Jelszó nélküli hitelesítési lehetőségek az Azure Active Directoryhoz

Az olyan funkciók, mint a többtényezős hitelesítés (MFA) nagyszerű módja a szervezet biztonságának, de a felhasználók gyakran csalódottak a további biztonsági réteg miatt, és nem kell megjegyezniük a jelszavukat. A jelszó nélküli hitelesítési módszerek kényelmesebbek, mert a jelszó el lesz távolítva, és lecserélődik valamire, amit ön használ, vagy valami, amit tud.

Hitelesítés Valami, ami az Öné Valami, amit ismer vagy ismer
Jelszó nélküli Windows 10 Eszköz, telefon vagy biztonsági kulcs Biometrikus vagy PIN-kód

A hitelesítéshez minden szervezetnek más-más igényei vannak. Microsoft globális Azure és Azure Government az alábbi három jelszó nélküli hitelesítési lehetőséget kínálja, amelyek integrálhatók az Azure Active Directoryval (Azure AD):

  • Vállalati Windows Hello
  • Microsoft Authenticator
  • FIDO2 biztonsági kulcsok

Hitelesítés: Biztonság és kényelem

Vállalati Windows Hello

Vállalati Windows Hello ideális azoknak az adatmunkásoknak, akik saját windowsos számítógéppel rendelkeznek. A biometrikus és PIN-kódos hitelesítő adatok közvetlenül a felhasználó számítógépéhez vannak kötve, ami megakadályozza a hozzáférést a tulajdonoson kívül bárkitől. A nyilvános kulcsú infrastruktúra (PKI) integrációjával és az egyszeri bejelentkezés (SSO) beépített támogatásával a Vállalati Windows Hello kényelmes módszert biztosít a vállalati erőforrások helyszíni és felhőbeli zökkenőmentes eléréséhez.

Példa felhasználói bejelentkezésre Vállalati Windows Hello

Az alábbi lépések bemutatják, hogyan működik a bejelentkezési folyamat a Azure AD:

Diagram, amely a felhasználói bejelentkezés lépéseit ismerteti a Vállalati Windows Hello

  1. A felhasználó biometrikus vagy PIN-kódos kézmozdulattal jelentkezik be a Windowsba. A kézmozdulat feloldja a Vállalati Windows Hello titkos kulcs zárolását, és a rendszer elküldi a Cloud Authentication biztonsági támogatási szolgáltatójának, más néven a Cloud AP-szolgáltatónak.
  2. A cloud AP-szolgáltató nem elemet (véletlenszerűen tetszőleges számot) kér a Azure AD.
  3. Azure AD 5 percig érvényes nem elemet ad vissza.
  4. A cloud AP-szolgáltató aláírja a nem elemet a felhasználó titkos kulcsával, és visszaadja az aláírt nonce-t a Azure AD.
  5. Azure AD ellenőrzi az aláírt nem kódot a felhasználó biztonságosan regisztrált nyilvános kulcsával a nem hitelesített aláírással szemben. Azure AD ellenőrzi az aláírást, majd ellenőrzi a visszaadott aláírt nem kódot. A nonce érvényesítésekor Azure AD létrehoz egy elsődleges frissítési jogkivonatot (PRT) az eszköz átviteli kulcsára titkosított munkamenet-kulccsal, és visszaadja azt a cloud AP-szolgáltatónak.
  6. A cloud AP-szolgáltató megkapja a titkosított PRT-t munkamenetkulccsal. A felhőbeli AP-szolgáltató az eszköz privát átviteli kulcsával fejti vissza a munkamenetkulcsot, és az eszköz megbízható platformmoduljával (TPM) védi a munkamenetkulcsot.
  7. A cloud AP-szolgáltató sikeres hitelesítési választ ad vissza a Windowsnak. A felhasználó ezután anélkül érheti el a Windows, valamint a felhőbeli és helyszíni alkalmazásokat, hogy újra hitelesítenie kellene magát (SSO).

A Vállalati Windows Hello tervezési útmutató segítségével eldöntheti, hogy milyen típusú Vállalati Windows Hello üzembe helyezést és milyen lehetőségeket kell figyelembe vennie.

Microsoft Authenticator

Azt is engedélyezheti, hogy az alkalmazott telefonja jelszó nélküli hitelesítési módszer legyen. Előfordulhat, hogy a jelszó mellett az Authenticator alkalmazást is kényelmes többtényezős hitelesítési lehetőségként használja. Az Authenticator alkalmazást jelszó nélküliként is használhatja.

Jelentkezzen be Microsoft Edge-be a Microsoft Authenticator használatával

Az Authenticator alkalmazás minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokká alakít. A felhasználók bármilyen platformra vagy böngészőbe bejelentkezhetnek úgy, hogy értesítést kapnak a telefonjukról, a képernyőn megjelenő számnak és a telefonjukon lévő számnak megfelelően, majd a biometrikus (érintéses vagy arc) vagy PIN-kód használatával megerősítik. A telepítés részleteiért tekintse meg a Microsoft Authenticator letöltését és telepítését ismertető cikket.

Az Authenticator alkalmazással történő jelszó nélküli hitelesítés ugyanazt az alapszintű mintát követi, mint Vállalati Windows Hello. Ez egy kicsit bonyolultabb, mivel a felhasználót azonosítani kell, hogy Azure AD megtalálja a használt Authenticator alkalmazásverziót:

Az Microsoft Authenticator alkalmazással való felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó megadja a felhasználónevét.
  2. Azure AD észleli, hogy a felhasználó erős hitelesítő adattal rendelkezik, és elindítja az Erős hitelesítőadat-folyamatot.
  3. A rendszer értesítést küld az alkalmazásnak az iOS-eszközökön futó Apple Push Notification Service (APNS) vagy az Android-eszközökön futó Firebase Cloud Messaging (FCM) szolgáltatáson keresztül.
  4. A felhasználó megkapja a leküldéses értesítést, és megnyitja az alkalmazást.
  5. Az alkalmazás meghívja Azure AD, és jelenléti igazolási kihívást és nem érkezik meg.
  6. A felhasználó a személyes kulcs zárolásának feloldásához adja meg a biometrikus vagy PIN-kódját.
  7. A nonce a titkos kulccsal van aláírva, és vissza lesz küldve a Azure AD.
  8. Azure AD végrehajtja a nyilvános/titkos kulcs ellenőrzését, és egy jogkivonatot ad vissza.

A jelszó nélküli bejelentkezés használatának megkezdéséhez végezze el az alábbi útmutatót:

FIDO2 biztonsági kulcsok

A FIDO (Fast IDentity Online) Alliance segít előléptetni a nyílt hitelesítési szabványokat, és csökkenteni a jelszavak hitelesítés formájában való használatát. A FIDO2 a legújabb szabvány, amely tartalmazza a webhitelesítési (WebAuthn) szabványt.

A FIDO2 biztonsági kulcsok a szabványokon alapuló jelszó nélküli hitelesítési módszer, amely bármilyen formában előállhat. A Fast Identity Online (FIDO) a jelszó nélküli hitelesítés nyílt szabványa. A FIDO lehetővé teszi, hogy a felhasználók és a szervezetek a standard használatával felhasználónév vagy jelszó nélkül jelentkezzenek be az erőforrásaikba egy külső biztonsági kulcs vagy egy eszközbe épített platformkulcs használatával.

A felhasználók regisztrálhatnak, majd kiválaszthatnak egy FIDO2 biztonsági kulcsot a bejelentkezési felületen a hitelesítés fő eszközeként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de Bluetooth- vagy NFC-t is használhatnak. A hitelesítést kezelő hardvereszközökkel a fiók biztonsága nő, mivel nincs olyan jelszó, amely közzétehető vagy kitalálható lenne.

A FIDO2 biztonsági kulcsokkal bejelentkezhet a Azure AD vagy hibrid Azure AD csatlakoztatott Windows 10-eszközökre, és egyszeri bejelentkezést kaphat a felhőbeli és helyszíni erőforrásaikba. A felhasználók a támogatott böngészőkbe is bejelentkezhetnek. A FIDO2 biztonsági kulcsok kiváló megoldást jelentenek olyan vállalatok számára, amelyek nagyon biztonsági szempontból érzékenyek, vagy olyan forgatókönyvekkel vagy alkalmazottakkal rendelkeznek, akik nem hajlandók vagy nem tudják második tényezőként használni a telefonjukat.

Van egy referenciadokumentumunk, amelyhez a böngészők támogatják a FIDO2 hitelesítést Azure AD, valamint az ajánlott eljárásokat azoknak a fejlesztőknek, amelyek támogatni szeretnék a FIDO2 hitelesítést az általuk fejlesztett alkalmazásokban.

Jelentkezzen be Microsoft Edge-be egy biztonsági kulccsal

A rendszer a következő folyamatot használja, amikor egy felhasználó FIDO2 biztonsági kulccsal jelentkezik be:

FiDO2 biztonsági kulccsal történő felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó csatlakoztatja a FIDO2 biztonsági kulcsot a számítógépéhez.
  2. A Windows észleli a FIDO2 biztonsági kulcsot.
  3. A Windows hitelesítési kérést küld.
  4. Azure AD küld vissza egy nonce-t.
  5. A felhasználó végrehajtja a kézmozdulatot a FIDO2 biztonsági kulcs biztonságos enklávéjában tárolt titkos kulcs zárolásának feloldásához.
  6. A FIDO2 biztonsági kulcs a titkos kulccsal írja alá a nonce-t.
  7. Az elsődleges frissítési jogkivonat (PRT- (PRT-) jogkivonat-kérést a rendszer aláírva nem küldi el a Azure AD.
  8. Azure AD a FIDO2 nyilvános kulccsal ellenőrzi az aláírt nem elemet.
  9. Azure AD visszaadja a PRT-t a helyszíni erőforrásokhoz való hozzáférés engedélyezéséhez.

FIDO2 biztonsági kulcsszolgáltatók

A következő szolgáltatók különböző formátumú FIDO2 biztonsági kulcsokat kínálnak, amelyekről ismert, hogy kompatibilisek a jelszó nélküli felülettel. Javasoljuk, hogy értékelje ki a kulcsok biztonsági tulajdonságait a szállító és a FIDO Alliance kapcsolatfelvételével.

Szolgáltató Biometrikus USB NFC BLE FIPS Certified Kapcsolattartó
AuthenTrend Y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N Y N N https://www.cyberonecard.com/
Ensurity Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N Y N N N https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. N Y Y Y N https://www.gotrustid.com/idem-key
Hid N Y Y N N https://www.hidglobal.com/contact-us
Hypersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Oktatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Svájcibit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Thales-csoport N Y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Svájc Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey-megoldások Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Megjegyzés

Ha NFC-alapú biztonsági kulcsokat vásárol és használ, a biztonsági kulcshoz egy támogatott NFC-olvasóra van szükség. Az NFC-olvasó nem Azure-követelmény vagy korlátozás. A támogatott NFC-olvasók listájáért forduljon az NFC-alapú biztonsági kulcs gyártójához.

Ha Ön szállító, és fel szeretné venni az eszközét a támogatott eszközök listájára, tekintse meg a Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válással kapcsolatos útmutatónkat.

A FIDO2 biztonsági kulcsok használatának megkezdéséhez végezze el az alábbi útmutatót:

Támogatott esetek

A következő szempontokat kell figyelembe venni:

  • A rendszergazdák engedélyezhetik a jelszó nélküli hitelesítési módszereket a bérlőjük számára.

  • A rendszergazdák minden felhasználót megcélzhatnak, vagy kiválaszthatnak felhasználókat/csoportokat a bérlőjükben az egyes módszerekhez.

  • A felhasználók regisztrálhatják és kezelhetik ezeket a jelszó nélküli hitelesítési módszereket a fiókportáljukon.

  • A felhasználók a következő jelszó nélküli hitelesítési módszerekkel jelentkezhetnek be:

    • Authenticator alkalmazás: Olyan esetekben működik, amikor Azure AD hitelesítést használnak, beleértve az összes böngészőt, a Windows 10 beállításakor, valamint az integrált mobilalkalmazásokkal bármely operációs rendszeren.
    • Biztonsági kulcsok: A Windows 10 és az internet zárolási képernyőjén dolgozhat olyan támogatott böngészőkben, mint a Microsoft Edge (örökölt és új Edge).
  • A felhasználók jelszó nélküli hitelesítő adatokkal férhetnek hozzá az erőforrásokhoz azokban a bérlőkben, ahol vendégként szerepelnek, de továbbra is szükség lehet az MFA végrehajtására az adott erőforrás-bérlőben. További információ: Lehetséges kettős többtényezős hitelesítés.

  • A felhasználók nem regisztrálhatnak jelszó nélküli hitelesítő adatokat olyan bérlőn belül, ahol vendégként szerepelnek, ugyanúgy, mint ahogyan az adott bérlőben nincs jelszó kezelve.

Jelszó nélküli metódus kiválasztása

A három jelszó nélküli beállítás közötti választás a vállalat biztonsági, platform- és alkalmazáskövetelményeitől függ.

Íme néhány tényező, amelyet figyelembe kell vennie Microsoft jelszó nélküli technológia kiválasztásakor:

Vállalati Windows Hello Jelszó nélküli bejelentkezés az Authenticator alkalmazással FIDO2 biztonsági kulcsok
Előfeltétel Windows 10, 1809-es verzió vagy újabb verzió
Azure Active Directory
Authenticator alkalmazás
Telefon (iOS- és Android-eszközök)
Windows 10, 1903-es vagy újabb verzió
Azure Active Directory
Mód Platform Szoftverek Hardver
Rendszerek és eszközök Számítógép beépített platformmegbízhatósági modullal (TPM)
PIN-kód és biometrikus adatok felismerése
PIN-kód és biometrikus adatok felismerése telefonon MICROSOFT kompatibilis FIDO2 biztonsági eszközök
Felhasználó felület Bejelentkezés PIN-kóddal vagy biometrikus felismeréssel (arc, írisz vagy ujjlenyomat) Windows-eszközökkel.
Windows Hello hitelesítés az eszközhöz van kötve; a felhasználónak szüksége van az eszközre és egy bejelentkezési összetevőre, például EGY PIN-kódra vagy biometrikus tényezőre a vállalati erőforrások eléréséhez.
Jelentkezzen be mobiltelefonnal ujjlenyomat-vizsgálattal, arc- vagy íriszfelismeréssel vagy PIN-kóddal.
A felhasználók pc-ről vagy mobiltelefonról jelentkeznek be munkahelyi vagy személyes fiókba.
Bejelentkezés FIDO2 biztonsági eszközzel (biometrikus adatok, PIN-kód és NFC)
A felhasználó hozzáférhet az eszközhöz a szervezeti vezérlők alapján, és PIN-kód, biometrikus adatok alapján végezhet hitelesítést olyan eszközökkel, mint az USB biztonsági kulcsok és az NFC-kompatibilis intelligens kártyák, kulcsok vagy viselhető eszközök.
Engedélyezett forgatókönyvek Jelszó nélküli felhasználói élmény a Windows-eszközön.
Az eszközre és alkalmazásokra való egyszeri bejelentkezésre képes dedikált munkahelyi pc-hez használható.
Jelszó nélküli bárhol megoldás mobiltelefon használatával.
Munkahelyi vagy személyes alkalmazások webes elérésére használható bármilyen eszközről.
Jelszó nélküli felhasználói élmény biometrikus adatokat, PIN-kódot és NFC-t használó dolgozók számára.
A megosztott számítógépekre vonatkozik, és ha a mobiltelefon nem járható út (például ügyfélszolgálati személyzet, nyilvános kioszk vagy kórházi csapat esetén)

Az alábbi táblázat segítségével kiválaszthatja, hogy melyik módszer támogatja a követelményeket és a felhasználókat.

Persona Eset Környezet Jelszó nélküli technológia
Felügyelet Eszközök biztonságos elérése felügyeleti feladatokhoz Hozzárendelt Windows 10 eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Felügyelet Felügyeleti feladatok nem Windows rendszerű eszközökön Mobil vagy nem windowsos eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Információs feldolgozó Hatékonyságnövelő munka Hozzárendelt Windows 10 eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Információs feldolgozó Hatékonyságnövelő munka Mobil vagy nem windowsos eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Frontline-feldolgozó Kioszkok gyárban, üzemben, kiskereskedelemben vagy adatbevitelben Megosztott Windows 10 eszközök FIDO2 biztonsági kulcsok

Következő lépések

A jelszó nélküli Azure AD használatának megkezdéséhez végezze el az alábbi útmutatók egyikét: