Mi az Azure Active Directory hitelesítés?

Az identitásplatform egyik fő funkciója a hitelesítő adatok ellenőrzése vagy hitelesítése, amikor egy felhasználó bejelentkezik egy eszközre, alkalmazásba vagy szolgáltatásba. Az Azure Active Directory (Azure AD) esetében a hitelesítés nem csupán a felhasználónév és a jelszó ellenőrzését foglalja magában. A biztonság javítása és az ügyfélszolgálati segítség iránti igény csökkentése érdekében az Azure AD-hitelesítés a következő összetevőket tartalmazza:

  • Új jelszó önkiszolgáló kérése
  • Azure AD többtényezős hitelesítés
  • Hibrid integráció a jelszómódosítások helyszíni környezetbe való visszaírásához
  • Hibrid integráció jelszóvédelmi szabályzatok kényszerítéséhez helyszíni környezetben
  • Jelszó nélküli hitelesítés

Tekintse meg rövid videónkat, ha többet szeretne megtudni ezekről a hitelesítési összetevőkről.

A végfelhasználói élmény javítása

Az Azure AD segít megvédeni a felhasználó identitását, és leegyszerűsíteni a bejelentkezési élményt. Az olyan funkciók, mint az új jelszó önkiszolgáló kérése, lehetővé teszik a felhasználók számára, hogy bármilyen eszközről webböngészővel frissítsék vagy módosítsák a jelszavukat. Ez a funkció különösen akkor hasznos, ha a felhasználó elfelejtette a jelszavát, vagy a fiókja zárolva van. Anélkül, hogy egy segélyszolgálatra vagy rendszergazdára várva támogatást nyújtanának, a felhasználó feloldhatja a tiltást, és folytathatja a munkát.

Az Azure AD Multi-Factor Authentication lehetővé teszi, hogy a felhasználók egy további hitelesítési módot válasszanak a bejelentkezés során, például telefonhívást vagy mobilalkalmazás-értesítéseket. Ez a képesség csökkenti a másodlagos hitelesítés egyetlen, rögzített formájának, például a hardvertokennek a követelményét. Ha a felhasználó jelenleg nem rendelkezik egy további hitelesítési formával, választhat egy másik módszert, és folytathatja a munkát.

Authentication methods in use at the sign-in screen

A jelszó nélküli hitelesítés egyáltalán nem igényli, hogy a felhasználó biztonságos jelszót hozzon létre és jegyezze meg. Az olyan képességek, mint a Vállalati Windows Hello vagy a FIDO2 biztonsági kulcsok, lehetővé teszik, hogy a felhasználók jelszó nélkül jelentkezzenek be egy eszközre vagy alkalmazásba. Ez a képesség csökkentheti a jelszavak különböző környezetekben való kezelésének összetettségét.

Új jelszó önkiszolgáló kérése

Az önkiszolgáló jelszó-visszaállítás lehetővé teszi a felhasználóknak, hogy rendszergazdai vagy ügyfélszolgálati közreműködés nélkül módosíthassák vagy alaphelyzetbe állíthassák a jelszavukat. Ha egy felhasználó fiókja zárolva van, vagy elfelejti a jelszavát, az utasításokat követve feloldhatja a letiltást, és visszatérhet a munkához. Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba.

Az új jelszó önkiszolgáló kérése a következő esetekben működik:

  • Jelszóváltoztatás – ha egy felhasználó ismeri a jelszavát, de valami újra szeretné módosítani.
  • Új jelszó kérése – ha egy felhasználó nem tud bejelentkezni, például amikor elfelejtette a jelszavát, és szeretné visszaállítani a jelszavát.
  • Fiókzárolás feloldása – ha egy felhasználó nem tud bejelentkezni, mert a fiókja zárolva van, és fel szeretné oldani a fiókját.

Amikor egy felhasználó önkiszolgáló jelszóátállítással frissíti vagy alaphelyzetbe állítja a jelszavát, a jelszó visszaírható helyi Active Directory környezetbe is. A jelszóvisszaíró biztosítja, hogy a felhasználók azonnal használhassák a frissített hitelesítő adataikat a helyszíni eszközökkel és alkalmazásokkal.

Azure AD többtényezős hitelesítés

A többtényezős hitelesítés egy olyan folyamat, amelyben a rendszer a bejelentkezési folyamat során felkéri a felhasználót egy másodlagos azonosításra, például hogy adjon meg egy kódot a mobiltelefonján, vagy végezzen ujjlenyomat-vizsgálatot.

Ha csak jelszóval hitelesít egy felhasználót, az nem biztonságos vektort hagy a támadáshoz. Ha a jelszó gyenge, vagy máshol lett közzétéve, valóban a felhasználó jelentkezik be a felhasználónévvel és jelszóval, vagy támadó? Ha egy második hitelesítési formára van szüksége, a biztonság megnő, mivel ez a további tényező nem könnyű a támadók számára, hogy megszerezzék vagy duplikálják azt.

Conceptual image of the different forms of multi-factor authentication

Az Azure AD Multi-Factor Authentication az alábbi hitelesítési módszerek közül kettő vagy több megkövetelésével működik:

  • Valami, amit ismer, általában egy jelszó.
  • Van valamije, például egy nem könnyen duplikált megbízható eszköz, például egy telefon vagy egy hardverkulcs.
  • Olyan biometrikus adatok, mint az ujjlenyomat vagy az arcszkennelés.

A felhasználók egy lépésben regisztrálhatnak az önkiszolgáló jelszó-visszaállításra és az Azure AD Multi-Factor Authenticationre is, hogy egyszerűbbé tegye a bevezetést. A rendszergazdák meghatározhatják a másodlagos hitelesítés használható formáit. Az Azure AD Multi-Factor Authenticationre akkor is szükség lehet, ha a felhasználók önkiszolgáló jelszó-visszaállítást hajtanak végre a folyamat további biztonságossá tételéhez.

Jelszavas védelem

Alapértelmezés szerint az Azure AD blokkolja a gyenge jelszavakat, például a Password1-et. A rendszer automatikusan frissíti és kikényszeríti a globális tiltott jelszavak listáját, amely tartalmazza az ismert gyenge jelszavakat. Ha egy Azure AD-felhasználó egy ilyen gyenge jelszóra próbálja beállítani a jelszavát, értesítést kap, hogy biztonságosabb jelszót válasszon.

A biztonság növelése érdekében egyéni jelszóvédelmi szabályzatokat is definiálhat. Ezek a szabályzatok szűrőkkel blokkolhatják például a contoso vagy egy londoni nevet tartalmazó jelszó bármilyen változatát.

A hibrid biztonság érdekében integrálhatja az Azure AD jelszóvédelmet egy helyi Active Directory környezettel. A helyszíni környezetben telepített összetevők megkapják a globálisan letiltott jelszólistát és egyéni jelszóvédelmi szabályzatokat az Azure AD-től, és a tartományvezérlők a jelszómódosítási események feldolgozására használják őket. Ez a hibrid megközelítés biztosítja, hogy függetlenül attól, hogy a felhasználó hogyan vagy hol módosítja a hitelesítő adatait, szigorú jelszavakat kell használnia.

Jelszó nélküli hitelesítés

Számos környezet esetében az a cél, hogy a bejelentkezési események részeként eltávolítsa a jelszavak használatát. Az olyan funkciók, mint az Azure jelszóvédelem vagy az Azure AD Multi-Factor Authentication, segítenek a biztonság javításában, de a felhasználónév és a jelszó továbbra is gyenge hitelesítési forma, amely közzétehető vagy találgatásos támadást okozhat.

Security versus convenience with the authentication process that leads to passwordless

Ha jelszó nélküli módszerrel jelentkezik be, a hitelesítő adatokat olyan módszerekkel adja meg, mint a biometrikus adatok Vállalati Windows Hello, vagy egy FIDO2 biztonsági kulcs. Ezeket a hitelesítési módszereket a támadók nem tudják könnyen duplikálni.

Az Azure AD natív hitelesítést biztosít jelszó nélküli módszerekkel a felhasználók bejelentkezési élményének leegyszerűsítése és a támadások kockázatának csökkentése érdekében.

Következő lépések

Első lépésként tekintse meg az önkiszolgáló jelszó-visszaállítással (SSPR) és az Azure AD Multi-Factor Authenticationrel kapcsolatos oktatóanyagot.

Az új jelszó önkiszolgáló kérésével kapcsolatos fogalmakról további információt az Azure AD új jelszó önkiszolgáló kérésének működése című témakörben talál.

A többtényezős hitelesítési fogalmakkal kapcsolatos további információkért tekintse meg az Azure AD Multi-Factor Authentication működését.