خيارات المصادقة التي لا تتطلب كلمة مرور في Microsoft Azure Active Directory

تُعد ميزات مثل المصادقة متعددة العوامل (MFA) طريقة رائعة لتأمين مؤسستك، ولكن غالبًا ما يشعر المستخدمون بالإحباط من طبقة الأمان الإضافية بالإضافة إلى الحاجة إلى تذكر كلمات المرور الخاصة بهم. تعد طرق المصادقة بدون كلمة مرور هي أكثر ملاءمة لأنه تتم إزالة كلمة المرور واستبدالها بشيء لديك، بالإضافة إلى شيء أنت عليه أو شيء تعرفه.

المصادقة شيء لديك شيء تعرفه
بلا كلمة مرور جهاز أو هاتف أو مفتاح أمان يعمل بنظام نوافذ 10 البيومترية أو رقم التعريف الشخصي (PIN)

لدى كل مؤسسة احتياجات مختلفة عندما يتعلق الأمر بالمصادقة. تقدم Microsoft Global Azure وMicrosoft Azure Government خيارات المصادقة الثلاثة التالية بدون كلمة مرور التي تتكامل مع Microsoft Azure Active Directory (Azure AD):

  • Windows Hello للأعمال
  • Microsoft Authenticator
  • ⁧⁩مفاتيح أمان FIDO2⁧⁩

المصادقة: الأمان في مقابل الراحة

Windows Hello للأعمال

يعد Windows Hello for Business مثاليًا للعاملين في مجال المعلومات الذين لديهم أجهزة كمبيوتر خاصة بهم تعمل بنظام Windows. ترتبط بيانات اعتماد البيومترية ورقم التعريف الشخصي مباشرة بجهاز الكمبيوتر الخاص بالمستخدم، مما يمنع الوصول من أي شخص آخر غير المالك. مع تكامل البنية التحتية للمفتاح العام (PKI) والدعم المدمج لتسجيل الدخول الأحادي (SSO)، توفرWindows Hello for Business طريقة ملائمة للوصول بسهولة إلى موارد الشركة في الموقع وفي السحابة.

فيما يلي مثال على تسجيل دخول المستخدم باستخدام Windows Hello للأعمال

توضح الخطوات التالية كيفية عمل عملية تسجيل الدخول مع Microsoft Azure AD:

مخطط تفصيلي يوضح الخطوات المتضمنة لتسجيل دخول المستخدم باستخدام Windows Hello للأعمال

  1. يقوم المستخدم بتسجيل الدخول إلى Windows باستخدام إيماءة بيومترية أو PIN. تفتح هذه الإيماءة المفتاح الخاص لـ Windows Hello للأعمال ويتم إرسالها إلى مزود دعم أمان Cloud Authentication ، والمشار إليه بموفر Cloud AP.
  2. يطلب موفر Cloud AP رقم nonce (رقم عشوائي يمكن استخدامه مرة واحدة فقط) من Microsoft Azure Active Directory.
  3. يقوم Microsoft Azure AD بإرجاع nonce لمدة 5 دقائق.
  4. يقوم موفر Cloud AP بتوقيع على nonce باستخدام المفتاح الخاص للمستخدم ويعيد علامة nonce الموقعة إلى Azure AD.
  5. يتحقق Azure AD من التوقيع nonce باستخدام المفتاح العام المسجل بشكل آمن للمستخدم مقابل التوقيع nonce. يتحقق Azure AD من صحة التوقيع، ثم يقوم بعد ذلك بالتحقق من صحة nonce الموقّع الذي تم إرجاعه. عندما يتم التحقق من صحة الرمز nonce ، يُنشئ Azure AD رمزًا مميزًا للتحديث الأساسي (PRT) باستخدام مفتاح الجلسة المشفر إلى مفتاح النقل الخاص بالجهاز وإعادته إلى موفر Cloud AP.
  6. يستقبل موفر Cloud AP ال PRT المشفر مع مفتاح الجلسة. يستخدم موفر Cloud AP مفتاح النقل الخاص للجهاز لفك تشفير مفتاح الجلسة ويحمي مفتاح الجلسة باستخدام وحدة النظام الأساسي الموثوق بها (TPM) الخاصة بالجهاز.
  7. يقوم موفر Cloud AP بإرجاع مصادقة ناجحة لنظام Windows. ويمكن للمستخدم بعد ذلك الوصول إلى Windows وكذلك التطبيقات السحابية والمحلية دون الحاجة إلى المصادقة مرة أخرى (SSO).

يمكن استخدام دليل تخطيط Windows Hello للأعمال لمساعدتك في اتخاذ قرارات بشأن نوع توزيع Windows Hello للأعمال والخيارات التي ستحتاج إلى وضعها في الاعتبار.

Microsoft Authenticator

يمكنك أيضًا السماح لهاتفك بأن يصبح من طرق المصادقة بدون كلمة مرور. قد تكون بالفعل تستخدم تطبيق Authenticator كخيار مصادقة مناسب متعدد العوامل بالإضافة إلى كلمة المرور. يمكنك أيضًا استخدام تطبيق Authenticator كخيار بدون كلمة مرور.

تسجيل الدخول إلى Microsoft Edge باستخدام تطبيق Microsoft Authenticator

يحول تطبيق Authenticator أي هاتف يعمل بنظام iOS أو Android إلى بيانات اعتماد قوية بدون كلمة مرور. يمكن للمستخدمين تسجيل الدخول إلى أي نظام أساسي أو مستعرض عن طريق الحصول على إخطار إلى هواتفهم، ومطابقة رقم معروض على الشاشة مع الرقم على هواتفهم، ثم استخدام البيومترية (اللمس أو الوجه) أو رقم التعريف الشخصي لتأكيده. راجعتنزيل تطبيق Microsoft Authenticator وتثبيته للحصول على تفاصيل التثبيت.

تتبع مصادقة بدون كلمة مرور باستخدام تطبيق Authenticator نفس النمط الأساسي الذي تتبعه Windows Hello للأعمال. الأمر أكثر تعقيدًا قليلاً حيث يحتاج المستخدم إلى التعرف عليه حتى يتمكن Azure AD من العثور على إصدار تطبيق Authenticator المستخدم:

المخطط يوضح الخطوات المتضمنة لتسجيل دخول المستخدم باستخدام التطبيق Microsoft Authenticator

  1. يدخل المستخدم اسم المستخدم الخاص به.
  2. يكشف Microsoft Azure Active Directory أن المستخدم لديه بيانات اعتماد قوية ويبدأ تدفق بيانات الاعتماد القوية.
  3. يتم إرسال إشعار إلى التطبيق عبر خدمة الإعلام بالدفع من Apple (APNS) على أجهزة iOS، أو عبر Firebase Cloud Messaging (FCM) على أجهزة Android.
  4. يتلقى المستخدم إشعار الدفع ومن ثم يفتح التطبيق.
  5. التطبيق يدعو Microsoft Azure Active Directory ويتلقى تحدي إثبات الحضور وnonce.
  6. يكمل المستخدم التحدي عن طريق إدخال البيومترية أو رقم التعريف الشخصي لفتح المفتاح الخاص.
  7. يتم توقيع nonce بالمفتاح الخاص وإرساله مرة أخرى إلى Microsoft Azure Active Directory.
  8. يقوم Microsoft Azure Active Directory بإجراء التحقق من صحة المفتاح العام/الخاص، كما يقوم بإرجاع رمز مميز.

لبدء تسجيل الدخول بدون كلمة مرور، أكمل التعليمات التالية:

⁧⁩مفاتيح أمان FIDO2⁧⁩

يساعد تحالف FIDO (Fast IDentity Online) على تعزيز معايير المصادقة المفتوحة وتقليل استخدام كلمات المرور بصفتها شكلًا من أشكال المصادقة. FIDO2 وهو أحدث معيار يتضمن معيار مصادقة الويب (WebAuthn).

تعد مفاتيح أمان FIDO2 أسلوب مصادقة بدون كلمة مرور قائمة على المعايير غير قابلة للكسر ويمكن أن تأتي بأي شكل من الأشكال. هوية سريعة عبر الإنترنت (FIDO) هو قياس مفتوح للمصادقة بدون كلمة مرور. يسمح FIDO للمستخدمين والمؤسسات بالاستفادة من القياس لتسجيل الدخول إلى مواردهم دون اسم مستخدم أو كلمة مرور باستخدام مفتاح أمان خارجي أو مفتاح نظام أساسي مدمج في جهاز.

يمكن للمستخدمين التسجيل ومن ثم اختيار مفتاح أمان FIDO2 من واجهة تسجيل الدخول وتحديده كوسيلة رئيسية للمصادقة. عادةً ما تكون مفاتيح أمان FIDO2 هذه أجهزة USB، ولكن يمكنها أيضاً استخدام تقنية Bluetooth أو NFC. باستخدام جهاز يتعامل مع المصادقة، يتم زيادة أمان الحساب نظراً لعدم وجود كلمة مرور يمكن كشفها أو تخمينها.

يمكن استخدام مفاتيح أمان FIDO2 لتسجيل الدخول إلى Azure AD أو مُسجل عبر hybrid Azure AD عبر الأجهزة التي تعمل بنظام التشغيل Windows 10 والحصول على تسجيل دخول واحد إلى السحابة والموارد المحلية الخاصة بها. يمكن للمستخدمين أيضاً تسجيل الدخول إلى المستعرضات المدعومة. تعد مفاتيح أمان FIDO2 خياراً رائعاً للمؤسسات التي لديها حساسية شديدة من الناحية الأمنية أو لديها سيناريوهات أو موظفين غير مستعدين أو غير قادرين على استخدام هواتفهم كعامل ثانٍ.

لدينا مستند مرجعي يدعم المستعرضات مصادقة FIDO2 مع Microsoft Azure Active Directory ، بالإضافة إلى أفضل الممارسات للمطورين الراغبين في دعم مصادقة FIDO2 في التطبيقات التي يطورونها.

سجل «الدخول إلى Microsoft Edge» باستخدام مفتاح أمان

يتم استخدام المعالجة التالية عند تسجيل دخول مستخدم باستخدام مفتاح أمان FIDO2:

مخطط تفصيلي يوضح الخطوات المتضمنة لتسجيل دخول المستخدم باستخدام مفتاح أمان FIDO2

  1. ثم يقوم المستخدم بتوصيل مفتاح الأمان FIDO2 في الكمبيوتر الخاص به.
  2. تكتشف Windows مفتاح الأمان FIDO2.
  3. يرسل Windows طلب مصادقة.
  4. يرسل Microsoft Azure Active Directory قيمة nonce.
  5. يكمل المستخدم إيماءته لفتح المفتاح الخاص المخزن في الجيب الآمن لمفاتيح الأمان FIDO2.
  6. يقوم مفتاح الأمان FIDO2 بتوقيع علامة nonce بالمفتاح الخاص.
  7. يتم إرسال طلب الرمز المميز للتحديث الأساسي (PRT) مع nonce الموقعة إلى Microsoft Azure Active Directory.
  8. يتحقق Microsoft Azure Active Directory من رقم nonce الموقع باستخدام المفتاح العام FIDO2.
  9. يقوم Microsoft Azure Active Directory بإرجاع PRT لتمكين الوصول إلى الموارد المحلية.

موفرو مزامنة مفاتيح الأمان FIDO2

يقدم الموفرون التاليون مفاتيح أمان FIDO2 لعوامل شكل مختلفة معروفة بأنها متوافقة مع تجربة لا تتطلب كلمة مرور. نحن نشجعك على تقييم خصائص الأمان لهذه المفاتيح عن طريق الاتصال بالمساهم وكذلك FIDO Alliance.

⁧⁩"الموفر"⁧⁩ البيومترية USB اتصال NFC اتصال BLE FIPS المدعوم جهة اتصال
اوثين تراند y y y y n https://authentrend.com/about-us/#pg-35-3
سيريت n n y n -n https://www.cyberonecard.com/
ضمان y y n n -n https://www.ensurity.com/contact
Excelsecu y y y y -n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet -n y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y y y y -n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
شركة GoTrustID -n y y y -n https://www.gotrustid.com/idem-key
HID -n y y n -n https://www.hidglobal.com/contact-us
Hypersecu -n y n n -n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y -n https://www.idmelon.com/#idmelon
Kensington y y n n -n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y -n y y n https://konai.com/business/security/fido
NeoWave n y y n -n https://neowave.fr/en/products/fido-range/
Nymi y -n y n -n https://www.nymi.com/nymi-band
شركة Octatco y y n n -n https://octatco.com/
OneSpan Inc. -n y -n y n https://www.onespan.com/products/fido
Swissbit n y y n -n https://www.swissbit.com/en/products/ishield-fido2/
مجموعة Thales -n y y n y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y -n https://thetis.io/collections/fido2
رمز مميز2 سويسرا y y y n -n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
حلول TrustKey y y n n -n https://www.trustkeysolutions.com/security-keys/
VinCSS -n y n n -n https://passwordless.vincss.net
Yubico y y y -n y https://www.yubico.com/solutions/passwordless/

ملاحظة

في حال إذا قمت بشراء مفاتيح الأمان المستندة إلى NFC وتخطط لاستخدامها، فستحتاج إلى قارئ NFC مدعوم لمفتاح الأمان. لا يعد قارئ NFC أحد متطلبات Azure أو قيودًا. افحص «المورد» للحصول على مفتاح الأمان المستند إلى NFC للحصول على قائمة بقارئات NFC المدعومة.

إذا كنت موردًا وترغب في إدراج جهازك في قائمة الأجهزة المدعومة، فراجع إرشاداتنا حول كيفية أن تصبح موردًا لمفتاح أمان FIDO2 متوافق مع Microsoft.

للانطلاق في استخدام مفاتيح الأمان FIDO2، أكمل الكيفية التالية:

السيناريوهات المدعومة

وتنطبق الاعتبارات التالية:

  • يمكن للمسؤولين تمكين أساليب مصادقة بدون كلمة مرور للمستأجر الخاص بهم.

  • يمكن للمسؤولين استهداف جميع المستخدمين أو تحديد المستخدمين/المجموعات داخل المستأجر لكل طريقة.

  • يمكن للمستخدمين تسجيل وإدارة طرق مصادقة بدون كلمة المرور هذه في مدخل الحساب الخاص بهم.

  • يمكن للمستخدمين تسجيل الدخول باستخدام طرق مصادقة بدون كلمة مرور:

    • تطبيق Authenticator: يعمل في سيناريوهات حيث يتم استخدام مصادقة Azure AD، بما في ذلك عبر جميع المتصفحات، أثناء إعداد Windows 10، ومع تطبيقات الأجهزة المحمولة المتكاملة على أي نظام تشغيل.
    • مفاتيح الأمان: اعمل على شاشة القفل Windows 10 والويب في المتصفحات المدعومة مثل Microsoft Edge (القديمة والجديدة على حد سواء).
  • يمكن للمستخدمين استخدام بيانات اعتماد بدون كلمة مرور للوصول إلى الموارد في المستأجرين حيث يكونون ضيفًا، ولكن قد يظلون مطالبين بأداء مصادقة متعددة العوامل (MFA) في مستأجر المورد هذا. لمزيد من المعلومات، راجع كيفية الحصول على مصادقة متعددة العوامل.

  • لا يجوز للمستخدمين تسجيل بيانات اعتماد بدون كلمة مرور داخل مستأجر حيث يكونون ضيوفًا، بنفس الطريقة التي لا يملكون بها كلمة مرور مدارة في هذا المستأجر.

اختيار أسلوب لا يتطلب كلمة مرور

يعتمد الاختيار بين هذه الخيارات الثلاثة بدون كلمة مرور على متطلبات أمان الشركة والنظام الأساسي وتطبيقها.

فيما يلي بعض الحقائق التي يجب مراعاتها عند اختيار تقنية Microsoft بدون كلمة مرور:

⁩Windows Hello للأعمال⁧ تسجيل دخول لا يتطلب كلمة مرور باستخدام تطبيق Authenticator ⁩مفاتيح أمان FIDO2⁧
متطلب لمسبق إصدار Windows 10 1809، أو ما أحدث
Azure Active Directory
تطبيق المصدّق
الهاتف (أجهزة iOS و Android)
إصدار نافذة 10 1903، أو ما أحدث
Azure Active Directory
الوضع النظام الأساسي البرمجيات الأجهزة
أنظمة وأجهزة جهاز كمبيوتر شخصي مزود بوحدة أساسية موثوق بها (TPM) مدمجة
التعرف على رقم التعريف الشخصي (PIN) والقياسات الحيوية
التعرف على رقم التعريف الشخصي PIN والقياسات الحيوية على الهاتف أجهزة أمان FIDO2 المتوافقة مع Microsoft
تجربة مستخدم نهائي سجل الدخول باستخدام رقم التعريف الشخصي (PIN) أو التعرف على البصمة (الوجه أو القزحية أو بصمة الإصبع) باستخدام أجهزة Windows
مصادقة Windows Hello المرتبطة بالجهاز؛ يحتاج المستخدم إلى كل من الجهاز ومكون تسجيل الدخول مثل رقم التعريف الشخصي (PIN) أو عامل القياسات الحيوية للوصول إلى موارد الشركة.
سجل «الدخول» باستخدام هاتف محمول باستخدام فحص بصمات الأصابع أو التعرف على الوجه أو القزحية أو رقم التعريف الشخصي.
يقوم المستخدمون بتسجيل الدخول للعمل أو الحساب الشخصي عبر جهاز الكمبيوتر أو الهاتف المحمول.
تسجيل الدخول باستخدام جهاز الأمان FIDO2 (القياسات الحيوية ورقم التعريف الشخصي وNFC)
يمكن للمستخدم الوصول إلى الجهاز استنادًا إلى عناصر تحكم المؤسسة والمصادقة استنادًا إلى رقم التعريف الشخصي (PIN) أو القياسات الحيوية باستخدام أجهزة مثل مفاتيح أمان USB والبطاقات الذكية أو المفاتيح أو الأجهزة القابلة للارتداء التي تدعم NFC.
السيناريوهات الممكنة تجربة بدون كلمة مرور مع جهاز Windows
قابل للتطبيق لأجهزة الكمبيوتر المخصصة للعمل مع إمكانية تسجيل الدخول الأحادي إلى الجهاز والتطبيقات.
حل بدون كلمة مرور في أي مكان باستخدام الهاتف المحمول.
ينطبق على الوصول إلى تطبيقات العمل أو الشخصية على موقع الويب من أي جهاز.
تجربة بدون كلمة مرور للعاملين الذين يستخدمون المقاييس الحيوية ورقم التعريف الشخصي (PIN) و NFC.
ينطبق على أجهزة الكمبيوتر المشتركة حيث لا يكون الهاتف المحمول خيارًا قابلًا للتطبيق (مثل موظفي مكتب المساعدة أو الكشك العام أو فريق المستشفى)

استخدم «الجدول التالي» لاختيار الطريقة التي تدعم متطلباتك والمستخدمين.

الشخصية السيناريو البيئة تقنية لا تتطلب كلمة مرور
مسؤول الوصول الآمن إلى جهاز مهام الإدارة جهاز Windows 10 المعينة Windows Hello للأعمال لمفتاح الأمان Business و/أو FIDO2
مسؤول مهام الإدارة على الأجهزة التي لا تعمل بنظام Windows جهاز محمول أو لا يعمل بنظام Windows تسجيل دخول لا يتطلب كلمة مرور باستخدام تطبيق Authenticator
عامل في مجال المعلومات العمل في الإنتاجية جهاز Windows 10 المعينة Windows Hello للأعمال لمفتاح الأمان Business و/أو FIDO2
عامل في مجال المعلومات العمل في الإنتاجية جهاز محمول أو لا يعمل بنظام Windows تسجيل دخول لا يتطلب كلمة مرور باستخدام تطبيق Authenticator
عامل الواجهة الأمامية أكشاك داخلية أو محلية أو بيع بالتجزئة أو إدخال بيانات أجهزة Windows 10 المشتركة مفاتيح الأمان FIDO2

الخطوات التالية

للبدء بدون كلمة مرور في Microsoft Azure Active Directory أكمل أحد الخطوات التالية: