Rugalmasság kiépítése hitelesítő adatok kezelésével
Ha egy hitelesítő adatot egy jogkivonat-kérelemben mutat be a Microsoft Entra-azonosító, több függőség is lehet, amelyeknek elérhetőnek kell lenniük az ellenőrzéshez. Az első hitelesítési tényező a Microsoft Entra-hitelesítésre és bizonyos esetekben a külső (nem Entra-azonosító) függőségre, például a helyszíni infrastruktúrára támaszkodik. A hibrid hitelesítési architektúrákkal kapcsolatos további információkért lásd : Build resilience in your hybrid infrastructure.
A legbiztonságosabb és legrugalmasabb hitelesítőadat-stratégia a jelszó nélküli hitelesítés használata. Vállalati Windows Hello és jelszó (FIDO 2.0) biztonsági kulcsok kevesebb függőséget használnak, mint más MFA-metódusok. MacOS-felhasználók számára az ügyfelek engedélyezhetik a platform hitelesítő adatait a macOS-hez. Ezeknek a módszereknek a megvalósításakor a felhasználók erős jelszó nélküli és adathalászat-rezisztens Multi-Factor-hitelesítést (MFA) hajthatnak végre.
Borravaló
A hitelesítési módszerek üzembe helyezésével kapcsolatos részletes videósorozatért tekintse meg az adathalászatnak ellenálló hitelesítést a Microsoft Entra ID-ban
Ha egy második tényezőt implementál, a második tényező függőségei hozzá lesznek adva az elsőhöz tartozó függőségekhez. Ha például az első tényező az átmenő hitelesítés (PTA) és a második tényező az SMS, a függőségek a következők.
- Microsoft Entra hitelesítési szolgáltatások
- Microsoft Entra többtényezős hitelesítési szolgáltatás
- Helyszíni infrastruktúra
- Telefonszolgáltató
- A felhasználó eszköze (nem a képen)
A hitelesítőadat-stratégiának figyelembe kell vennie az egyes hitelesítési típusok és kiépítési módszerek függőségeit, amelyek elkerülik az egyetlen meghibásodási pontot.
Mivel a hitelesítési módszerek különböző függőségekkel rendelkeznek, célszerű engedélyezni a felhasználók számára, hogy a lehető legtöbb második tényezős beállításra regisztráljanak. Ha lehetséges, vegye figyelembe a különböző függőségekkel rendelkező második tényezőket is. Például a hanghívás és az SMS, mint második tényező ugyanazokkal a függőségekkel rendelkezik, így az egyetlen lehetőségként való használata nem csökkenti a kockázatokat.
A második tényező, hogy a Microsoft Authenticator alkalmazás vagy más hitelesítő alkalmazás időalapú egyszeri pin-kóddal (TOTP) vagy OAuth hardveres jogkivonatokkal rendelkezik a legkevesebb függőségtel, ezért rugalmasabbak.
További részletek a külső (nem Entra) függőségekkel kapcsolatban
| Hitelesítési módszer | Külső (nem Entra) függőség | További információ |
|---|---|---|
| Tanúsítványalapú hitelesítés (CBA) | A legtöbb esetben (a konfigurációtól függően) a CBA visszavonási ellenőrzést igényel. Ez hozzáad egy külső függőséget a CRL terjesztési ponthoz (CDP) | A tanúsítvány-visszavonási folyamat ismertetése |
| Átmenő hitelesítés (PTA) | A PTA helyszíni ügynökökkel dolgozza fel a jelszóhitelesítést. | Hogyan működik a Microsoft Entra átmenő hitelesítése? |
| Föderáció | Az összevonási kiszolgáló(ok)nak online állapotban kell lenniük, és elérhetőnek kell lenniük a hitelesítési kísérlet feldolgozásához | Magas rendelkezésre állású, földrajzi alapú AD FS üzembe helyezése az Azure-ban az Azure Traffic Managerrel |
| Külső hitelesítési módszerek (EAM) | Az EAM biztosítja az ügyfelek számára a külső MFA-szolgáltatók használatát. | Külső hitelesítési módszer kezelése a Microsoft Entra-azonosítóban (előzetes verzió) |
Hogyan segíthet több hitelesítő adat a rugalmasságban?
Több hitelesítő adattípus kiépítése olyan lehetőségeket biztosít a felhasználóknak, amelyek alkalmazkodnak a beállításokhoz és a környezeti korlátozásokhoz. Ennek eredményeképpen az interaktív hitelesítés, ahol a felhasználók többtényezős hitelesítést kérnek, rugalmasabbak lesznek az adott függőségekkel szemben, amelyek a kérés időpontjában nem érhetők el. Optimalizálhatja az újrahitelesítési kéréseket a többtényezős hitelesítéshez.
A fentiekben ismertetett egyéni felhasználói rugalmasság mellett a vállalatoknak nagy léptékű fennakadásokra, például olyan működési hibákra kell tervezniük, amelyek helytelen konfigurációt, természeti katasztrófát vagy nagyvállalati szintű erőforráskimaradást okoznak egy helyszíni összevonási szolgáltatásban (különösen akkor, ha többtényezős hitelesítésre használják).
Hogyan rugalmas hitelesítő adatokat implementálni?
- Jelszó nélküli hitelesítő adatok üzembe helyezése. Az adathalászatnak ellenálló módszereket, például a Vállalati Windows Hello, a hozzáférési kulcsokat (az Authenticator passkey bejelentkezési és FIDO2 biztonsági kulcsait egyaránt) és a tanúsítványalapú hitelesítést (CBA) részesíti előnyben a biztonság növelése és a függőségek csökkentése érdekében.
- A Microsoft Authenticator alkalmazás üzembe helyezése második tényezőként.
- Migrálás összevonásról felhőhitelesítésre az összevont identitásszolgáltatótól való függés megszüntetése érdekében.
- A Windows Server Active Directoryból szinkronizált hibrid fiókok jelszókivonat-szinkronizálásának bekapcsolása. Ez a beállítás az összevonási szolgáltatások, például a Active Directory összevonási szolgáltatások (AD FS) (AD FS) mellett engedélyezhető, és tartalékot biztosít arra az esetre, ha az összevonási szolgáltatás meghiúsul.
- Elemezze a többtényezős hitelesítési módszerek használatát a felhasználói élmény javítása érdekében.
- Rugalmas hozzáférés-vezérlési stratégia megvalósítása
Következő lépések
Erőforrások rugalmassága rendszergazdák és építészek számára
- Rugalmasság kiépítése eszközállapotokkal
- Rugalmasság kiépítése folyamatos hozzáférés-kiértékeléssel (CAE)
- Rugalmasság kiépítése külső felhasználói hitelesítésben
- Rugalmasság kiépítése a hibrid hitelesítésben
- Rugalmasság kiépítése az alkalmazáshozzáférésben a alkalmazásproxy