規劃在 Microsoft Entra ID 中進行防網路釣魚無密碼驗證部署
當您在環境中部署和操作防網路釣魚無密碼驗證時,建議您採用以使用者角色為基礎的方法。 對於特定使用者角色,不同的防網路釣魚無密碼方法比其他方法更有效率。 此部署指南可協助您了解哪些類型的方法和推出計劃對您環境中的使用者角色有幫助。 防網路釣魚無密碼部署方法通常有 6 個步驟,大致上依序進行,但不一定要 100% 完成才能進入其他步驟:
判斷您的使用者角色
判斷與組織相關的使用者角色。 此步驟對您的專案至關重要,因為不同的角色有不同的需求。 Microsoft 建議您考慮並評估組織中至少 4 個一般使用者角色。
| 使用者角色 | 描述 |
|---|---|
| 資訊工作者 | |
| 前線工作者 | |
| IT 專業人員/DevOps 背景工作角色 | |
| 嚴格控管背景工作角色 |
Microsof 建議您在組織中廣泛部署防網路釣魚無密碼驗證。 在傳統上,資訊背景工作角色是最簡單的使用者角色。 當您解決影響 IT 專業人員的問題時,請勿延遲推出資訊背景工作角色的安全認證。 採取「不要讓完美成為優秀的敵人」的方法,並盡可能部署安全認證。 當使用者使用防網路釣魚無密碼認證登入時,您可以減少環境的受攻擊面。
Microsoft 建議您定義角色,然後將每個角色放入專門針對該使用者角色的 Microsoft Entra ID 群組。 這些群組會在後續步驟 中用來向不同類型的使用者推出認證 ,以及當您開始 強制執行使用網路釣魚防護無密碼認證時。
規劃裝置整備程度
裝置是任何成功的防網路釣魚無密碼部署的重要層面,因為防網路釣魚無密碼認證的目標之一是使用新式裝置的硬體來保護認證。 首先,熟悉 Microsoft Entra ID 的 FIDO2 支援性。
請藉由修補到各個作業系統的最新支援版本,確定您的裝置已做好防網路釣魚無密碼的準備。 Microsoft 建議您的裝置至少執行以下版本:
- Windows 10 22H2 (適用於 Windows Hello 企業版總覽)
- Windows 11 22H2 (使用密鑰時獲得最佳使用者體驗)
- macOS 13 Ventura
- iOS 17
- Android 14
這些版本提供原生整合功能的最佳支援,例如密鑰、Windows Hello 企業版和 macOS 平台認證。 較舊的作業系統可能需要外部驗證器,例如 FIDO2 安全性金鑰,以支援防網路釣魚無密碼驗證。
註冊使用者以取得防網路釣魚認證
認證註冊和啟動載入是防網路釣魚無密碼部署專案中第一個面向使用者的主要活動。 本節涵蓋可攜式和本機認證的推出。
| 認證 | 描述 | 福利 |
|---|---|---|
| 可攜式 | 可以跨裝置使用。 您可使用可攜式認證來登入另一個裝置,或在其他裝置上註冊認證。 | 對大多數使用者而言,這是需要註冊的最重要認證類型,因為它們可以跨裝置使用,並在許多案例中提供防網路釣魚驗證。 |
| 本機 | 您可使用本機認證在裝置上進行驗證,而不需要依賴外部硬體,例如使用 Windows Hello 企業版生物特徵辨識在相同電腦上的 Microsoft Edge 瀏覽器中登入應用程式 | 它們對可攜式認證有兩個主要優點: |
- 對於新使用者,註冊和啟動載入程序會採用沒有現有企業認證的使用者,並驗證其身分識別。 它會將其啟動載入至其第一個可攜式認證,並使用該可攜式認證來啟動載入每個計算裝置上的其他本機認證。 註冊之後,系統管理員可以針對 Microsoft Entra ID 中的使用者執行防網路釣魚驗證。
- 對於現有使用者,此階段可讓使用者直接在其現有裝置上註冊防網路釣魚無密碼,或使用現有的 MFA 認證來啟動載入防網路釣魚無密碼認證。 最終目標與新使用者相同 - 大部分的使用者應該至少有一個可攜式認證,然後在每個計算裝置上取得本機認證。 如果您是為現有使用者部署防網路釣魚無密碼的系統管理員,則可以直接跳到上線步驟 2:啟動載入可攜式認證一節。
開始之前,Microsoft 建議為租用戶中的企業使用者啟用密鑰和其他認證。 如果使用者有動機自行註冊強認證,則允許它是有好處的。 您至少應該啟用 Passkey (FIDO2) 原則,讓使用者可以在有偏好的情況下註冊密鑰和安全性金鑰。
本節著重於階段 1-3:
使用者應該至少註冊兩個驗證方法。 註冊另一種方法後,如果使用者的主要方法發生問題,例如裝置遺失或遭竊,使用者就會有可用的備份方法。 例如,使用者最好在手機上,以及在其工作站上本機註冊 Windows Hello 企業版密鑰。
注意
一律建議使用者至少註冊兩個驗證方法。 這可確保如果使用者的主要方法發生問題,例如裝置遺失或遭竊,使用者有可用的備份方法。 例如,使用者最好在手機上,以及在其工作站上本機註冊 Windows Hello 企業版密鑰。
注意
本指引針對目前 Microsoft Entra ID 中密鑰的現有支援量身打造,其中包含Microsoft Authenticator 中的裝置繫結密鑰,以及實體安全性金鑰上的裝置繫結密鑰。 Microsoft Entra ID 計劃新增對同步密鑰的支援。 如需詳細資訊,請參閱公開預覽:在 Microsoft Entra ID 中展開密鑰支援。 本指引將會更新,以在可用之後包含同步的密鑰指引。 例如,許多組織可能受益於依賴上述圖表階段 3 的同步處理,而不是啟動載入全新的認證。
上線步驟 1:身分識別驗證
對於尚未證明身分的遠端使用者,企業上線是一項重大挑戰。 如果沒有適當的身分識別驗證,組織就無法完全確定他們打算上線的人員。 Microsoft Entra 驗證識別碼 可以提供高保證身分識別驗證。 組織可以與身分識別驗證合作夥伴 (IDV) 合作,在上線程式中驗證新遠端使用者的身分識別。 處理使用者政府簽發的標識符之後,IDV 可以提供確認使用者身分識別的已驗證標識符。 新的使用者會將此身分識別確認的已驗證標識碼呈現給僱用組織,以建立信任,並確認組織正在上線正確的人員。 組織可以新增臉部檢查與 Microsoft Entra 驗證識別碼,這會將臉部比對層新增至驗證,確保信任的使用者在該時間點呈現身分識別確認的已驗證標識碼。
透過校訂程式驗證其身分識別之後,新進員工會獲得暫時存取通行證 (TAP),可用來啟動其第一個可攜式認證。
請參閱下列指南,以啟用 Microsoft Entra 驗證識別碼上線和 TAP 發行:
如需 Microsoft Entra 驗證識別碼 的授權詳細數據,請參閱下列連結:
某些組織可能會選擇其他方法,而不是 Microsoft Entra 驗證識別碼上線使用者,並向他們發出其第一個認證。 Microsoft 建議這些組織仍使用 TAP,或讓使用者在沒有密碼的情況下上線的另一種方式。 例如,您可以使用 Microsoft Graph API 佈建 FIDO2 安全性密鑰。
上線步驟 2:啟動載入可攜式認證
若要將現有的使用者啟動載入防網路釣魚無密碼認證,請先判斷您的使用者是否已註冊傳統 MFA。 已註冊傳統 MFA 方法的使用者會成為防網路釣魚無密碼註冊原則為目標。 他們可以使用傳統 MFA 來註冊其第一個可攜式防網路釣魚認證,然後視需要繼續註冊本機認證。
對於沒有 MFA 的新使用者或使用者,請透過程序,以向使用者發出臨時存取密碼 (TAP)。 您可以使用與為新使用者提供其第一個認證,或使用 Microsoft Entra 驗證識別碼整合來發出 TAP。 一旦使用者擁有 TAP,就可以啟動載入其第一個防網路釣魚認證。
對於使用者的第一個無密碼認證來說,請務必使用可攜式認證在其他計算裝置上進行驗證。 例如,密鑰可用來在 iOS 手機上本機進行驗證,但也可以使用跨裝置驗證流程在 Windows 電腦上進行驗證。 此跨裝置功能可讓可攜式傳遞密鑰用於在 Windows 電腦上啟動載入 Windows Hello 企業版。
同樣重要的是,使用者經常使用的每部裝置都有本機可用的認證,讓使用者享有最順暢的使用體驗。 本機可用的認證可縮短驗證所需的時間,因為使用者不需要使用多個裝置,而且步驟也較少。 使用步驟 1 中的 TAP 註冊可攜式認證,以啟動載入這些其他認證,讓使用者在可能擁有的許多裝置上原生使用防釣魚認證。
下表列出對不同角色的建議:
| 使用者角色 | 建議的可攜式認證 | 替代可攜式認證 |
|---|---|---|
| 資訊背景工作角色 | 密鑰 (Authenticator 應用程式) | 安全性金鑰、智慧型卡片 |
| 前線工作者 | 安全性金鑰 | 密鑰 (Authenticator 應用程式),智慧型卡片 |
| IT 專業人員/DevOps 背景工作角色 | 密鑰 (Authenticator 應用程式) | 安全性金鑰、智慧型卡片 |
| 嚴格控管背景工作角色 | 憑證 (智慧型卡片) | 密鑰 (Authenticator 應用程式),安全性金鑰 |
使用下列指引,為貴組織的相關使用者角色啟用建議和替代的可攜式認證:
| 方法 | 指引 |
|---|---|
| 密鑰 | |
| 安全性金鑰 | |
| 智慧型卡片/憑證式驗證 (CBA) |
上線步驟 3:在計算裝置上啟動載入本機認證
使用者註冊可攜式認證之後,即可在定期使用 1:1 關聯性的每個計算裝置上啟動載入其他認證,這對其日常使用者體驗大有助益。 這類認證適用於資訊背景工作角色和 IT 專業人員,但不適用於共用裝置的前線工作者。 只共用裝置的使用者只能使用可攜式認證。
您的組織需要判斷在目前階段每個使用者角色偏好哪種類型的認證。 Microsoft 建議:
| 使用者角色 | 建議的本機認證 - Windows | 建議的本機認證 - macOS | 建議的本機認證 - iOS | 建議的本機認證 - Android | 建議的本機認證 - Linux |
|---|---|---|---|---|---|
| 資訊背景工作角色 | Windows Hello 企業版 | 平台單一登入 (SSO) 安全記憶體保護區金鑰 | 密鑰 (Authenticator 應用程式) | 密鑰 (Authenticator 應用程式) | N/A (請改用可攜式認證) |
| 前線工作者 | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) |
| IT 專業人員/DevOps 背景工作角色 | Windows Hello 企業版 | 平台遊戲 SSO 安全記憶體保護區金鑰 | 密鑰 (Authenticator 應用程式) | 密鑰 (Authenticator 應用程式) | N/A (請改用可攜式認證) |
| 嚴格控管背景工作角色 | Windows Hello 企業版或 CBA | 平台 SSO 安全記憶體保護區金鑰或 CBA | 密鑰 (Authenticator 應用程式) 或 CBA | 密鑰 (Authenticator 應用程式) 或 CBA | N/A (請改用智慧型卡片) |
使用下列指引,在您的環境中為組織的相關使用者角色啟用建議的本機認證:
| 方法 | 指引 |
|---|---|
| Windows Hello 企業版 | |
| 平台遊戲 SSO 安全記憶體保護區金鑰 | |
| 密鑰 |
角色特定考量
每個角色都有自己的挑戰和考量,通常會在防網路釣魚無密碼部署期間出現。 當您識別您需要容納哪些角色時,應該將這些教師納入部署專案規劃。 下列連結具有每個角色的特定指引:
驅動防網路釣魚認證的使用方式
此步驟涵蓋如何讓使用者更容易採用防網路釣魚認證。 您應該測試部署策略、規劃推出方案,並將方案傳達給使用者。 然後,您可以先建立報告並監視進度,然後在整個組織中執行防網路釣魚認證。
測試部署策略
Microsoft 建議您使用一組測試和試驗使用者,測試在上一個步驟中建立的部署策略。 此階段應包含下列步驟:
- 建立測試使用者與早期採用者的清單。 這些使用者應該代表不同的使用者角色,而不只是 IT 系統管理員。
- 建立 Microsoft Entra ID 群組,並將測試使用者新增至群組。
- 在 Microsoft Entra ID 中啟用驗證方法原則,並將測試群組的範圍設定為您啟用的方法。
- 使用驗證方法活動報告來測量試驗使用者的註冊推出。
- 建立條件式存取原則,以在每個作業系統類型上執行防網路釣魚無密碼認證,並以試驗群組為目標。
- 使用 Azure 監視器和活頁簿測量執行是否成功。
- 收集使用者關於推出成功的意見反應。
規劃推出策略
Microsoft 建議根據哪些使用者角色最適合部署來推動使用。 一般而言,這表示依此順序為使用者進行部署,但可能會根據您的組織而變更:
- 資訊工作者
- 前線工作者
- IT 專業人員/DevOps 背景工作角色
- 嚴格控管背景工作角色
使用下列各節為每個角色群組建立終端通訊、範圍和推出密鑰註冊功能,以及追蹤推出進度的使用者報告和監視。
規劃終端使用者溝通
Microsoft 為終端使用者提供通訊範本。 驗證推出內容包括可自訂的海報和電子郵件範本,以通知使用者防網路釣魚無密碼驗證部署。 使用下列範本與使用者通訊,讓他們了解防網路釣魚無密碼部署:
- 使用 Microsoft Authenticator 的無密碼登入
- 註冊公司或學校帳戶的密碼重設驗證方法
- 使用安全性資訊重設您的工作密碼或學校密碼
- 將安全性金鑰設定為驗證方法
- 使用 Microsoft Authenticator 應用程式登入帳戶
- 使用雙步驟驗證方法來登入您的公司或學校帳戶
- 租用戶限制封鎖的公司或學校帳戶登入
通訊應該重複多次,以協助吸引盡可能多的使用者。 例如,您的組織可能會選擇使用以下模型來傳達不同的階段和時間軸:
- 距離執行 60 天:宣傳防網路釣魚驗證方法的價值並鼓勵使用者主動註冊
- 距離執行 45 天:重複訊息
- 距離執行 30 天:傳達 30 天後將開始執行防網路釣魚的訊息,鼓勵使用者主動註冊
- 距離執行 15 天:重複訊息,告知他們如何連絡支援人員
- 距離執行 7 天:重複訊息,告知他們如何連絡支援人員
- 距離執行 1 天:告知他們將在 24 小時後執行,並告知他們如何連絡支援人員
Microsoft 建議透過電子郵件以外的其他頻道與使用者通訊。 其他選項可能包括 Microsoft Teams 訊息、休息室海報和擁護者計劃,在這些計劃中,選定的員工已接受訓練,以向其同事宣傳該計劃。
報告和監視
Microsoft Entra ID 報告 (例如驗證方法活動和 Microsoft Entra 多重要素驗證的登入事件詳細資料) 提供技術和商業見解,可協助您測量並推動採用。
從 [驗證方法] 活動儀表板,您可以檢視註冊和使用方式。
- [註冊] 會顯示能夠使用防網路釣魚無密碼驗證以及其他驗證方法的使用者數目。 您可以看到圖表,其中顯示使用者註冊的驗證方法,以及每種方法最近的註冊情況。
- 使用方式顯示登入時使用的驗證方法。
商務和技術應用程式擁有者應根據組織需求擁有及接收報告。
- 使用驗證方法註冊活動報告來追蹤防網路釣魚無密碼認證的推出。
- 使用驗證方法登入活動報告和登入記錄,追蹤使用者對防網路釣魚無密碼認證的採用情況。
- 使用登入活動報告,追蹤用來登入各種應用程式的驗證方法。 選取使用者資料列;選取 [驗證詳細資料],以檢視驗證方法及其對應的登入活動。
Microsoft Entra ID 會在發生下列情況時將項目新增至稽核記錄:
- 系統管理員會變更驗證方法。
- 使用者在 Microsoft Entra ID 內對其認證進行任何變更。
Microsoft Entra ID 最多會保留 30 天的稽核資料。 建議您針對稽核、趨勢分析及其他商業需求設定較長的保留期。
存取 Microsoft Entra 系統管理中心或 API 中的稽核資料,並下載到您的分析系統中。 如果您需要較長的保留期,請在安全性資訊與事件管理 (SIEM) 工具 (例如 Microsoft Sentinel、Splunk 或 Sumo Logic) 中匯出和取用記錄。
監視支援人員票證數量
IT 支援人員可以提供部署進度的寶貴訊號,因此 Microsoft 建議您在執行防網路釣魚無密碼部署時追蹤技術支援中心票證數量。
當支援人員票證數量增加時,您應該降低部署、使用者通訊和執行動作的速度。 隨著票證數量減少,您可增加這些活動備份。 使用此方法時,您必須在首度發行計劃中維持彈性。
例如,您可以先執行部署,然後再執行具有日期範圍而非特定日期的波段:
- 6 月 1 日至 15 日:第 1 波世代註冊部署和行銷活動
- 6 月 16 日至 30 日:第 2 波世代註冊部署和行銷活動
- 7 月 1 日至 15 日:第 3 波世代註冊部署和行銷活動
- 7 月 16 日至 31 日:啟用第 1 波世代執行
- 8 月 1 日至 15 日:啟用第 2 波世代執行
- 8 月 16 日至 31 日:啟用第 3 波世代執行
當您執行這些不同的階段時,根據開啟的支援人員票證數量,您可能需要放慢速度,然後在数量减少後繼續。 若要執行此策略,Microsoft 建議您為每個波段建立 Microsoft Entra ID 安全性群組,並將每個群組一次新增至您的原則。 這種方法有助於避免讓您的支援小組不堪重負。
強制執行防網路釣魚方法進行登入
本節著重於階段 4。
防網路釣魚無密碼部署的最後階段是強制使用防網路釣魚認證。 在 Microsoft Entra ID 中執行這項操作的主要機制是條件式存取驗證強度。 Microsoft 建議您根據使用者/裝置配對方法,針對每個角色執行方法。 例如,執行推出可能會遵循下列模式:
- Windows 和 iOS 上的資訊背景工作角色
- macOS 和 Android 上的資訊背景工作角色
- iOS 和 Android 上的 IT 專業人員
- 在 iOS 和 Android 上的 FLW
- Windows 和 macOS 上的 FLW
- Windows 和 macOS 上的 IT 專業人員
Microsoft 建議您使用租用戶的登入資料來建置所有使用者/裝置配對的報告。 您可以使用 Azure 監視器和活頁簿等查詢工具。 至少嘗試識別符合這些類別的所有使用者/裝置配對。
針對每個使用者,建立他們定期用於工作的作業系統清單。 將清單對應至該使用者/裝置配對的防網路釣魚登入執行的整備程度。
| OS 類型 | 準備好執行 | 尚未準備好執行 |
|---|---|---|
| Windows | 10+ | 8.1 與較舊版本、Windows Server |
| iOS | 17+ | 16 與較舊版本 |
| Android | 14+ | 13 與較舊版本 |
| macOS | 13+ (Ventura) | 12 與較舊版本 |
| VDI | 相依1 | 相依1 |
| 其他 | 相依1 | 相依1 |
1對於裝置版本尚未立即準備好執行的每個使用者/裝置配對,請決定如何解決執行防網路釣魚的需求。 針對舊版作業系統、虛擬桌面基礎結構 (VDI) 和其他作業系統,例如 Linux,請考慮下列選項:
- 使用外部硬體執行防網路釣魚 - FIDO2 安全性金鑰
- 使用外部硬體執行防網路釣魚 - 智慧型卡片
- 使用遠端認證執行網路釣魚防護,例如跨裝置驗證流程中的密鑰
- 在 RDP 通道 (尤其是 VDI) 內使用遠端認證執行防網路釣魚
關鍵任務是透過資料來評估哪些使用者和角色已準備好在特定平台上執行。 在已準備好執行的使用者/裝置配對上開始執行動作,以「停止出血」,並減少環境中發生的網路釣魚式驗證數量。
然後移至使用者/裝置配對需要整備工作的其他案例。 請逐步完成使用者/裝置配對清單,直到您全面執行防網路釣魚驗證為止。
建立一組 Microsoft Entra ID 群組,以逐步推出執行。 如果您使用波浪型推出方法,請重複使用上一個步驟中的群組。
以特定條件式存取原則針對每個群組。 這種方法可協助您依使用者/裝置配對逐漸推出執行控制項。
| 原則 | 針對原則目標的群組名稱 | 原則 - 裝置平台條件 | 原則 - 授與控制 |
|---|---|---|---|
| 1 | Windows 防網路釣魚無密碼就緒的使用者 | Windows | 需要驗證強度 – 防網路釣魚 MFA |
| 2 | macOS 防網路釣魚無密碼就緒的使用者 | macOS | 需要驗證強度 – 防網路釣魚 MFA |
| 3 | iOS 防網路釣魚無密碼就緒的使用者 | iOS | 需要驗證強度 – 防網路釣魚 MFA |
| 4 | Android 防網路釣魚無密碼就緒的使用者 | Android | 需要驗證強度 – 防網路釣魚 MFA |
| 5 | 其他防網路釣魚無密碼就緒的使用者 | Windows、macOS、iOS 或 Android 以外的任何作業系統 | 需要驗證強度 – 防網路釣魚 MFA |
當您判斷其裝置和作業系統是否已就緒,或他們是否沒有該類型的裝置時,將每個使用者新增至每個群組。 在推出結束時,每個使用者都應該位於其中一個群組中。
回應無密碼使用者的風險
Microsoft Entra ID Protection 可協助組織偵測、調查和修復身分識別型風險。 Microsoft Entra ID Protection 可為您的使用者提供重要且實用的偵測,即使他們切換到使用防網路釣魚無密碼認證也一樣。 例如,防網路釣魚使用者的一些相關偵測包括:
- 來自匿名 IP 位址的活動
- 系統管理員已確認使用者遭盜用
- 異常權杖
- 惡意 IP 位址
- Microsoft Entra 威脅情報
- 可疑的瀏覽器
- 中間攻擊者
- 可能嘗試存取主要重新整理權杖 (PRT)
- 以及其他項目:對應至 riskEventType 的風險偵測
Microsoft 建議 Microsoft Entra ID Protection 客戶採取下列動作,以最佳方式保護其防網路釣魚無密碼使用者:
- 檢閱 Microsoft Entra ID Protection 部署指引:規劃識別碼保護部署
- 設定風險記錄以匯出至 SIEM
- 調查任何中等使用者風險並採取行動
- 設定條件式存取原則以封鎖高風險使用者
部署 Microsoft Entra ID Protection 之後,請考慮使用條件式存取權杖保護。 當使用者使用防網路釣魚無密碼認證登入時,攻擊和偵測會持續演進。 例如,當使用者認證不再容易被網路釣魚時,攻擊者可能會轉而嘗試從使用者裝置外洩權杖。 權杖保護可藉由將權杖繫結至所發行裝置的硬體,以協助降低此風險。