Možnosti bezheslového ověřování pro Microsoft Entra ID

Funkce, jako je vícefaktorové ověřování (MFA), představují skvělý způsob zabezpečení vaší organizace, ale uživatelé jsou často frustrovaní další vrstvou zabezpečení, která si musí pamatovat svá hesla. Metody ověřování bez hesla jsou pohodlnější, protože heslo se odebere a nahradí něčím, co máte, nebo něco, co znáte.

Ověřování	Něco, co máte	Něco, co jste nebo víte
Bez hesla	Zařízení, telefon nebo klíč zabezpečení Ve Windows 10	Biometrický kód nebo PIN kód

Každá organizace má různé potřeby, pokud jde o ověřování. Microsoft Entra ID a Azure Government integrují následující možnosti ověřování bez hesla:

• Windows Hello pro firmy
• Přihlašovací údaje platformy pro macOS
• Jednotné přihlašování (PSSO) platformy pro macOS s ověřováním pomocí čipové karty
• Microsoft Authenticator
• Klíče (FIDO2)
• Ověřování pomocí certifikátů

Windows Hello pro firmy

Windows Hello pro firmy je ideální pro informační pracovníky, kteří mají svůj vlastní určený počítač s Windows. Biometrické přihlašovací údaje a přihlašovací údaje k PIN kódu jsou přímo svázané s počítačem uživatele, což brání přístupu od kohokoli jiného než vlastníka. Díky integraci infrastruktury veřejných klíčů (PKI) a integrované podpoře jednotného přihlašování (SSO) poskytuje Windows Hello pro firmy pohodlný způsob bezproblémového přístupu k podnikovým prostředkům místně i v cloudu.

Následující kroky ukazují, jak funguje proces přihlašování s ID Microsoft Entra:

1. Uživatel se přihlásí k Windows pomocí biometrického gesta nebo gesta PIN kódu. Gesto odemkne Windows Hello pro firmy privátní klíč a odešle se poskytovateli podpory zabezpečení cloudového ověřování označovaného jako Cloud Authentication Provider (CloudAP). Další informace o CloudAP naleznete v tématu Co je primární obnovovací token?.
2. CloudAP vyžaduje nece (náhodné libovolné číslo, které lze použít jednou) z ID Microsoft Entra.
3. Id Microsoft Entra vrátí hodnotu, která je platná po dobu 5 minut.
4. CloudAP podepíše nonce pomocí privátního klíče uživatele a vrátí podepsanou nonce k ID Microsoft Entra.
5. Microsoft Entra ID ověří podepsané nece pomocí bezpečně registrovaného veřejného klíče uživatele proti podpisu, který není součástí. Microsoft Entra ID ověří podpis a pak ověří vrácenou znaménku. Po ověření nespravovaného kódu vytvoří ID Microsoft Entra primární obnovovací token (PRT) s klíčem relace, který je šifrovaný na transportní klíč zařízení, a vrátí ho do CloudAP.
6. CloudAP obdrží šifrovaný PRT s klíčem relace. CloudAP používá privátní transportní klíč zařízení k dešifrování klíče relace a chrání klíč relace pomocí čipu TPM (Trusted Platform Module) zařízení.
7. CloudAP vrátí úspěšnou odpověď na ověření systému Windows. Uživatel pak může přistupovat k windows a cloudovým a místním aplikacím pomocí bezproblémového přihlašování (SSO).

Průvodce plánováním Windows Hello pro firmy vám může pomoct při rozhodování o typu nasazení Windows Hello pro firmy a možnostech, které je potřeba zvážit.

Přihlašovací údaje platformy pro macOS

Přihlašovací údaje platformy pro macOS jsou novou funkcí systému macOS, která je povolená pomocí rozšíření jednotného přihlašování Microsoft Enterprise (SSOe). Zřídí zabezpečený kryptografický klíč založený na enklávě, který se používá pro jednotné přihlašování napříč aplikacemi, které k ověřování používají MICROSOFT Entra ID. Heslo místního účtu uživatele není ovlivněno a je nutné se přihlásit k Macu.

Přihlašovací údaje platformy pro macOS umožňují uživatelům přejít bez hesla tak, že nakonfigurují Touch ID k odemknutí zařízení a na základě technologie Windows Hello pro firmy používají přihlašovací údaje odolné vůči phish. Díky tomu ušetříte organizacím zákazníků peníze tím, že odeberete potřebu klíčů zabezpečení a předáte cíle nulová důvěra (Zero Trust) s využitím integrace se zabezpečeným enklávem.

Přihlašovací údaje platformy pro macOS se dají použít také jako přihlašovací údaje odolné proti útokům phishing, které se dají použít v výzvách WebAuthn, včetně scénářů opětovného ověřování prohlížeče. Správci zásad ověřování musí povolit metodu ověřování FIDO2 (Passkey), která podporuje přihlašovací údaje platformy pro macOS jako přihlašovací údaje odolné proti útokům phishing. Pokud v zásadách FIDO používáte zásady omezení klíčů, musíte do seznamu povolených identifikátorů AAGUID pro platformu macOS přidat přihlašovací údaje AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

1. Uživatel odemkne macOS pomocí gesta otisku prstu nebo hesla, které odemkne klíčovou tašku a poskytne přístup k UserSecureEnclaveKey.
2. MacOS požaduje nepotřebné číslo (náhodné libovolné číslo, které lze použít jen jednou) z ID Microsoft Entra.
3. Id Microsoft Entra vrátí hodnotu, která je platná po dobu 5 minut.
4. Operační systém (OS) odešle žádost o přihlášení do Microsoft Entra ID s vloženým kontrolním výrazem podepsaným pomocí UserSecureEnclaveKey, který se nachází v zabezpečené enklávě.
5. Id Microsoft Entra ověří podepsaný kontrolní výraz pomocí bezpečně registrovaného veřejného klíče uživatele klíče UserSecureEnclave. ID Microsoft Entra ověří podpis a ne. Po ověření kontrolního výrazu vytvoří ID Microsoft Entra primární obnovovací token (PRT) šifrovaný pomocí veřejného klíče UserDeviceEncryptionKey, který se vymění během registrace a odešle odpověď zpět do operačního systému.
6. Operační systém dešifruje a ověří odpověď, načte tokeny jednotného přihlašování, uloží a sdílí ho s rozšířením jednotného přihlašování pro poskytování jednotného přihlašování. Uživatel má přístup k macOS, cloudu a místním aplikacím pomocí jednotného přihlašování.

Další informace o konfiguraci a nasazení přihlašovacích údajů platformy pro macOS najdete v článku o jednotném přihlašování platformy pro macOS.

Jednotné přihlašování platformy pro macOS pomocí čipové karty SmartCard

Jednotné přihlašování (PSSO) platformy pro macOS umožňuje uživatelům používat metodu ověřování čipové karty SmartCard bez hesla. Uživatel se k počítači přihlásí pomocí externí čipové karty nebo pevného tokenu kompatibilního s čipovou kartou (například Yubikey). Jakmile je zařízení odemknuté, použije se čipová karta s ID Microsoft Entra k udělení jednotného přihlašování napříč aplikacemi, které k ověřování pomocí ověřování pomocí certifikátů (CBA) používají ID Microsoft Entra. Aby tato funkce fungovala, musí být jazyk CBA nakonfigurovaný a povolený pro uživatele. Informace o konfiguraci CBA najdete v tématu Postup konfigurace ověřování založeného na certifikátech Microsoft Entra.

Pokud ho chcete povolit, musí správce nakonfigurovat jednotné přihlašování pomocí Microsoft Intune nebo jiného podporovaného řešení mobilních Správa zařízení (MDM).

1. Uživatel odemkne macOS pomocí špendlíku čipové karty, který odemkne čipovou kartu a tašku s klíčem, aby poskytoval přístup k registračním klíčům zařízení, které jsou přítomné v zabezpečené enklávě.
2. MacOS požaduje nepotřebné číslo (náhodné libovolné číslo, které lze použít pouze jednou) z ID Microsoft Entra.
3. Id Microsoft Entra vrátí hodnotu, která je platná po dobu 5 minut.
4. Operační systém (OS) odešle žádost o přihlášení do Microsoft Entra ID s vloženým kontrolním výrazem podepsaným certifikátem Microsoft Entra uživatele z čipové karty.
5. ID Microsoft Entra ověřuje podepsaný kontrolní výraz, podpis a nonce. Po ověření kontrolního výrazu vytvoří ID Microsoft Entra primární obnovovací token (PRT) šifrovaný pomocí veřejného klíče UserDeviceEncryptionKey, který se vymění během registrace a odešle odpověď zpět do operačního systému.
6. Operační systém dešifruje a ověří odpověď, načte tokeny jednotného přihlašování, uloží a sdílí ho s rozšířením jednotného přihlašování pro poskytování jednotného přihlašování. Uživatel má přístup k macOS, cloudu a místním aplikacím pomocí jednotného přihlašování.

Microsoft Authenticator

Můžete také povolit, aby se telefon zaměstnance stal metodou ověřování bez hesla. Aplikaci Authenticator už můžete používat jako praktickou možnost vícefaktorového ověřování kromě hesla. Aplikaci Authenticator můžete použít také jako možnost bez hesla.

Aplikace Authenticator změní jakýkoli telefon s iOSem nebo Androidem na silné přihlašovací údaje bez hesla. Uživatelé se můžou přihlásit k libovolné platformě nebo prohlížeči tím, že dostanou oznámení na svůj telefon, které odpovídá číslu zobrazenému na obrazovce, na té na telefonu. Pak můžou k potvrzení použít biometrické údaje (dotyk nebo tvář) nebo PIN kód. Podrobnosti o instalaci najdete v tématu Stažení a instalace aplikace Microsoft Authenticator.

Ověřování bez hesla pomocí aplikace Microsoft Authenticator se řídí stejným základním vzorem jako Windows Hello pro firmy. Je to trochu složitější, protože uživatel musí být identifikován, aby ID Microsoft Entra mohl najít používanou verzi aplikace Authenticator:

1. Uživatel zadá své uživatelské jméno.
2. Microsoft Entra ID zjistí, že uživatel má silné přihlašovací údaje a spustí tok Silné přihlašovací údaje.
3. Oznámení se do aplikace odešle prostřednictvím služby Apple Push Notification Service (APNS) na zařízeních s iOSem nebo prostřednictvím Firebase Cloud Messaging (FCM) na zařízeních s Androidem.
4. Uživatel obdrží nabízené oznámení a otevře aplikaci.
5. Aplikace volá ID Microsoft Entra a přijímá výzvu k ověření přítomnosti a ne.
6. Uživatel tuto výzvu dokončí zadáním biometrického kódu nebo PIN kódu k odemknutí privátního klíče.
7. Nonce je podepsáno privátním klíčem a odesláno zpět do Microsoft Entra ID.
8. Id Microsoft Entra provádí ověření veřejného nebo privátního klíče a vrací token.

Pokud chcete začít s přihlašováním bez hesla, postupujte následovně:

Povolení přihlašování bez hesla pomocí aplikace Authenticator

Klíče (FIDO2)

Uživatelé můžou zaregistrovat klíč (FIDO2) a zvolit ho jako primární metodu přihlašování. U hardwarového zařízení, které zpracovává ověřování, se zvyšuje zabezpečení účtu, protože neexistuje žádné heslo, které by bylo možné vystavit nebo odhadnout. V současné době může správce ověřování zřídit zabezpečení FIDO2 jménem uživatele pomocí rozhraní Microsoft Graph API a vlastního klienta. Zřizování jménem uživatelů je v současné době omezeno na klíče zabezpečení.

FiDO (Fast IDentity Online) Alliance pomáhá podporovat otevřené ověřovací standardy a omezit používání hesel jako formu ověřování. FIDO2 je nejnovější standard, který zahrnuje standard webového ověřování (WebAuthn). FIDO umožňuje organizacím použít standard WebAuthn pomocí externího klíče zabezpečení nebo klíče platformy integrovaného do zařízení pro přihlášení bez uživatelského jména nebo hesla.

Klíče zabezpečení FIDO2 jsou metodou ověřování bez hesla, která je založená na nephishable standardech, která může přijít v jakémkoliv provedení. Běžně se jedná o zařízení USB, ale můžou také používat bluetooth nebo bezkontaktní komunikaci (NFC). Klíče (FIDO2) jsou založené na stejném standardu WebAuthn a dají se uložit v Authenticatoru nebo na mobilních zařízeních, tabletech nebo počítačích.

Klíče zabezpečení FIDO2 se dají použít k přihlášení ke svému ID Microsoft Entra nebo zařízením s Windows 10 hybridním připojením Microsoft Entra a získat jednotné přihlašování ke svým cloudovým a místním prostředkům. Uživatelé se také můžou přihlásit k podporovaným prohlížečům. Klíče zabezpečení FIDO2 jsou skvělou volbou pro podniky, které jsou velmi citlivé na zabezpečení nebo mají scénáře nebo zaměstnance, kteří nejsou ochotni nebo nemůžou používat telefon jako druhý faktor.

Další informace o podpoře klíče (FIDO2) najdete v tématu Podpora ověřování pomocí klíče (FIDO2) s ID Microsoft Entra. Osvědčené postupy pro vývojáře najdete v tématu Podpora ověřování FIDO2 v aplikacích, které vyvíjejí.

Následující proces se používá, když se uživatel přihlásí pomocí klíče zabezpečení FIDO2:

1. Uživatel připojí klíč zabezpečení FIDO2 do svého počítače.
2. Systém Windows zjistí klíč zabezpečení FIDO2.
3. Systém Windows odešle žádost o ověření.
4. Microsoft Entra ID odešle zpět nonce.
5. Uživatel dokončí gesto odemknutí privátního klíče uloženého v zabezpečené enklávě klíče zabezpečení FIDO2.
6. Klíč zabezpečení FIDO2 podepíše nece s privátním klíčem.
7. Požadavek na token primární aktualizace (PRT) s podepsaným nonce se odešle na ID Microsoft Entra.
8. ID Microsoft Entra ověřuje podepsané nonce pomocí veřejného klíče FIDO2.
9. Microsoft Entra ID vrátí PRT, aby bylo možné povolit přístup k místním prostředkům.

Seznam zprostředkovatelů klíčů zabezpečení FIDO2 najdete v tématu Staňte se dodavatelem klíče zabezpečení kompatibilního s rozhraním FIDO2 kompatibilním s Microsoftem.

Pokud chcete začít používat klíče zabezpečení FIDO2, postupujte následovně:

Povolení přihlašování bez hesla pomocí klíčů zabezpečení FIDO2

Ověřování pomocí certifikátů

Ověřování založené na certifikátech Microsoft Entra (CBA) umožňuje zákazníkům povolit nebo vyžadovat, aby se uživatelé ověřili přímo pomocí certifikátů X.509 vůči jejich ID Microsoft Entra pro aplikace a přihlašování v prohlížeči. CBA umožňuje zákazníkům přijmout ověřování odolné proti útokům phishing a přihlásit se pomocí certifikátu X.509 proti infrastruktuře veřejných klíčů (PKI).

Klíčové výhody používání jazyka Microsoft Entra CBA

Zaměstnanecké výhody	Popis
Skvělé uživatelské prostředí	– Uživatelé, kteří potřebují ověřování založené na certifikátech, se teď můžou přímo ověřit na základě ID Microsoft Entra a nemusí investovat do federace. – Uživatelské rozhraní portálu umožňuje uživatelům snadno nakonfigurovat, jak mapovat pole certifikátů na atribut objektu uživatele, aby vyhledali uživatele v tenantovi (vazby uživatelského jména certifikátu). – Uživatelské rozhraní portálu pro konfiguraci zásad ověřování, které vám pomůže určit, které certifikáty jsou jednofaktorové a vícefaktorové.
Snadné nasazení a správa	– Microsoft Entra CBA je bezplatná funkce a k jeho použití nepotřebujete žádné placené edice Microsoft Entra ID. – Není nutné provádět složitá místní nasazení ani konfiguraci sítě. – Přímé ověření vůči ID Microsoft Entra.
Zabezpečení	– Místní hesla nemusí být uložená v cloudu v žádném formuláři. – Chrání vaše uživatelské účty tím, že bezproblémově pracuje se zásadami podmíněného přístupu Microsoft Entra, včetně vícefaktorového ověřování odolného proti útokům phishing (MFA vyžaduje licencovanou edici) a blokuje starší ověřování. – Podpora silného ověřování, kde můžou uživatelé definovat zásady ověřování prostřednictvím polí certifikátů, jako jsou vystavitel nebo identifikátory zásad (identifikátory objektů), určit, které certifikáty mají nárok na jednofaktorové a vícefaktorové. – Tato funkce bezproblémově funguje s funkcemi podmíněného přístupu a schopností ověřování vynucovat vícefaktorové ověřování, aby pomohla zabezpečit uživatele.

Podporované scénáře

Podporovány jsou následující scénáře:

• Přihlášení uživatelů k aplikacím založeným na webovém prohlížeči na všech platformách
• Přihlášení uživatelů k mobilním aplikacím Office na platformách iOS/Android a nativních aplikacích Office ve Windows, včetně Outlooku, OneDrivu atd.
• Přihlášení uživatelů v mobilních nativních prohlížečích
• Podpora podrobných pravidel ověřování pro vícefaktorové ověřování pomocí identifikátorů OID vystavitele certifikátu a identifikátorů OID zásad
• Konfigurace vazeb účtů mezi certifikáty pomocí libovolného pole certifikátu:
  • Alternativní název subjektu (SAN) PrincipalName a SAN RFC822Nare
  • Identifikátor klíče předmětu (SKI) a SHA1PublicKey
• Konfigurace vazeb účtu typu certificate-to-user pomocí libovolného atributu objektu uživatele:
  • Hlavní název uživatele (UPN)
  • onPremisesUserPrincipalName
  • CertificateUserIds

Podporované scénáře

Vezměte na vědomí následující:

• Správci můžou pro svého tenanta povolit metody ověřování bez hesla.
• Správci můžou cílit na všechny uživatele nebo vybrat uživatele nebo skupiny zabezpečení v rámci svého tenanta pro každou metodu.
• Uživatelé můžou tyto metody ověřování bez hesla zaregistrovat a spravovat na portálu účtu.
• Uživatelé se můžou přihlásit pomocí těchto metod ověřování bez hesla:
  • Ověřovací aplikace: Funguje ve scénářích, ve kterých se používá ověřování Microsoft Entra, včetně všech prohlížečů, během instalace Windows 10 a integrovaných mobilních aplikací v jakémkoli operačním systému.
  • Klíče zabezpečení: Práce na zamykací obrazovce pro Windows 10 a na webu v podporovaných prohlížečích, jako je Microsoft Edge (starší i nový Edge).
• Uživatelé můžou používat přihlašovací údaje bez hesla pro přístup k prostředkům v tenantech, kde jsou hostem, ale přesto můžou být potřeba k provádění vícefaktorového ověřování v daném tenantovi prostředků. Další informace naleznete v tématu Možné dvojité vícefaktorové ověřování.
• Uživatelé nemůžou v rámci tenanta zaregistrovat přihlašovací údaje bez hesla, stejně jako nemají v daném tenantovi spravované heslo.

Nepodporované scénáře

Pro každou metodu bez hesla pro jakýkoli uživatelský účet doporučujeme maximálně 20 sad klíčů. Při přidání dalších klíčů se zvětší velikost objektu uživatele a u některých operací si můžete všimnout snížení výkonu. V takovém případě byste měli odebrat nepotřebné klíče. Další informace a rutiny PowerShellu pro dotazování a odebrání klíčů najdete v modulu WHfBTools PowerShellu pro čištění osamocených klíčů Windows Hello pro firmy. Volitelný parametr /UserPrincipalName slouží k dotazování pouze klíčů pro konkrétního uživatele. Požadovaná oprávnění se musí spouštět jako správce nebo zadaný uživatel.

Když k vytvoření souboru CSV se všemi existujícími klíči použijete PowerShell, pečlivě identifikujte klíče, které potřebujete zachovat, a odeberte tyto řádky ze sdíleného svazku clusteru. Potom pomocí upraveného sdíleného svazku clusteru s PowerShellem odstraňte zbývající klíče, aby byl počet klíčů účtu pod limitem.

Je bezpečné odstranit jakýkoli klíč hlášený jako osamocený="True" ve sdíleném svazku clusteru. Osamocený klíč je jeden pro zařízení, které už není zaregistrované v Microsoft Entra ID. Pokud odebrání všech osamocených objektů stále nepřináší uživatelský účet pod limit, je nutné se podívat na sloupce DeviceId a CreationTime , abyste zjistili, které klíče se mají cílit na odstranění. Dávejte pozor, abyste odebrali libovolný řádek ve sdíleném svazku clusteru pro klíče, které chcete zachovat. Klíče pro jakékoli ID zařízení odpovídající zařízením, která uživatel aktivně používá, by se měly odebrat ze sdíleného svazku clusteru před krokem odstranění.

Volba metody bez hesla

Volba mezi těmito třemi možnostmi bez hesla závisí na požadavcích vaší společnosti na zabezpečení, platformu a aplikaci.

Tady jsou některé faktory, které byste měli zvážit při volbě technologie Microsoftu bez hesla:

	Windows Hello pro firmy	Přihlášení bez hesla pomocí aplikace Authenticator	Klíče zabezpečení FIDO2
Požadavky	Windows 10 verze 1809 nebo novější Microsoft Entra ID	Aplikace Authenticator Telefon (zařízení s iOSem a Androidem)	Windows 10 verze 1903 nebo novější Microsoft Entra ID
Režim	Platforma	Software	Hardware
Systémy a zařízení	Počítač s integrovaným modulem TPM (Trusted Platform Module) Rozpoznávání PIN kódu a biometrických údajů	Rozpoznávání PIN kódu a biometrických údajů na telefonu	Zařízení zabezpečení FIDO2 kompatibilní s Microsoftem
Uživatelské prostředí	Přihlaste se pomocí PIN kódu nebo biometrického rozpoznávání (obličeje, duhovky nebo otisku prstu) na zařízeních s Windows. Ověřování Windows Hello je svázané se zařízením; Uživatel potřebuje pro přístup k firemním prostředkům zařízení i přihlašovací komponentu, jako je PIN nebo biometrický faktor.	Přihlaste se pomocí mobilního telefonu pomocí skenování otisků prstů, rozpoznávání obličeje nebo duhovky nebo PIN kódu. Uživatelé se přihlašují k pracovnímu nebo osobnímu účtu ze svého počítače nebo mobilního telefonu.	Přihlášení pomocí zabezpečovacího zařízení FIDO2 (biometrické údaje, PIN kód a NFC) Uživatel má přístup k zařízení na základě ovládacích prvků organizace a ověřování na základě PIN kódu, biometrických údajů pomocí zařízení, jako jsou bezpečnostní klíče USB a čipové karty s podporou NFC, klíče nebo opotřebení.
Povolené scénáře	Prostředí bez hesla u zařízení s Windows Platí pro vyhrazený pracovní počítač se schopností jednotného přihlašování k zařízením a aplikacím.	Řešení bez hesla kdekoli pomocí mobilního telefonu Platí pro přístup k pracovním nebo osobním aplikacím na webu z libovolného zařízení.	Prostředí bez hesla pro pracovníky používající biometrické údaje, PIN kód a NFC Platí pro sdílené počítače a v případě, že mobilní telefon není použitelnou možností (například pro pracovníky helpdesku, veřejný terminál nebo tým nemocnice).

Pomocí následující tabulky vyberte, která metoda podporuje vaše požadavky a uživatele.

Osoba	Scénář	Prostředí	Technologie bez hesla
Správa	Zabezpečený přístup k zařízení pro úlohy správy	Přiřazené zařízení s Windows 10	Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Správa	Úlohy správy na zařízeních s jiným systémem než Windows	Mobilní nebo jiné zařízení s Windows	Přihlášení bez hesla pomocí aplikace Authenticator
Informační pracovník	Produktivita práce	Přiřazené zařízení s Windows 10	Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Informační pracovník	Produktivita práce	Mobilní nebo jiné zařízení s Windows	Přihlášení bez hesla pomocí aplikace Authenticator
Frontline worker	Veřejné terminály v továrně, závodu, maloobchodě nebo položce dat	Sdílená zařízení s Windows 10	Klíče zabezpečení FIDO2

Další kroky

Pokud chcete začít používat bez hesla v Microsoft Entra ID, proveďte jeden z následujících postupů:

• Povolení přihlašování bez hesla pomocí klíče zabezpečení FIDO2
• Povolení přihlašování bez hesla založeného na telefonu pomocí aplikace Authenticator

Externí odkazy

• FIDO Alliance
• Specifikace PROTOKOLU CTAP (Client to Authenticator Protocol) FIDO2