Začínáme s nasazením ověřování bez hesla odolného proti útokům phishing v Microsoft Entra ID
Hesla jsou primárním vektorem útoku pro moderní nežádoucí uživatele a zdroj tření pro uživatele a správce. V rámci celkové strategie zabezpečení nulová důvěra (Zero Trust) microsoft doporučuje v řešení ověřování přejít na útoky phishing odolné proti heslům. Tato příručka vám pomůže vybrat, připravit a nasadit správné přihlašovací údaje bez hesla odolné proti útokům phishing pro vaši organizaci. Pomocí tohoto průvodce můžete naplánovat a spustit projekt bez hesla odolný proti útokům phishing.
Funkce, jako je vícefaktorové ověřování (MFA), představují skvělý způsob zabezpečení vaší organizace. Uživatelé se ale často frustrují další vrstvou zabezpečení nad jejich potřebou pamatovat si hesla. Metody ověřování bez hesla odolné proti útokům phishing jsou pohodlnější. Analýza uživatelských účtů Microsoftu například ukazuje, že přihlášení pomocí hesla může v průměru trvat až 9 sekund, ale ve většině případů trvá přístupové klíče přibližně 3 sekundy. Rychlost a jednoduchost přihlašování pomocí klíče je ještě větší ve srovnání s tradičním heslem a přihlášením K vícefaktorovým ověřováním. Uživatelé s klíči si nemusí vzpomenout na heslo nebo čekat na zprávy SMS.
Poznámka:
Tato data jsou založená na analýze přihlášení uživatelských účtů Microsoft.
Metody bez hesla odolné proti útokům phishing mají také dodatečné zabezpečení zapečetěné. Automaticky se počítají jako MFA pomocí něčeho, co má uživatel (fyzické zařízení nebo bezpečnostní klíč) a něco, co uživatel ví nebo je, například biometrický kód nebo PIN kód. A na rozdíl od tradičních vícefaktorových ověřování vyměšují útoky phishing proti vašim uživatelům pomocí hardwarových přihlašovacích údajů, které se nedají snadno ohrozit.
Microsoft Entra ID nabízí následující možnosti ověřování bez hesla odolné proti útokům phishing:
- Klíče (FIDO2)
- Windows Hello pro firmy
- Přihlašovací údaje platformy pro macOS (Preview)
- Klíče aplikace Microsoft Authenticator (Preview)
- Klíče zabezpečení FIDO2
- Další klíče a poskytovatelé, jako je klíčník iCloudu – v plánu
- Ověřování na základě certifikátů / čipové karty
Požadavky
Před zahájením projektu nasazení bez hesla odolného proti útokům phishing společnosti Microsoft Entra proveďte tyto požadavky:
- Kontrola licenčních požadavků
- Kontrola rolí potřebných k provádění privilegovaných akcí
- Identifikace zúčastněných týmů, které potřebují spolupracovat
Požadavky na licenci
Registrace a přihlášení bez hesla pomocí Microsoft Entra nevyžaduje licenci, ale pro úplnou sadu funkcí přidružených k nasazení bez hesla doporučujeme aspoň licenci Microsoft Entra ID P1. Například licence Microsoft Entra ID P1 pomáhá vynucovat přihlášení bez hesla prostřednictvím podmíněného přístupu a sledovat nasazení pomocí sestavy aktivity metody ověřování. Konkrétní licenční požadavky najdete v pokynech k licenčním požadavkům pro funkce, na které odkazuje tato příručka.
Integrace aplikací s Microsoft Entra ID
Microsoft Entra ID je cloudová služba pro správu identit a přístupu (IAM), která se integruje s mnoha typy aplikací, včetně aplikací Typu software jako služba (SaaS), obchodních aplikací (LOB), místních aplikací a dalších. Potřebujete integrovat své aplikace s Microsoft Entra ID, abyste získali největší výhodu z vaší investice do ověřování bez hesla a ověřování odolného proti útokům phishing. Při integraci více aplikací s Microsoft Entra ID můžete chránit více prostředí pomocí zásad podmíněného přístupu, které vynucují použití metod ověřování odolných proti útokům phishing. Další informace o tom, jak integrovat aplikace s ID Microsoft Entra, najdete v pěti krocích integrace aplikací s Microsoft Entra ID.
Při vývojivlastníchchm útokům postupujte podle pokynů pro vývojáře. Další informace najdete v tématu Podpora ověřování bez hesla pomocí klíčů FIDO2 v aplikacích, které vyvíjíte.
Požadované role
Následující tabulka uvádí požadavky na nejméně privilegované role pro nasazení bez hesla odolné proti útokům phishing. Pro všechny privilegované účty doporučujeme povolit ověřování bez hesla odolné proti útokům phishing.
| Role Microsoft Entra | Popis |
|---|---|
| Správce uživatelů | Implementace kombinovaného prostředí registrace |
| Správce ověřování | Implementace a správa metod ověřování |
| Správce zásad ověřování | Implementace a správa zásad metod ověřování |
| Uživatelská | Konfigurace aplikace Authenticator na zařízení; registrace zařízení s klíčem zabezpečení pro přihlášení k webu nebo Windows 10/11 |
Týmy zúčastněných stran zákazníků
Abyste zajistili úspěch, ujistěte se, že se účastníte správných zúčastněných stran a že před zahájením plánování a zavádění rozumí jejich rolím. Následující tabulka uvádí běžně doporučené týmy účastníků.
| Tým účastníků | Popis |
|---|---|
| Správa identit a přístupu (IAM) | Spravuje každodenní provoz systému IAM. |
| Architektura zabezpečení informací | Plány a návrhy postupů zabezpečení informací organizace |
| Operace zabezpečení informací | Spuštění a monitorování postupů zabezpečení informací pro architekturu zabezpečení informací |
| Zajištění zabezpečení a audit | Pomáhá zajistit, aby procesy IT byly zabezpečené a vyhovující. Provádějí pravidelné audity, vyhodnocují rizika a doporučují bezpečnostní opatření ke zmírnění zjištěných ohrožení zabezpečení a zlepšení celkového stavu zabezpečení. |
| HelpDesk a podpora | Pomáhá koncovým uživatelům, kteří při nasazování nových technologií a zásad narazí na problémy nebo při výskytu problémů. |
| Komunikace koncových uživatelů | Zprávy se mění koncovým uživatelům při přípravě na pomoc při zavádění uživatelských technologií |
Další kroky
Nasazení ověřování bez hesla odolného proti útokům phishing v MICROSOFT Entra ID