開始在 Microsoft Entra ID 部署具備網路釣魚防護功能的無密碼驗證
密碼是現代攻擊者的主要攻擊媒介,也是使用者和系統管理員的摩擦來源。 作為整體零信任安全性策略的一部分,Microsoft 建議在您的驗證解決方案中改用防網路釣魚無密碼。 本指南可協助您為組織選取、準備及部署正確的防網路釣魚無密碼認證。 使用本指南來規劃和執行抵禦網路釣魚的無密碼化專案。
多重要素驗證 (MFA) 等功能是保護貴組織的絕佳方式。 然而,額外的安全性階層加上需要記住密碼,通常會讓使用者感到挫折。 防網路釣魚無密碼驗證方法更為方便。 例如,Microsoft 取用者帳戶的分析顯示,使用密碼登入平均可能需要 9 秒,但在大部分情況下,密鑰只需要大約 3 秒。 與傳統密碼和 MFA 登入相比,密鑰登入的速度和便利性更勝一籌。 密鑰使用者不需要記住其密碼,或等候手機簡訊。
注意
此資料以對 Microsoft 取用者帳戶登入的分析為基礎。
抗網路釣魚的無密碼方法還內置額外的安全功能。 他們會使用使用者擁有的物品(實體裝置或安全性金鑰)和使用者知道或是的東西,例如生物特徵辨識或 PIN,自動視為 MFA。 與傳統的 MFA 不同,防網路釣魚無密碼方法會使用無法輕易遭入侵的硬體支援認證,以抵禦針對使用者的網路釣魚攻擊。
Microsoft Entra ID 提供了下列防網路釣魚無密碼驗證選項:
- 密鑰 (FIDO2)
- Windows Hello 企業版
- macOS 平台認證 (預覽)
- Microsoft Authenticator 應用程式通行金鑰
- FIDO2 安全性金鑰
- 其他密鑰和提供者,例如 iCloud Keychain - 在規劃中
- 憑證式驗證/智慧型卡片
必要條件
在您啟動 Microsoft Entra 防網路釣魚無密碼部署專案之前,請先完成下列必要條件:
- 檢閱授權需求
- 檢閱執行特殊權限動作所需的角色
- 識別需要共同作業的利害關係人團隊
授權需求
使用 Microsoft Entra 註冊和無密碼登入並不需要授權,但我們建議至少使用 Microsoft Entra ID P1 授權,以取得與無密碼部署相關聯的一組完整功能。 例如,Microsoft Entra ID P1 授權可協助您透過條件式存取執行無密碼登入,並使用驗證方法活動報告來追蹤部署。 如有特定授權需求,請參閱本指南中所參考功能的授權需求指引。
整合應用程式與 Microsoft Entra ID
Microsoft Entra ID 是雲端式身分識別和存取權管理 (IAM) 服務,可與許多類型的應用程式整合,包括軟體即服務 (SaaS) 應用程式、企業營運 (LOB) 應用程式、內部部署應用程式等等。 您需要將應用程式與 Microsoft Entra ID 整合,以充分發揮您在無密碼和防網路釣魚驗證方面的投資效益。 當您將更多應用程式與 Microsoft Entra ID 整合時,可以使用條件存取原則保護更多環境,強制使用防網路釣魚的驗證方法。 若要深入了解如何將應用程式與 Microsoft Entra ID 整合,請參閱將應用程式與 Microsoft Entra ID 整合的五個步驟。
當您開發自己的應用程式時,請遵循支援無密碼及防網釣認證的開發人員指南。 如需詳細資訊,請參閱在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
必要角色
下表列出防網路釣魚無密碼部署的最低特殊權限角色需求。 建議您為所有高權限帳戶啟用防釣魚攻擊的無密碼驗證。
| Microsoft Entra 角色 | 描述 |
|---|---|
| 使用者管理員 | 實作合併的註冊體驗 |
| 驗證管理員 | 實作和管理驗證方法 |
| 驗證原則管理員 | 實施和管理驗證方法策略 |
| 使用者 | 在裝置上設定 Authenticator 應用程式,或註冊 Web 或 Windows 10/11 登入的安全性金鑰裝置 |
客戶利害關係人團隊
為了確保成功,請確定您與適當的利害關係人互動,並在開始規劃和推出之前先了解其角色。 下表列出通常推薦的利害關係人團隊。
| 利害關係人團隊 | 描述 |
|---|---|
| 身分識別與存取管理 (IAM) | 管理 IAM 系統的日常作業 |
| 資訊安全性架構 | 規劃及設計組織的資訊安全性做法 |
| 資訊安全性作業 | 執行和監控資訊安全架構的安全措施 |
| 安全性保證和稽核 | 協助確保 IT 流程安全且符合規範。 他們會定期進行稽核、評估風險,並建議安全性措施,以減輕已識別的弱點,並增強整體安全性態勢。 |
| 服務檯與支援 | 協助在部署新技術和原則期間遇到問題或發生問題時的終端使用者 |
| 與終端使用者溝通 | 為準備及協助推動面向使用者的技術推出,將對終端使用者的訊息進行變更。 |