Jelszó nélküli hitelesítési lehetőségek az Azure Active Directoryhoz

Az olyan funkciók, mint a többtényezős hitelesítés (MFA) nagyszerű módot jelentenek a szervezet védelmére, de a felhasználókat gyakran frusztrálja a további biztonsági réteg, hogy meg kell jegyezniük a jelszavukat. A jelszó nélküli hitelesítési módszerek kényelmesebbek, mert a rendszer eltávolítja a jelszót, és lecseréli valamire, amit ön használ, valamint valamit, amit tud.

Hitelesítés Valami, ami az Öné Valami, amit ismer vagy ismer
Jelszó nélküli Windows 10 eszköz, telefon vagy biztonsági kulcs Biometrikus vagy PIN-kód

A hitelesítéshez minden szervezetnek különböző igényei vannak. A Microsoft globális Azure és Azure Government az alábbi három jelszó nélküli hitelesítési lehetőséget kínálja, amelyek integrálhatók az Azure Active Directoryval (Azure AD):

  • Vállalati Windows Hello
  • Microsoft Authenticator
  • FIDO2 biztonsági kulcsok

Hitelesítés: Biztonság és kényelem

Vállalati Windows Hello

Vállalati Windows Hello ideális olyan infomunkások számára, akik saját windowsos számítógéppel rendelkeznek. A biometrikus és PIN-kóddal kapcsolatos hitelesítő adatok közvetlenül a felhasználó számítógépéhez vannak kötve, ami megakadályozza a hozzáférést a tulajdonoson kívül bárkitől. A nyilvános kulcsú infrastruktúra (PKI) integrációjával és az egyszeri bejelentkezés (SSO) beépített támogatásával Vállalati Windows Hello kényelmes módszert biztosít a vállalati erőforrások helyszíni és felhőbeli zökkenőmentes eléréséhez.

Példa felhasználói bejelentkezésre Vállalati Windows Hello

A következő lépések bemutatják, hogyan működik a bejelentkezési folyamat Azure AD:

A felhasználói bejelentkezés lépéseit Vállalati Windows Hello bemutató ábra

  1. A felhasználó biometrikus vagy PIN-kódos kézmozdulattal jelentkezik be a Windowsba. A kézmozdulat feloldja a Vállalati Windows Hello titkos kulcs zárolását, és elküldi a Cloud Authentication biztonsági támogatási szolgáltatójának, más néven a Cloud AP-szolgáltatónak.
  2. A felhőbeli AP-szolgáltató egy nonce (véletlenszerűen egy egyszer használható szám) kérést kér Azure AD.
  3. Azure AD 5 percig érvényes nonce értéket ad vissza.
  4. A felhőbeli AP-szolgáltató a felhasználó titkos kulcsával aláírja a nem-et, és visszaadja az aláírt nemet a Azure AD.
  5. Azure AD ellenőrzi az aláírt nem kódot a felhasználó biztonságosan regisztrált nyilvános kulcsával a nem engedélyezett aláírással szemben. Azure AD ellenőrzi az aláírást, majd ellenőrzi a visszaadott aláírt nem kódot. A nonce ellenőrzésekor Azure AD létrehoz egy elsődleges frissítési jogkivonatot (PRT) az eszköz átviteli kulcsára titkosított munkamenet-kulccsal, és visszaküldi azt a felhőbeli AP-szolgáltatónak.
  6. A cloud AP-szolgáltató megkapja a titkosított PRT-t munkamenetkulccsal. A felhőbeli AP-szolgáltató az eszköz privát átviteli kulcsával fejti vissza a munkamenetkulcsot, és az eszköz platformmegbízhatósági moduljával (TPM) védi a munkamenetkulcsot.
  7. A felhőbeli AP-szolgáltató sikeres hitelesítési választ ad vissza a Windowsnak. A felhasználó ezután anélkül férhet hozzá a Windowshoz, valamint a felhőbeli és helyszíni alkalmazásokhoz, hogy újra hitelesítenie kellene magát (SSO).

A Vállalati Windows Hello tervezési útmutatója segítséget nyújt a Vállalati Windows Hello üzembe helyezés típusával és a megfontolandó lehetőségekkel kapcsolatos döntések meghozatalában.

Microsoft Authenticator

Azt is engedélyezheti, hogy az alkalmazott telefonja jelszó nélküli hitelesítési módszer legyen. Előfordulhat, hogy a jelszó mellett az Authenticator alkalmazást is kényelmes többtényezős hitelesítési lehetőségként használja. Az Authenticator alkalmazást jelszó nélküli beállításként is használhatja.

Bejelentkezés a Microsoft Edge-be a Microsoft Authenticatorrel

Az Authenticator alkalmazás minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adattá alakít. A felhasználók bármilyen platformra vagy böngészőbe bejelentkezhetnek úgy, hogy értesítést kapnak a telefonjukra, egyeztetnek a képernyőn megjelenő számot a telefonjukon lévő számmal, majd biometrikus (érintéssel vagy arccal) vagy PIN-kóddal megerősítik. A telepítés részleteiért tekintse meg a Microsoft Authenticator letöltését és telepítését ismertető cikket.

Az Authenticator alkalmazással történő jelszó nélküli hitelesítés ugyanazt az alapvető mintát követi, mint Vállalati Windows Hello. Ez egy kicsit bonyolultabb, mivel a felhasználót azonosítani kell, hogy Azure AD megtalálja a használt Authenticator alkalmazásverziót:

A Microsoft Authenticator alkalmazással történő felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó megadja a felhasználónevét.
  2. Azure AD észleli, hogy a felhasználó erős hitelesítő adatokkal rendelkezik, és elindítja az erős hitelesítőadat-folyamatot.
  3. A rendszer értesítést küld az alkalmazásnak az Apple Push Notification Service (APNS) használatával iOS-eszközökön vagy a Firebase Cloud Messaging (FCM) szolgáltatáson keresztül Android-eszközökön.
  4. A felhasználó megkapja a leküldéses értesítést, és megnyitja az alkalmazást.
  5. Az alkalmazás meghívja Azure AD, és jelenléti igazolási kérelmet kap, és nem érkezik meg.
  6. A felhasználó a biometrikus vagy PIN-kód megadásával oldja meg a titkos kulcs zárolását.
  7. A rendszer aláírja a titkos kulccsal a nonce-t, és visszaküldi Azure AD.
  8. Azure AD végrehajtja a nyilvános/titkos kulcs ellenőrzését, és visszaad egy jogkivonatot.

A jelszó nélküli bejelentkezés első lépéseihez végezze el az alábbi útmutatót:

FIDO2 biztonsági kulcsok

A FIDO (Fast IDentity Online) Alliance segít előléptetni a nyílt hitelesítési szabványokat, és csökkenteni a jelszavak használatát a hitelesítés egyik formájaként. A FIDO2 a legújabb szabvány, amely tartalmazza a webes hitelesítési (WebAuthn) szabványt.

A FIDO2 biztonsági kulcsok olyan, nem szabványos, jelszó nélküli hitelesítési módszerek, amelyek bármilyen formában lehetnek. A Fast Identity Online (FIDO) a jelszó nélküli hitelesítés nyílt szabványa. A FIDO lehetővé teszi, hogy a felhasználók és a szervezetek a standard használatával felhasználónév vagy jelszó nélkül jelentkezzenek be az erőforrásaikba egy külső biztonsági kulcs vagy egy eszközbe beépített platformkulcs használatával.

A felhasználók regisztrálhatnak, majd kiválaszthatnak egy FIDO2 biztonsági kulcsot a bejelentkezési felületen a hitelesítés fő eszközeként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de bluetooth vagy NFC protokollt is használhatnak. A hitelesítést kezelő hardvereszközökkel a fiók biztonsága nő, mivel nincs olyan jelszó, amely közzétehető vagy kitalálható lenne.

A FIDO2 biztonsági kulcsokkal bejelentkezhet Azure AD vagy hibrid Azure AD csatlakoztatott Windows 10-eszközeire, és egyszeri bejelentkezést kaphat a felhőbeli és helyszíni erőforrásaikra. A felhasználók a támogatott böngészőkbe is bejelentkezhetnek. A FIDO2 biztonsági kulcsok kiváló megoldást jelentenek a nagyon biztonsági szempontból érzékeny, forgatókönyvekkel vagy alkalmazottakkal rendelkező vállalatok számára, akik nem hajlandóak vagy nem tudják második tényezőként használni a telefonjukat.

Van egy referenciadokumentumunk, amelyhez a böngészők támogatják a FIDO2-hitelesítést Azure AD, valamint az ajánlott eljárásokat azoknak a fejlesztőknek, amelyek támogatni szeretnék a FIDO2 hitelesítést az általuk fejlesztett alkalmazásokban.

Jelentkezzen be a Microsoft Edge-be egy biztonsági kulccsal

A rendszer a következő folyamatot használja, amikor egy felhasználó FIDO2 biztonsági kulccsal jelentkezik be:

A FIDO2 biztonsági kulccsal történő felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó csatlakoztatja a FIDO2 biztonsági kulcsot a számítógépéhez.
  2. A Windows észleli a FIDO2 biztonsági kulcsot.
  3. A Windows hitelesítési kérést küld.
  4. Azure AD küld vissza egy nonce-t.
  5. A felhasználó végrehajtja a kézmozdulatot a FIDO2 biztonsági kulcs biztonságos enklávéjában tárolt titkos kulcs feloldásához.
  6. A FIDO2 biztonsági kulcs a titkos kulccsal aláírja a nonce-t.
  7. Az elsődleges frissítési jogkivonatra (PRT) vonatkozó, aláírt nemce-jogkivonat-kérést a rendszer elküldi Azure AD.
  8. Azure AD a FIDO2 nyilvános kulccsal ellenőrzi az aláírt nem iktatót.
  9. Azure AD a helyszíni erőforrásokhoz való hozzáférés engedélyezéséhez prT-t ad vissza.

FIDO2 biztonságikulcs-szolgáltatók

Az alábbi szolgáltatók különböző formátumú FIDO2 biztonsági kulcsokat kínálnak, amelyekről ismert, hogy kompatibilisek a jelszó nélküli felhasználói felülettel. Javasoljuk, hogy értékelje ki ezeknek a kulcsoknak a biztonsági tulajdonságait, ha kapcsolatba lép a szállítóval és a FIDO Alliance-tel.

Szolgáltató Biometrikus USB NFC BLE FIPS Certified Kapcsolattartó
Authentrend Y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N Y N N https://www.cyberonecard.com/
Ensurity Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N Y N N N https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. N Y Y Y N https://www.gotrustid.com/idem-key
Hid N Y Y N N https://www.hidglobal.com/contact-us
Hypersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Oktatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Swissbit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Thales-csoport N Y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Svájc Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey-megoldások Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Megjegyzés

Ha NFC-alapú biztonsági kulcsokat vásárol és tervez használni, a biztonsági kulcshoz szüksége lesz egy támogatott NFC-olvasóra. Az NFC-olvasó nem azure-követelmény vagy korlátozás. A támogatott NFC-olvasók listájáért forduljon az NFC-alapú biztonsági kulcs gyártójához.

Ha Ön szállító, és fel szeretné venni az eszközét a támogatott eszközök listájára, tekintse meg a Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válással kapcsolatos útmutatónkat.

A FIDO2 biztonsági kulcsok használatának megkezdéséhez végezze el az alábbi útmutatót:

Támogatott esetek

A következő szempontokat kell figyelembe venni:

  • A rendszergazdák engedélyezhetik a jelszó nélküli hitelesítési módszereket a bérlőjük számára.

  • A rendszergazdák minden felhasználót megcélzhatnak, vagy kiválaszthatnak felhasználókat/csoportokat a bérlőjükben minden módszerhez.

  • A felhasználók regisztrálhatják és kezelhetik ezeket a jelszó nélküli hitelesítési módszereket a fiókportáljukon.

  • A felhasználók az alábbi jelszó nélküli hitelesítési módszerekkel jelentkezhetnek be:

    • Hitelesítő alkalmazás: Olyan forgatókönyvekben működik, ahol Azure AD hitelesítést használnak, beleértve az összes böngészőt, Windows 10 beállításakor és bármely operációs rendszeren integrált mobilalkalmazásokkal.
    • Biztonsági kulcsok: A Windows 10 és az internet zárolási képernyőjén dolgozhat olyan támogatott böngészőkben, mint a Microsoft Edge (örökölt és új Edge).
  • A felhasználók jelszó nélküli hitelesítő adatokkal férhetnek hozzá a vendégként használt bérlők erőforrásaihoz, de előfordulhat, hogy továbbra is MFA-t kell végezniük az adott erőforrás-bérlőben. További információ: Lehetséges kettős többtényezős hitelesítés.

  • A felhasználók nem regisztrálhatnak jelszó nélküli hitelesítő adatokat olyan bérlőn belül, ahol vendégként vannak jelen, ugyanúgy, mint a bérlőben kezelt jelszóval.

Jelszó nélküli metódus kiválasztása

A három jelszó nélküli beállítás közötti választás a vállalat biztonsági, platform- és alkalmazáskövetelményeitől függ.

Az alábbiakban néhány tényezőt érdemes figyelembe venni a Microsoft jelszó nélküli technológiájának kiválasztásakor:

Vállalati Windows Hello Jelszó nélküli bejelentkezés az Authenticator alkalmazással FIDO2 biztonsági kulcsok
Előfeltétel Windows 10, 1809-es verzió vagy újabb
Azure Active Directory
Hitelesítő alkalmazás
Telefon (iOS- és Android-eszközök)
Windows 10, 1903-es vagy újabb verzió
Azure Active Directory
Mód Platform Szoftverek Hardver
Rendszerek és eszközök SZÁMÍTÓGÉP beépített platformmodullal (TPM)
PIN-kód és biometrikus adatok felismerése
PIN-kód és biometrikus azonosítás telefonon FIDO2 microsoft-kompatibilis biztonsági eszközök
Felhasználó felület Bejelentkezés PIN-kóddal vagy biometrikus felismeréssel (arc, írisz vagy ujjlenyomat) Windows-eszközökkel.
Windows Hello hitelesítés az eszközhöz van kötve; a felhasználónak szüksége van az eszközre és egy bejelentkezési összetevőre is, például PIN-kódra vagy biometrikus tényezőre a vállalati erőforrások eléréséhez.
Jelentkezzen be mobiltelefonon ujjlenyomat-beolvasással, arc- vagy íriszfelismeréssel vagy PIN-kóddal.
A felhasználók a pc-jükről vagy mobiltelefonjukról jelentkeznek be munkahelyi vagy személyes fiókjukba.
Bejelentkezés FIDO2 biztonsági eszközzel (biometrikus adatok, PIN-kód és NFC)
A felhasználó hozzáférhet az eszközhöz a szervezeti vezérlők alapján, és PIN-kód, biometrikus adatok alapján végezhet hitelesítést olyan eszközökkel, mint az USB biztonsági kulcsok és az NFC-kompatibilis intelligens kártyák, kulcsok vagy viselhető eszközök.
Engedélyezett forgatókönyvek Jelszó nélküli felhasználói élmény a Windows-eszközökkel.
Dedikált munkahelyi pc-hez használható, amely képes egyszeri bejelentkezést végezni az eszközre és az alkalmazásokra.
Jelszó nélküli megoldás bárhol mobiltelefon használatával.
A munkahelyi vagy személyes alkalmazások webes elérésére alkalmazható bármilyen eszközről.
Jelszó nélküli felhasználói élmény biometrikus adatokat, PIN-kódot és NFC-t használó dolgozók számára.
A megosztott számítógépekre alkalmazható, és ha a mobiltelefon nem járható út (például ügyfélszolgálati személyzet, nyilvános kioszk vagy kórházi csapat esetén)

Az alábbi táblázatban kiválaszthatja, hogy melyik módszer támogatja a követelményeket és a felhasználókat.

Persona Eset Környezet Jelszó nélküli technológia
Felügyelet Biztonságos hozzáférés egy eszközhöz felügyeleti feladatokhoz Hozzárendelt Windows 10 eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Felügyelet Felügyeleti feladatok nem Windows rendszerű eszközökön Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Információfeldolgozó Hatékonyságnövelő munka Hozzárendelt Windows 10 eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Információfeldolgozó Hatékonyságnövelő munka Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Frontline worker Kioszkok gyárban, üzemben, kiskereskedelemben vagy adatbevitelben Megosztott Windows 10 eszközök FIDO2 biztonsági kulcsok

Következő lépések

A jelszó nélküli Azure AD használatának megkezdéséhez végezze el az alábbi útmutatók egyikét: