登录 |
客户利益干系人团队
为了确保成功,请确保与正确的利益干系人接触,确保其了解自己的角色,然后再开始规划和推出。 下表列出了通常推荐的利益干系人团队。
| 利益干系人团队 | 说明 |
|---|---|
| Identity and Access Management (IAM) | 管理 IAM 系统的日常操作 |
| 信息安全体系结构 | 计划和设计组织的信息安全做法 |
| 信息安全运营 | 运行和监视信息安全体系结构的信息安全做法 |
| 安全保证和审核 | 帮助确保 IT 流程安全且合规。 他们定期进行审核、评估风险,并建议采取安全措施来缓解已识别的漏洞并增强整体安全状况。 |
| 技术支持和支持 | 在部署新技术和策略期间或出现问题时,为遇到问题的最终用户提供协助 |
| 最终用户通信 | 向最终用户传达消息变更,为协助推动面向用户的技术推出做好准备 |