Opsi autentikasi tanpa kata sandi untuk Azure Active Directory

Fitur seperti autentikasi multifaktor (MFA) adalah cara yang bagus untuk mengamankan organisasi Anda, tetapi pengguna sering kali merasa frustrasi dengan lapisan keamanan tambahan selain harus mengingat kata sandi mereka. Metode autentikasi tanpa kata sandi lebih nyaman karena kata sandi dihapus dan diganti dengan sesuatu yang Anda miliki, ditambah sesuatu dalam diri Anda atau sesuatu yang Anda ketahui.

Autentikasi Sesuatu yang Anda miliki Sesuatu dalam diri Anda atau yang Anda tahu
Tanpa kata sandi Perangkat Windows 10, telepon, atau kunci keamanan Biometrik atau PIN

Setiap organisasi memiliki kebutuhan yang berbeda dalam hal autentikasi. Microsoft global Azure dan Azure Government menawarkan tiga opsi autentikasi tanpa kata sandi berikut yang terintegrasi dengan Microsoft Azure Active Directory (Microsoft Azure AD):

  • Windows Hello untuk Bisnis
  • Microsoft Authenticator
  • Kunci keamanan FIDO2

Autentikasi: Keamanan versus kenyamanan

Windows Hello untuk Bisnis

Windows Hello untuk Bisnis sangat cocok untuk pekerja informasi yang memiliki PC Windows yang khusus untuk sendiri. Info masuk biometrik dan PIN terkait langsung dengan PC pengguna, yang mencegah akses dari siapa pun selain pemiliknya. Dengan integrasi infrastruktur kunci umum (PKI) dan dukungan bawaan untuk akses menyeluruh (SSO), Windows Hello untuk Bisnis menyediakan metode yang nyaman untuk mengakses sumber daya perusahaan dengan lancar secara lokal dan di cloud.

Contoh pengguna yang masuk dengan Windows Hello untuk Bisnis

Langkah berikut menunjukkan cara kerja proses masuk dengan Azure AD:

Diagram yang menguraikan langkah yang terlibat untuk pengguna yang masuk dengan Windows Hello untuk Bisnis

  1. Pengguna yang masuk ke Windows menggunakan isyarat biometrik atau PIN. Isyarat ini membuka kunci privat Windows Hello untuk Bisnis dan dikirim ke penyedia dukungan keamanan Autentikasi Cloud, yang disebut sebagai penyedia Cloud AP.
  2. Penyedia Cloud AP meminta nonce (nomor acak yang berubah-ubah yang dapat digunakan hanya sekali) dari Azure AD.
  3. Azure AD menampilkan nonce yang valid selama 5 menit.
  4. Penyedia Cloud AP menandatangani nonce menggunakan kunci privat pengguna dan menampilkan nonce yang ditandatangani ke Azure AD.
  5. Azure AD memvalidasi nonce yang ditandatangani menggunakan kunci umum pengguna yang terdaftar dengan aman terhadap tanda tangan nonce. Azure AD memvalidasi tanda tangan, lalu memvalidasi nonce yang ditandatangani dan dikembalikan. Saat nonce divalidasi, Azure AD membuat token refresh utama (PRT) dengan kunci sesi yang dienkripsi ke kunci transportasi perangkat dan menampilkannya ke penyedia Cloud AP.
  6. Penyedia Cloud AP menerima PRT terenkripsi dengan kunci sesi. Penyedia Cloud AP menggunakan kunci transportasi privat perangkat untuk mendekripsi kunci sesi dan melindungi kunci sesi menggunakan Trusted Platform Module (TPM) perangkat.
  7. Penyedia Cloud AP menampilkan respons autentikasi yang berhasil ke Windows. Kemudian, pengguna dapat mengakses Windows serta aplikasi cloud dan lokal tanpa perlu mengautentikasi lagi (SSO).

Panduan perencanaan Windows Hello untuk Bisnis dapat digunakan untuk membantu Anda membuat keputusan tentang jenis penyebaran Windows Hello untuk Bisnis dan opsi yang perlu Anda pertimbangkan.

Microsoft Authenticator

Anda juga dapat mengizinkan ponsel karyawan Anda menjadi metode autentikasi tanpa kata sandi. Anda mungkin telah menggunakan aplikasi Authenticator sebagai opsi autentikasi multifaktor yang nyaman selain kata sandi. Anda juga dapat menggunakan Aplikasi Authenticator sebagai opsi tanpa kata sandi.

Masuk ke Microsoft Edge dengan Microsoft Authenticator

Aplikasi Authenticator mengubah ponsel iOS atau Android menjadi info masuk yang kuat dan tanpa sandi. Pengguna dapat masuk ke platform atau browser apa pun dengan mendapatkan pemberitahuan ke ponsel mereka, mencocokkan nomor yang ditampilkan di layar dengan yang ada di ponsel mereka, lalu menggunakan biometrik (sentuh atau wajah) atau PIN mereka untuk mengonfirmasi. Lihat Unduh dan pasang Microsoft Authenticator untuk detail pemasangan.

Autentikasi tanpa kata sandi menggunakan aplikasi Authenticator mengikuti pola dasar yang sama seperti Windows Hello untuk Bisnis. Ini sedikit lebih rumit karena pengguna perlu diidentifikasi, sehingga Azure AD dapat menemukan versi aplikasi Authenticator yang digunakan:

Diagram yang menguraikan langkah yang terlibat untuk pengguna yang masuk dengan Aplikasi Microsoft Authenticator

  1. Pengguna memasukkan nama pengguna mereka.
  2. Azure AD mendeteksi bahwa pengguna memiliki info masuk yang kuat dan memulai alur Info Masuk yang Kuat.
  3. Pemberitahuan dikirim ke aplikasi melalui Apple Push Notification Service (APNS) di perangkat iOS, atau melalui Firebase Cloud Messaging (FCM) di perangkat Android.
  4. Pengguna menerima pemberitahuan push dan membuka aplikasi.
  5. Aplikasi ini memanggil Azure AD dan menerima tantangan serta nonce bukti kehadiran.
  6. Pengguna menyelesaikan tantangan dengan memasukkan biometrik atau PIN mereka untuk membuka kunci privat.
  7. Nonce ditandatangani dengan kunci privat dan dikirim kembali ke Azure AD.
  8. Azure AD melakukan validasi kunci umum/privat dan mengembalikan token.

Untuk mulai masuk tanpa kata sandi, selesaikan panduan berikut:

Kunci keamanan FIDO2

Aliansi FIDO (Fast IDentity Online) membantu mempromosikan standar autentikasi terbuka dan mengurangi penggunaan kata sandi sebagai bentuk autentikasi. FIDO2 adalah standar terbaru yang menggabungkan standar autentikasi web (WebAuthn).

Kunci keamanan FIDO2 adalah metode autentikasi tanpa kata sandi berbasis standar yang tidak dapat diubah yang dapat datang dalam faktor bentuk apa pun. Fast Identity Online (FIDO) adalah standar terbuka untuk autentikasi tanpa kata sandi. FIDO memungkinkan pengguna dan organisasi memanfaatkan standar untuk masuk ke sumber daya mereka tanpa nama pengguna atau kata sandi menggunakan kunci keamanan eksternal atau kunci platform yang terpasang ke perangkat.

Pengguna dapat mendaftar, kemudian memilih kunci keamanan FIDO2 di antarmuka masuk sebagai sarana autentikasi utama mereka. Kunci keamanan FIDO2 ini biasanya adalah perangkat USB, tetapi juga dapat menggunakan Bluetooth atau NFC. Dengan perangkat keras yang menangani autentikasi, keamanan akun ditingkatkan karena tidak ada kata sandi yang dapat diekspos atau ditebak.

Kunci keamanan FIDO2 dapat digunakan untuk masuk ke perangkat Windows 10 yang bergabung dengan Azure AD atau Azure AD hibrid dan mendapatkan akses menyeluruh ke sumber daya cloud dan lokal mereka. Pengguna juga dapat masuk ke browser yang didukung. Kunci keamanan FIDO2 adalah opsi yang bagus untuk perusahaan yang sangat sensitif terhadap keamanan atau memiliki skenario atau karyawan yang tidak bersedia atau dapat menggunakan ponsel mereka sebagai faktor kedua.

Kami memiliki dokumen referensi yang browsernya mendukung autentikasi FIDO2 dengan Azure AD, serta praktik terbaik untuk pengembang yang ingin mendukung autentikasi FIDO2 di aplikasi yang mereka kembangkan.

Masuk ke Microsoft Edge dengan kunci keamanan

Proses berikut digunakan saat pengguna masuk dengan kunci keamanan FIDO2:

Diagram yang menguraikan langkah yang terlibat untuk pengguna yang masuk dengan kunci keamanan FIDO2

  1. Pengguna menyambungkan kunci keamanan FIDO2 ke komputer mereka.
  2. Windows mendeteksi kunci keamanan FIDO2.
  3. Windows mengirim permintaan autentikasi.
  4. Azure AD mengirim kembali nonce.
  5. Pengguna menyelesaikan isyarat mereka untuk membuka kunci privat yang disimpan di enklave aman kunci keamanan FIDO2.
  6. Kunci keamanan FIDO2 menandatangani nonce dengan kunci privat.
  7. Permintaan token refresh token utama (PRT) dengan nonce yang ditandatangani dikirim ke Azure AD.
  8. Azure AD memverifikasi nonce yang ditandatangani menggunakan kunci umum FIDO2.
  9. Azure AD mengembalikan PRT untuk mengaktifkan akses ke sumber daya lokal.

Penyedia kunci keamanan FIDO2

Penyedia berikut menawarkan kunci keamanan FIDO2 dari berbagai faktor bentuk yang diketahui kompatibel dengan pengalaman tanpa kata sandi. Kami mendorong Anda untuk mengevaluasi properti keamanan kunci ini dengan menghubungi vendor serta FIDO Alliance.

Penyedia Biometrik USB NFC BLE Bersertifikat FIPS Kontak
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ciright n n y n n https://www.cyberonecard.com/
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y y y y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NeoWave n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
Octatco y y n n n https://octatco.com/
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Swissbit n y y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales Group n y y n y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 Switzerland y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Catatan

Jika Anda membeli dan berencana menggunakan kunci keamanan berbasis NFC, Anda memerlukan pembaca NFC yang didukung untuk kunci keamanan. Pembaca NFC bukan persyaratan atau batasan Azure. Hubungi vendor untuk kunci keamanan berbasis NFC Anda untuk daftar pembaca NFC yang didukung.

Jika Anda seorang vendor dan ingin mendapatkan perangkat Anda dalam daftar perangkat yang didukung ini, lihat panduan kami tentang cara menjadi vendor kunci keamanan FIDO2 yang kompatibel dengan Microsoft.

Untuk mulai menggunakan kunci keamanan FIDO2, selesaikan panduan berikut:

Skenario yang didukung

Pertimbangan berikut berlaku:

  • Administrator dapat mengaktifkan metode autentikasi tanpa kata sandi untuk penyewanya.

  • Administrator dapat menargetkan semua pengguna atau memilih pengguna/grup dalam penyewa mereka untuk setiap metode.

  • Pengguna akhir dapat mendaftar dan mengelola metode autentikasi tanpa kata sandi ini di portal akun mereka.

  • Pengguna akhir dapat masuk dengan metode autentikasi tanpa kata sandi ini:

    • Aplikasi Authenticator: Berfungsi dalam skenario di mana autentikasi Azure AD digunakan, termasuk di semua browser, selama penyiapan Windows 10, dan dengan aplikasi ponsel terintegrasi pada sistem operasi apa pun.
    • Kunci keamanan: Bekerja pada layar penguncian untuk Windows 10 dan web di browser yang didukung seperti Microsoft Edge (Edge warisan dan baru).
  • Pengguna dapat menggunakan kredensial tanpa kata sandi untuk mengakses sumber daya di penyewa tempat mereka menjadi tamu, tetapi mereka mungkin masih diharuskan untuk melakukan MFA di penyewa sumber daya tersebut. Untuk informasi selengkapnya, lihat Kemungkinan autentikasi multifaktor ganda.

  • Pengguna tidak boleh mendaftarkan kredensial tanpa kata sandi dalam penyewa di mana mereka adalah tamu, dengan cara yang sama seperti mereka tidak memiliki kata sandi yang dikelola di penyewa tersebut.

Memilih metode tanpa kata sandi

Pilihan antara ketiga opsi tanpa kata sandi ini tergantung pada persyaratan keamanan, platform, dan aplikasi perusahaan Anda.

Berikut adalah beberapa faktor yang perlu Anda pertimbangkan saat memilih teknologi tanpa kata sandi Microsoft:

Windows Hello untuk Bisnis Kredensial masuk tanpa kata sandi dengan aplikasi Authenticator Kunci keamanan FIDO2
Prasyarat Windows 10, versi 1809 atau yang lebih baruAzure Active Directory AppPhone Authenticator (perangkat iOS dan Android) Windows 10, versi 1903 atau yang lebih baruAzure Active Directory
Mode Platform Perangkat lunak Perangkat Keras
Sistem dan perangkat PC dengan PIN Trusted Platform Module (TPM) bawaan dan pengenalan biometrik PIN dan pengenalan biometrik di ponsel Perangkat keamanan FIDO2 yang kompatibel dengan Microsoft
Pengalaman pengguna Masuk menggunakan PIN atau pengenalan biometrik (wajah, iris, atau sidik jari) dengan perangkat Windows. Windows Hello autentikasi terkait dengan perangkat; pengguna membutuhkan perangkat dan komponen masuk seperti PIN atau faktor biometrik untuk mengakses sumber daya perusahaan. Masuk menggunakan ponsel dengan pemindaian sidik jari, pengenalan wajah atau iris, atau PIN. Pengguna masuk ke akun kerja atau pribadi dari PC atau ponsel mereka. Masuk menggunakan perangkat keamanan FIDO2 (biometrik, PIN, dan NFC)Pengguna dapat mengakses perangkat berdasarkan kontrol organisasi dan mengautentikasi berdasarkan PIN, biometrik menggunakan perangkat seperti kunci keamanan USB dan smartcard, kunci, atau wearable berkemampuan NFC.
Skenario yang diaktifkan Pengalaman tanpa kata sandi dengan perangkat Windows. Berlaku untuk PC kerja khusus dengan kemampuan untuk akses menyeluruh ke perangkat dan aplikasi. Solusi tanpa kata sandi di mana saja menggunakan ponsel. Berlaku untuk mengakses aplikasi kerja atau pribadi di web dari perangkat apa pun. Pengalaman tanpa kata sandi untuk pekerja menggunakan biometrik, PIN, dan NFC. Berlaku untuk PC bersama dan di mana ponsel bukan pilihan yang layak (seperti untuk personel help desk, kios publik, atau tim rumah sakit)

Gunakan tabel berikut untuk memilih metode mana yang akan mendukung persyaratan dan pengguna Anda.

Persona Skenario Lingkungan Teknologi tanpa kata sandi
Admin Akses aman ke perangkat untuk tugas pengelolaan Perangkat Windows 10 yang ditetapkan Kunci keamanan Windows Hello untuk Bisnis dan/atau FIDO2
Admin Tugas pengelolaan di perangkat non-Windows Perangkat ponsel atau non-windows Kredensial masuk tanpa kata sandi dengan aplikasi Authenticator
Pekerja informasi Pekerjaan produktivitas Perangkat Windows 10 yang ditetapkan Kunci keamanan Windows Hello untuk Bisnis dan/atau FIDO2
Pekerja informasi Pekerjaan produktivitas Perangkat ponsel atau non-windows Kredensial masuk tanpa kata sandi dengan aplikasi Authenticator
Pekerja garis depan Kios di pabrik, produsen, ritel, atau entri data Perangkat Windows 10 bersama Kunci keamanan Fido2

Langkah berikutnya

Untuk mulai menggunakan tanpa kata sandi di Azure AD, selesaikan salah satu panduan berikut: