Hitelesítési módszerek a Microsoft Entra ID - Microsoft Authenticator alkalmazásban
A Microsoft Authenticator alkalmazás egy újabb biztonsági szintet biztosít a Microsoft Entra munkahelyi vagy iskolai fiókjához vagy a Microsoft-fiókjához, és androidos és iOS rendszeren is elérhető. A Microsoft Authenticator alkalmazással a felhasználók jelszó nélküli hitelesítést végezhetnek a bejelentkezés során, vagy egy másik ellenőrzési lehetőséget az önkiszolgáló jelszó-visszaállítás (SSPR) vagy a többtényezős hitelesítési események során.
Mostantól használhat hozzáférési kulcsokat a felhasználói hitelesítéshez. A felhasználók ezután értesítést kaphatnak a mobilalkalmazásukon keresztül, hogy jóváhagyják vagy megtagadják az Authenticator alkalmazást egy OATH ellenőrző kód létrehozásához. Ez a kód ezután beírható egy bejelentkezési felületen. Ha engedélyezi az értesítési és ellenőrző kódot is, az Authenticator alkalmazást regisztráló felhasználók bármelyik módszerrel ellenőrizhetik identitásukat a hitelesítő kulcsok használatával.
Feljegyzés
A Microsoft Authenticator hozzáférésikulcs-támogatásának előkészítésekor a felhasználók az Authenticatort hozzáférésikulcs-szolgáltatóként tekinthetik iOS- és Android-eszközökön. További információ: Passkey sign-in (előzetes verzió).
Ha az Authenticator alkalmazást felhasználónév és jelszó kombináció helyett bejelentkezési kérdésben szeretné használni, olvassa el a Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával című témakört.
Feljegyzés
- A felhasználók nem regisztrálhatják mobilalkalmazásukat az SSPR engedélyezésekor. Ehelyett a felhasználók regisztrálhatják mobilalkalmazásukat https://aka.ms/mfasetup a kombinált biztonsági adatok regisztrációjának részeként a következő helyen https://aka.ms/setupsecurityinfo: .
- Előfordulhat, hogy az Authenticator alkalmazás nem támogatott az iOS és az Android bétaverzióiban. Emellett 2023. október 20-tól az Android Authenticator alkalmazás már nem támogatja az Android Céges portál régebbi csúcsait. A 2111-es (5.0.5333.0-s) verzió alatti Céges portál verziójú Android-felhasználók nem regisztrálhatnak vagy regisztrálhatnak új Authenticator-példányokat, amíg nem frissítik Céges portál alkalmazásukat egy újabb verzióra.
Jelszókulcsos bejelentkezés (előzetes verzió)
Az Authenticator egy ingyenes hozzáférési kulcsos megoldás, amellyel a felhasználók jelszó nélküli adathalászat-rezisztens hitelesítéseket végezhetnek a saját telefonjukról. A hitelesítő kulcsok az Authenticator alkalmazásban való használatának néhány fő előnye:
- A hozzáférési kulcsok nagy méretekben egyszerűen üzembe helyezhetők. Ezután a hozzáférési kulcsok elérhetők a felhasználó telefonján a mobileszköz-kezeléshez (MDM) és saját eszköz (BYOD) forgatókönyvekhez.
- Az Authenticator kulcsai nem járnak több költséggel, és bárhová is utaznak a felhasználóval.
- Az Authenticator hozzáférési kulcsai eszközhöz kötöttek, így a hozzáférési kulcs nem hagyja meg azt az eszközt, amelyen létrehozta.
- A felhasználók naprakészek maradnak a legújabb, nyílt WebAuthn-szabványokon alapuló, kulcsrakész innovációval.
- A vállalatok más képességeket is rétegezhetnek a hitelesítési folyamatok, például a FIPS 140-megfelelőség mellett.
Eszközhöz kötött hozzáférési kulcs
Az Authenticator alkalmazásban lévő kulcsok eszközhöz vannak kötve, hogy soha ne hagyják el azt az eszközt, amelyen létrehozták őket. Egy iOS-eszközön az Authenticator a Secure Enclave használatával hozza létre a hozzáférési kulcsot. Android rendszeren létrehozzuk a jelszót a Biztonságos elemben az azt támogató eszközökön, vagy visszaállunk a megbízható végrehajtási környezetre (T Enterprise kiadás).
A hitelesítő kulcs igazolásának működése az Authenticator használatával
Egyelőre az Authenticatorban a hitelesítő kulcsok nincsenek tesztelve. A hitelesítő kulcsok hitelesítésének támogatása az Authenticatorban egy későbbi kiadásra készül.
Hozzáférési kulcsok biztonsági mentése és visszaállítása az Authenticatorban
Az Authenticator kulcsainak biztonsági mentése nem sikerült, és nem állíthatók vissza új eszközön. Ha új eszközön szeretne hozzáférési kulcsokat létrehozni, használja a jelszót egy régebbi eszközön, vagy használjon másik hitelesítési módszert a hozzáférési kulcs újbóli létrehozásához.
Jelszó nélküli bejelentkezés
A felhasználónév megadása után a jelszó kérése helyett az Authenticator alkalmazásból a telefonos bejelentkezést engedélyező felhasználók egy üzenetet látnak, amely egy számot ír be az alkalmazásba. A megfelelő szám kiválasztása után a bejelentkezési folyamat befejeződött.
Ez a hitelesítési módszer magas szintű biztonságot nyújt, és szükségtelenné teszi, hogy a felhasználó jelszót adjon meg a bejelentkezéskor.
A jelszó nélküli bejelentkezés használatának megkezdéséhez tekintse meg a Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával című témakört.
Értesítés mobilalkalmazásban
Az Authenticator alkalmazás segíthet megelőzni a fiókokhoz való jogosulatlan hozzáférést, és az okostelefonra vagy táblagépre küldött értesítés küldésével meg tudja állítani a hamis tranzakciókat. A felhasználók megtekintik az értesítést, és ha az jogszerű, válassza az Ellenőrzés lehetőséget. Ellenkező esetben választhatják a Megtagadás lehetőséget.
Feljegyzés
2023 augusztusától kezdődően a rendellenes bejelentkezések nem hoznak létre értesítéseket, hasonlóan ahhoz, ahogyan a ismeretlen helyekről érkező bejelentkezések nem hoznak létre értesítéseket. A rendellenes bejelentkezés jóváhagyásához a felhasználók megnyithatják a Microsoft Authenticatort vagy az Authenticator Lite-ot egy megfelelő társalkalmazásban, például az Outlookban. Ezután lekérhetik a frissítést, vagy koppintson a Frissítés gombra, és jóváhagyhatják a kérést.
Kínában az Android-eszközökön a mobilalkalmazáson keresztüli értesítési módszer nem működik, mivel a Google Play-szolgáltatások (beleértve a leküldéses értesítéseket) le vannak tiltva a régióban. Az iOS-értesítések azonban működnek. Android-eszközök esetén alternatív hitelesítési módszereket kell elérhetővé tenni a felhasználók számára.
Ellenőrző kód mobilalkalmazásból
Az Authenticator alkalmazás szoftveres jogkivonatként használható OATH ellenőrző kód létrehozásához. A felhasználónév és a jelszó megadása után beírja az Authenticator alkalmazás által megadott kódot a bejelentkezési felületre. Az ellenőrzőkód egy második hitelesítési módként szolgál.
Feljegyzés
Az Authenticator által létrehozott OATH ellenőrzési kódok nem támogatottak a tanúsítványalapú hitelesítéshez.
A felhasználók legfeljebb öt OATH hardverjogkivonat vagy hitelesítő alkalmazás kombinációjával rendelkezhetnek, például az Authenticator alkalmazással, amely bármikor konfigurálva van a használatra.
FIPS 140-kompatibilis a Microsoft Entra-hitelesítéshez
Az NIST SP 800-63B-ben ismertetett irányelveknek megfelelően az egyesült államokbeli kormányzati szervek által használt hitelesítőknek FIPS 140 által hitelesített titkosítást kell használniuk. Ez az útmutató segítséget nyújt az amerikai kormányzati szerveknek az 14028-ra vonatkozó végrehajtási rendelet (EO) követelményeinek való megfelelésben. Ezen túlmenően ez az iránymutatás segít más szabályozott iparágaknak, például az elektronikus vényekkel foglalkozó egészségügyi szervezeteknek a szabályozott anyagokra (EPCS) vonatkozó jogszabályi követelményeknek való megfelelésben.
A FIPS 140 egy amerikai kormányzati szabvány, amely meghatározza az informatikai termékek és rendszerek titkosítási moduljainak minimális biztonsági követelményeit. A titkosítási modul érvényesítési programja (CMVP) fenntartja a FIPS 140 szabvány szerinti tesztelést.
Microsoft Authenticator iOS-hez
A 6.6.8-es verziótól kezdve az iOS Microsoft Authenticator a fiPS által ellenőrzött fips-titkosításhoz használt natív Apple CoreCrypto modult használja az Apple iOS FIPS 140-kompatibilis eszközökön. Az adathalászatnak ellenálló, eszközhöz kötött hozzáférési kulcsokat, többtényezős leküldéses hitelesítéseket (MFA), jelszó nélküli telefonos bejelentkezést (PSI) és az időalapú egyszeri pin-kódokat (TOTP) használó Összes Microsoft Entra-hitelesítés a FIPS-titkosítást használja.
A fips 140 által ellenőrzött titkosítási modulokkal és a megfelelő iOS-eszközökkel kapcsolatos további információkért lásd az Apple iOS biztonsági tanúsítványait.
Feljegyzés
A cikk előző verziójának új frissítései: A Microsoft Authenticator még nem felel meg a FIPS 140-nek Android rendszeren. Az Androidon futó Microsoft Authenticator jelenleg FIPS-megfelelőségi tanúsítványra van függőben, hogy támogassa azokat az ügyfeleket, akik fips által ellenőrzött titkosítást igényelhetnek.
A Microsoft Authenticator regisztrációs típusának meghatározása a biztonsági adatokban
A felhasználók hozzáférhetnek a Saját biztonsági adatokhoz (lásd a következő szakaszban található URL-címeket), vagy a MyAccount biztonsági adatainak kiválasztásával további Microsoft Authenticator-regisztrációkat kezelhetnek és adhatnak hozzá. Bizonyos ikonokkal megkülönböztethető, hogy a Microsoft Authenticator regisztrációja jelszó nélküli telefonos bejelentkezés vagy MFA- vagy MFA-e.
| Hitelesítő regisztrációs típusa | Ikon |
|---|---|
| Microsoft Authenticator: Jelszó nélküli telefonos bejelentkezés |  |
| Microsoft Authenticator: (Értesítés/Kód) |  |
MySecurityInfo-hivatkozások
| Felhőbeli | MySecurityInfo URL-címe |
|---|---|
| Azure commercial (a GCC-t is beleértve) | https://aka.ms/MySecurityInfo |
| Azure for US Government (beleértve a GCC High-t és a DoD-t) | https://aka.ms/MySecurityInfo-us |
Frissítések az Authenticatorhoz
A Microsoft folyamatosan frissíti az Authenticatort a magas szintű biztonság fenntartása érdekében. Annak érdekében, hogy a felhasználók a lehető legjobb élményt kapják, javasoljuk, hogy folyamatosan frissítse az Authenticator alkalmazást. Kritikus biztonsági frissítések esetén a nem naprakész alkalmazásverziók működése megszűnhet, és megakadályozhatja, hogy a felhasználók elvégezzék a hitelesítésüket. Ha egy felhasználó az alkalmazás nem támogatott verzióját használja, a rendszer kérni fogja, hogy frissítsen a legújabb verzióra, mielőtt folytatná a hitelesítést.
A Microsoft rendszeres időközönként kivonja az Authenticator alkalmazás régebbi verzióit is, hogy magas biztonsági sávot tartson fenn a szervezet számára. Ha egy felhasználó eszköze nem támogatja a Microsoft Authenticator alkalmazás modern verzióit, nem tud bejelentkezni az alkalmazással. Javasoljuk, hogy ezek a felhasználók a Microsoft Authenticator alkalmazásban használjon OATH ellenőrző kódot a kéttényezős hitelesítés elvégzéséhez.
Következő lépések
A hozzáférési kulcsok használatának első lépéseit a Hozzáférési kulcsok engedélyezése a Microsoft Authenticator bejelentkezésében (előzetes verzió) című témakörben találhatja meg.
További információ a jelszó nélküli bejelentkezésről: Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával.
További információ a hitelesítési módszerek Microsoft Graph REST API-val történő konfigurálásáról.