无密码策略概述
本文介绍 Microsoft 的无密码策略以及 Windows 安全功能如何帮助实现它。
密码自由的四个步骤
Microsoft 正在努力创建一个不再需要密码的世界。 这就是 Microsoft 设想结束组织密码时代的四个步骤方法的方式:
部署密码替换选项
在退出密码之前,需要一些替换密码。 Windows Hello 企业版和 FIDO2 安全密钥提供受硬件保护的强双因素凭据,支持单一登录Microsoft Entra ID和 Active Directory。
部署Windows Hello 企业版或 FIDO2 安全密钥是实现无密码环境的第一步。 用户可能会使用这些功能,因为它们的便利性,尤其是与生物识别相结合时。 但是,某些工作流和应用程序可能仍需要密码。 此早期阶段是实现密码的替代解决方案,并使用户习惯于密码。
减少用户可见的密码外围应用
使用密码替换选项和密码在环境中共存,下一步是减少密码外围应用。 环境和工作流需要停止请求密码。 此步骤的目标是实现用户知道自己拥有密码 但从未使用过密码的状态。 每当其计算机上显示密码提示时,此状态可帮助用户提供密码。 此行为是钓鱼密码的方式。 很少使用其密码的用户不太可能提供密码。 密码提示不再是常态。
过渡到无密码部署
消除用户可见的密码图面后,组织可以开始将用户转换为无密码环境。 在此阶段,用户永远不会键入、更改甚至知道其密码。
用户使用 Windows Hello 企业版 或 FIDO2 安全密钥登录到 Windows,并享受对Microsoft Entra ID和 Active Directory 资源的单一登录。 如果用户被迫进行身份验证,则其身份验证将使用Windows Hello 企业版或 FIDO2 安全密钥。
从标识目录中消除密码
无密码旅程的最后一步是密码不存在。 在此阶段,标识目录不存储任何形式的密码。
准备无密码旅程
通往无密码的道路是一段旅程。 每个组织的旅程持续时间各不相同。 IT 决策者必须了解影响该旅程长度的条件。
最直观的答案是组织的规模,但具体定义规模是什么? 我们可以查看这些因素来获取组织规模的摘要:
大小因子 | 详细信息 |
---|---|
部门数 | 组织内的部门数量各不相同。 大多数组织都有一组常见的部门,例如执行领导、人力资源、会计、销售和市场营销。 小型组织可能不会明确划分其部门,而大型组织可能会对其部门进行细分。 此外,可能还有子部门,以及这些子部分的子部分。 你需要知道组织内的所有部门,并且需要知道哪些部门使用计算机,哪些部门不使用计算机。 如果一个部门不使用计算机 (可能很少,但可以接受) ,这很好。 这种情况意味着你需要关心自己的部门更少。 不过,请确保此部门在你的列表中,并且它不适用。 你的部门计数必须彻底和准确,并了解那些部门的利益干系人,这些部门使你和你的员工走上了密码自由的道路。 实际上,我们中的许多人看不到组织结构图以及它如何随着时间推移而增长或收缩。 这种实现就是需要清点所有这些项的原因。 此外,请不要忘记包括外部部门,例如供应商或联合合作伙伴。 如果你的组织使用无密码,但你的合作伙伴继续使用密码来访问你的公司资源,你应该知道这一点,并将其包含在无密码策略中。 |
组织或部门层次结构 | 组织和部门层次结构是部门或整个组织内的管理层。 设备的使用方式、应用程序的使用方式以及它们的使用方式,很可能在每个部门之间,但在部门的结构中也有所不同。 若要确定正确的无密码策略,需要了解整个组织中的这些差异。 与销售部门的中层管理人员相比,执行主管可能以不同的方式使用他们的设备。 这两种用户案例可能不同于客户服务部门的单个参与者使用其设备的方式。 |
应用程序和服务的数量和类型 | 大多数组织有许多应用程序,很少有一个准确的集中列表。 应用程序和服务是无密码评估中最关键的项目。 应用程序和服务需要花费大量精力才能迁移到不同类型的身份验证。 更改策略和过程可能是一项艰巨的任务。 考虑在更新标准操作过程和安全策略与更改内部开发的 CRM 应用程序的关键路径中的 100 行 (或更多) 身份验证代码之间的权衡。 拥有部门、其层次结构和利益干系人后,捕获使用的应用程序数会更容易。 在此方法中,应有一个有条理的部门列表和每个部门中的层次结构。 现在可以关联每个部门中所有级别使用的应用程序。 你还希望记录应用程序是内部开发的还是现成的商用应用程序。 如果是后者,请记录制造商和版本。 此外,在清点应用程序时,不要忘记基于 Web 的应用程序或服务。 |
工作角色数 | 工作角色是前三项工作聚合的地方。 你了解部门、每个部门内的组织级别、每个部门分别使用的应用程序数量以及应用程序类型。 根据此信息,需要创建工作角色。 工作角色将特定部门内单个参与者、经理、中层经理等 ) (类别的用户、职务或角色分类为所使用的应用程序的集合。 你有很多工作角色的可能性很大。 这些工作角色将成为工作单元,你可以在文档和会议中引用它们。 你需要为它们指定一个名称。 为角色提供简单直观的名称 ,例如 Amanda - Accounting、 Mark - Marketing 或 Sue - Sales。 如果组织级别跨部门通用,则决定一个代表部门中通用级别的名字。 例如,Amanda 可以是任何给定部门中个人参与者的名字,而名字 Sue 可以代表任何给定部门中层管理层的人员。 此外,可以使用后缀 ((如 I、 II、 高级等 ) )进一步定义给定角色的部门结构。 最终,创建一个命名约定,该约定不要求利益干系人和合作伙伴通读一长串表或机密解码器环。 此外,如果可能,请尝试将引用保留为人员的姓名。 毕竟,你谈论的是一个在该部门中使用该特定软件的人。 |
组织的 IT 结构 | IT 部门结构的差异可能大于组织。 一些 IT 部门是集中的,而另一些是分散的。 此外,密码自由之路可能会让你与 客户端身份验证 团队、 部署 团队、 安全 团队、 PKI 团队、 标识 团队、 云 团队等进行交互。这些团队中的大多数都是你实现密码自由之旅的合作伙伴。 确保每个团队都有一个无密码的利益干系人,并且工作得到理解和资助。 |
评估组织
现在,你可以理解为什么这是一个旅程,而不是一个快速的任务。 你需要调查每个工作角色的用户可见密码图面。 确定密码图面后,需要对其进行缓解。 解析某些密码图面非常简单 - 这意味着解决方案已存在于环境中,而这只是将用户移动到它的问题。 某些密码图面的解决方法可能存在,但未部署在你的环境中。 该解决方案导致必须计划、测试然后部署的项目。 该项目可能跨多个 IT 部门,具有多个人员,并可能具有一个或多个分布式系统。 这些项目类型需要一段时间,需要专用周期。 内部软件开发也是如此。 即使使用敏捷开发方法,更改某人向应用程序进行身份验证的方式也至关重要。 如果没有适当的规划和测试,它可能会严重影响工作效率。
完成无密码旅程的时间因组织与无密码策略的一致性而异。 自上而下一致认为无密码环境是组织的目标使对话更加轻松。 更轻松的对话意味着花费更少的时间来说服人们,并花更多的时间朝着目标前进。 自上而下的协议是其他正在进行的 IT 项目的优先级,可帮助每个人了解如何确定现有项目的优先级。 就优先级达成一致应减少并最大程度地减少经理和高管级别的升级。 在这些组织讨论之后,将使用新式项目管理技术继续执行无密码工作。 组织在就策略) 达成一致后,根据优先级 (分配资源。 这些资源将:
- 完成工作角色
- 组织和部署用户验收测试
- 评估用户可见密码图面的用户验收测试结果
- 与利益干系人合作,创建可缓解用户可见密码表面的解决方案
- 将解决方案添加到项目积压工作,并优先处理其他项目
- 部署解决方案
- 执行用户验收测试,确认解决方案缓解了用户可见的密码表面
- 根据需要重复测试
组织的密码自由之旅可能需要一些时间。 计算工作角色的数量和申请数量是投资的一个很好的指标。 希望你的组织正在增长,这意味着角色列表和应用程序列表不太可能缩小。 如果今天无密码的工作是 n,那么明天去无密码的工作可能是 n x 2 或更多, n x n。 不要让项目的大小或持续时间分散注意力。 随着你完成每个工作角色的进度,你和你的利益干系人会更加熟悉这些操作和任务。 将项目范围限定为可调整的、现实的阶段,选择正确的工作角色,很快你会看到组织的某些部分会转换为无密码状态。
开启密码自由之旅的最佳指南是什么? 你希望尽快向管理层展示概念证明。 理想情况下,你想要在无密码旅程的每个步骤中显示它。 将无密码策略放在首位,并显示一致的进度,使每个人都能集中注意力。
工作角色
从工作角色开始。 这些是准备过程的一部分。 它们具有角色名称,例如 Amanda - Accounting II 或组织定义的任何其他命名约定。 该工作角色包括 Amanda 用于在会计部门执行分配职责的所有应用程序的列表。 首先,需要选取一个工作角色。 它是你为完成旅程而启用的目标工作角色。
提示
避免使用 IT 部门的任何工作角色。 此方法可能是启动无密码旅程的最糟糕方法。 IT 角色非常困难且耗时。 IT 工作者通常有多个凭据,运行大量脚本和自定义应用程序,并且是密码使用最糟糕的违规者。 最好在旅程的中间或末尾保存这些工作角色。
查看工作角色集合。 在无密码旅程的早期,使用最少的应用程序识别角色。 这些工作角色可以代表整个部门或两个部门。 这些角色是概念证明 (POC) 或试点的完美工作角色。
大多数组织在测试实验室或环境中托管其 POC。 如果使用无密码策略执行该测试,则可能更具挑战性,并且需要更多时间。 若要在实验室中进行测试,必须首先复制目标角色的环境。 此过程可能需要几天或几周时间,具体取决于目标工作角色的复杂性。
你希望平衡实验室测试与向管理层快速提供结果。 继续展示密码自由之旅的前进进度始终是一件好事。 如果有方法可以在低风险或无风险的情况下在生产环境中进行测试,则可能有利于时间线。
密码自由之旅是让每个工作角色完成过程的每个步骤。 一开始,我们鼓励一次使用一个角色,以确保团队成员和利益干系人熟悉该过程。 熟悉该过程后,可以并行涵盖资源允许的任意数量的工作角色。 此过程如下所示:
- 标识表示目标工作角色的测试用户
- 部署Windows Hello 企业版以测试用户
- 验证密码和Windows Hello 企业版是否正常工作
- 调查密码使用测试用户工作流
- 确定密码使用情况,并规划、开发和部署密码缓解措施
- 重复此操作,直到所有用户密码使用都得到缓解
- 从 Windows 中删除密码功能
- 验证 工作流是否不需要 密码
- 宣传活动和用户教育
- 包括适合工作角色的剩余用户
- 验证工作角色 的用户是否不需要 密码
- 配置用户帐户以阻止密码身份验证
成功将工作角色移动到密码自由后,可以确定剩余工作角色的优先级并重复此过程。