Rugalmasság kiépítése hitelesítő adatok kezelésével
Ha egy hitelesítő adatot egy jogkivonat-kérelemben mutat be a Microsoft Entra-azonosító, több függőségnek is rendelkezésre kell állnia az ellenőrzéshez. Az első hitelesítési tényező a Microsoft Entra-hitelesítésre és bizonyos esetekben a helyszíni infrastruktúrára támaszkodik. A hibrid hitelesítési architektúrákkal kapcsolatos további információkért lásd : Build resilience in your hybrid infrastructure.
Ha egy második tényezőt implementál, a második tényező függőségei hozzá lesznek adva az elsőhöz tartozó függőségekhez. Ha például az első tényező pTA-on keresztül történik, és a második tényező az SMS, a függőségek a következők.
- Microsoft Entra hitelesítési szolgáltatások
- Microsoft Entra többtényezős hitelesítési szolgáltatás
- Helyszíni infrastruktúra
- Telefon szolgáltató
- A felhasználó eszköze (nem a képen)
A hitelesítőadat-stratégiának figyelembe kell vennie az egyes hitelesítési típusok és kiépítési módszerek függőségeit, amelyek elkerülik az egyetlen meghibásodási pontot.
Mivel a hitelesítési módszerek különböző függőségekkel rendelkeznek, célszerű engedélyezni a felhasználók számára, hogy a lehető legtöbb második tényezős beállításra regisztráljanak. Ha lehetséges, vegye figyelembe a különböző függőségekkel rendelkező második tényezőket is. Például a hanghívás és az SMS, mint második tényező ugyanazokkal a függőségekkel rendelkezik, így az egyetlen lehetőségként való használata nem csökkenti a kockázatokat.
A legrugalmasabb hitelesítőadat-stratégia a jelszó nélküli hitelesítés használata. Vállalati Windows Hello és FIDO 2.0 biztonsági kulcsok kevesebb függőséget, mint erős hitelesítés két külön tényező. A Microsoft Authenticator alkalmazás, a Vállalati Windows Hello és a FIDO 2.0 biztonsági kulcsok a legbiztonságosabbak.
A második tényező, hogy a Microsoft Authenticator alkalmazás vagy más hitelesítő alkalmazás időalapú egyszeri pin-kóddal (TOTP) vagy OAuth hardveres jogkivonatokkal rendelkezik a legkevesebb függőségtel, ezért rugalmasabbak.
Hogyan segíthet több hitelesítő adat a rugalmasságban?
Több hitelesítő adattípus kiépítése olyan lehetőségeket biztosít a felhasználóknak, amelyek alkalmazkodnak a beállításokhoz és a környezeti korlátozásokhoz. Ennek eredményeképpen az interaktív hitelesítés, ahol a felhasználók többtényezős hitelesítést kérnek, rugalmasabbak lesznek az adott függőségekkel szemben, amelyek a kérés időpontjában nem érhetők el. Optimalizálhatja az újrahitelesítési kéréseket a többtényezős hitelesítéshez.
A fentiekben ismertetett egyéni felhasználói rugalmasság mellett a vállalatoknak nagy léptékű fennakadásokra, például olyan működési hibákra kell tervezniük, amelyek helytelen konfigurációt, természeti katasztrófát vagy nagyvállalati szintű erőforráskimaradást okoznak egy helyszíni összevonási szolgáltatásban (különösen akkor, ha többtényezős hitelesítésre használják).
Hogyan rugalmas hitelesítő adatokat implementálni?
- A függőségek csökkentése érdekében helyezzen üzembe jelszó nélküli hitelesítő adatokat, például Vállalati Windows Hello, Telefon hitelesítést és FIDO2 biztonsági kulcsokat.
- A Microsoft Authenticator alkalmazás üzembe helyezése második tényezőként.
- A Windows Server Active Directoryból szinkronizált hibrid fiókok jelszókivonat-szinkronizálásának bekapcsolása. Ez a beállítás az összevonási szolgáltatások, például a Active Directory összevonási szolgáltatások (AD FS) (AD FS) mellett engedélyezhető, és tartalékot biztosít arra az esetre, ha az összevonási szolgáltatás meghiúsul.
- Elemezze a többtényezős hitelesítési módszerek használatát a felhasználói élmény javítása érdekében.
- Rugalmas hozzáférés-vezérlési stratégia megvalósítása
További lépések
Erőforrások rugalmassága rendszergazdák és építészek számára
- Rugalmasság kiépítése eszközállapotokkal
- Rugalmasság kiépítése folyamatos hozzáférés-kiértékeléssel (CAE)
- Rugalmasság kiépítése külső felhasználói hitelesítésben
- Rugalmasság kiépítése a hibrid hitelesítésben
- Rugalmasság kiépítése az alkalmazáshozzáférésben a alkalmazásproxy