Opties voor verificatie zonder wachtwoord voor Azure Active Directory

Functies zoals meervoudige verificatie (MFA) zijn een uitstekende manier om uw organisatie te beveiligen, maar gebruikers worden vaak gefrustreerd met de extra beveiligingslaag boven op het onthouden van hun wachtwoorden. Verificatiemethoden zonder wachtwoord zijn handiger omdat het wachtwoord wordt verwijderd en vervangen door iets dat u hebt, plus iets wat u wel of iets weet.

Verificatie Iets dat u hebt Iets wat u bent of weet
Zonder wachtwoord Windows 10 apparaat, telefoon of beveiligingssleutel Biometrische of pincode

Elke organisatie heeft verschillende behoeften als het gaat om verificatie. Microsoft global Azure en Azure Government bieden de volgende drie verificatieopties zonder wachtwoord die zijn geïntegreerd met Azure Active Directory (Azure AD):

  • Windows Hello voor Bedrijven
  • Microsoft Authenticator
  • FIDO2-beveiligingssleutels

Verificatie: Beveiliging versus gemak

Windows Hello voor Bedrijven

Windows Hello voor Bedrijven is ideaal voor informatiewerkers met een eigen aangewezen Windows-pc. De biometrische en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor de toegang van iemand anders dan de eigenaar wordt voorkomen. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello voor Bedrijven een handige methode voor naadloze toegang tot bedrijfsresources on-premises en in de cloud.

Voorbeeld van een gebruikersaanmelding met Windows Hello voor Bedrijven

In de volgende stappen ziet u hoe het aanmeldingsproces werkt met Azure AD:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met Windows Hello voor Bedrijven

  1. Een gebruiker meldt zich aan bij Windows met behulp van biometrische of pincodebewegingen. De beweging ontgrendelt de Windows Hello voor Bedrijven persoonlijke sleutel en wordt verzonden naar de cloudverificatiebeveiligingsondersteuningsprovider, aangeduid als de Cloud AP-provider.
  2. De Cloud AP-provider vraagt een nonce (een willekeurig willekeurig getal dat slechts één keer kan worden gebruikt) van Azure AD.
  3. Azure AD retourneert een nonce die vijf minuten geldig is.
  4. De Cloud AP-provider ondertekent de nonce met de persoonlijke sleutel van de gebruiker en retourneert de ondertekende niet-code aan de Azure AD.
  5. Azure AD valideert de ondertekende nonce met behulp van de veilig geregistreerde openbare sleutel van de gebruiker op basis van de niet-handtekening. Azure AD de handtekening valideert en vervolgens de geretourneerde ondertekende nonce valideert. Wanneer de nonce wordt gevalideerd, maakt Azure AD een primair vernieuwingstoken (PRT) met sessiesleutel die is versleuteld met de transportsleutel van het apparaat en retourneert deze naar de Cloud AP-provider.
  6. De Cloud AP-provider ontvangt de versleutelde PRT met sessiesleutel. De Cloud AP-provider gebruikt de persoonlijke transportsleutel van het apparaat om de sessiesleutel te ontsleutelen en beveiligt de sessiesleutel met behulp van de Trusted Platform Module (TPM) van het apparaat.
  7. De Cloud AP-provider retourneert een geslaagd verificatieantwoord op Windows. De gebruiker heeft vervolgens toegang tot Windows en cloud- en on-premises toepassingen zonder opnieuw te hoeven verifiëren (SSO).

De Windows Hello voor Bedrijven planningshandleiding kan worden gebruikt om u te helpen bij het nemen van beslissingen over het type Windows Hello voor Bedrijven implementatie en de opties die u moet overwegen.

Microsoft Authenticator

U kunt ook toestaan dat de telefoon van uw werknemer een verificatiemethode zonder wachtwoord wordt. Mogelijk gebruikt u de Authenticator-app al als een handige optie voor meervoudige verificatie naast een wachtwoord. U kunt de Authenticator-app ook gebruiken als een optie zonder wachtwoord.

Aanmelden bij Microsoft Edge met Microsoft Authenticator

De Authenticator-app verandert een iOS- of Android-telefoon in een sterke, wachtwoordloze referentie. Gebruikers kunnen zich aanmelden bij elk platform of elke browser door een melding op hun telefoon te ontvangen, waarbij een nummer op het scherm overeenkomt met het nummer op hun telefoon en vervolgens hun biometrische gegevens (aanraking of gezicht) of pincode gebruiken om te bevestigen. Raadpleeg De Microsoft Authenticator downloaden en installeren voor installatiedetails.

Verificatie zonder wachtwoord met behulp van de Authenticator-app volgt hetzelfde basispatroon als Windows Hello voor Bedrijven. Het is iets ingewikkelder omdat de gebruiker moet worden geïdentificeerd, zodat Azure AD de versie van de Authenticator-app kan vinden die wordt gebruikt:

Diagram met een overzicht van de stappen die nodig zijn voor het aanmelden van gebruikers met de Microsoft Authenticator-app

  1. De gebruiker voert zijn gebruikersnaam in.
  2. Azure AD detecteert dat de gebruiker een sterke referentie heeft en de stroom Sterke referentie start.
  3. Er wordt een melding verzonden naar de app via Apple Push Notification Service (APNS) op iOS-apparaten of via Firebase Cloud Messaging (FCM) op Android-apparaten.
  4. De gebruiker ontvangt de pushmelding en opent de app.
  5. De app roept Azure AD aan en ontvangt een proof-of-presence-uitdaging en nonce.
  6. De gebruiker voltooit de uitdaging door zijn biometrische of pincode in te voeren om de persoonlijke sleutel te ontgrendelen.
  7. De nonce is ondertekend met de persoonlijke sleutel en teruggestuurd naar Azure AD.
  8. Azure AD voert openbare/persoonlijke sleutelvalidatie uit en retourneert een token.

Als u aan de slag wilt gaan met aanmelden zonder wachtwoord, voert u de volgende instructies uit:

FIDO2-beveiligingssleutels

De FIDO (Fast IDentity Online) Alliance helpt open verificatiestandaarden te bevorderen en het gebruik van wachtwoorden als een vorm van verificatie te verminderen. FIDO2 is de nieuwste standaard die de webverificatiestandaard (WebAuthn) bevat.

FIDO2-beveiligingssleutels zijn een onherstelbare op standaarden gebaseerde verificatiemethode zonder wachtwoord die in elke vormfactor kan worden geleverd. Fast Identity Online (FIDO) is een open standaard voor verificatie zonder wachtwoord. MET FIDO kunnen gebruikers en organisaties gebruikmaken van de standaard om zich aan te melden bij hun resources zonder gebruikersnaam of wachtwoord met behulp van een externe beveiligingssleutel of een platformsleutel die is ingebouwd in een apparaat.

Gebruikers kunnen zich registreren en vervolgens een FIDO2-beveiligingssleutel selecteren in de aanmeldingsinterface als hun belangrijkste verificatiemiddel. Deze FIDO2-beveiligingssleutels zijn doorgaans USB-apparaten, maar kunnen ook Bluetooth of NFC gebruiken. Met een hardwareapparaat dat de verificatie verwerkt, wordt de beveiliging van een account verhoogd omdat er geen wachtwoord is dat kan worden weergegeven of geraden.

FIDO2-beveiligingssleutels kunnen worden gebruikt om zich aan te melden bij hun Azure AD of hybride Azure AD gekoppelde Windows 10 apparaten en eenmalige aanmelding bij hun cloud- en on-premises resources op te halen. Gebruikers kunnen zich ook aanmelden bij ondersteunde browsers. FIDO2-beveiligingssleutels zijn een uitstekende optie voor ondernemingen die zeer beveiligingsgevoelig zijn of scenario's hebben of werknemers die hun telefoon niet als tweede factor willen gebruiken.

We hebben een referentiedocument waarvoor browsers FIDO2-verificatie ondersteunen met Azure AD, evenals aanbevolen procedures voor ontwikkelaars die FIDO2-verificatie willen ondersteunen in de toepassingen die ze ontwikkelen.

Aanmelden bij Microsoft Edge met een beveiligingssleutel

Het volgende proces wordt gebruikt wanneer een gebruiker zich aanmeldt met een FIDO2-beveiligingssleutel:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met een FIDO2-beveiligingssleutel

  1. De gebruiker sluit de FIDO2-beveiligingssleutel aan op de computer.
  2. Windows detecteert de FIDO2-beveiligingssleutel.
  3. Windows verzendt een verificatieaanvraag.
  4. Azure AD stuurt een nonce terug.
  5. De gebruiker voltooit zijn beweging om de persoonlijke sleutel te ontgrendelen die is opgeslagen in de beveiligde enclave van de FIDO2-beveiligingssleutel.
  6. De FIDO2-beveiligingssleutel ondertekent de nonce met de persoonlijke sleutel.
  7. De aanvraag voor het primaire vernieuwingstoken (PRT) met ondertekende nonce wordt verzonden naar Azure AD.
  8. Azure AD controleert de ondertekende nonce met behulp van de openbare FIDO2-sleutel.
  9. Azure AD retourneert PRT om toegang tot on-premises resources in te schakelen.

FIDO2-beveiligingssleutelproviders

De volgende providers bieden FIDO2-beveiligingssleutels van verschillende formulierfactoren die bekend zijn dat ze compatibel zijn met de ervaring zonder wachtwoord. We raden u aan om de beveiligingseigenschappen van deze sleutels te evalueren door contact op te leggen met de leverancier en met FIDO Alliance.

Provider Biometrische USB NFC BLE FIPS-gecertificeerd Contactpersoon
AuthenTrend Y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N Y N N https://www.cyberonecard.com/
Ensuriteit Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N Y N N N https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. N Y Y Y N https://www.gotrustid.com/idem-key
Hid N Y Y N N https://www.hidglobal.com/contact-us
Hypersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Octatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Swissbit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Thales-groep N Y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Zwitserland Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Notitie

Als u op NFC gebaseerde beveiligingssleutels aanschaft en wilt gebruiken, hebt u een ondersteunde NFC-lezer nodig voor de beveiligingssleutel. De NFC-lezer is geen Vereiste of beperking van Azure. Neem contact op met de leverancier voor uw NFC-beveiligingssleutel voor een lijst met ondersteunde NFC-lezers.

Als u een leverancier bent en uw apparaat wilt ophalen in deze lijst met ondersteunde apparaten, raadpleegt u onze richtlijnen voor het worden van een leverancier van fido2-beveiligingssleutels die compatibel zijn met Microsoft.

Voltooi de volgende instructies om aan de slag te gaan met FIDO2-beveiligingssleutels:

Ondersteunde scenario's

De volgende overwegingen zijn van toepassing:

  • Beheerders kunnen verificatiemethoden zonder wachtwoord inschakelen voor hun tenant.

  • Beheerders kunnen zich richten op alle gebruikers of gebruikers/groepen binnen hun tenant selecteren voor elke methode.

  • Gebruikers kunnen deze verificatiemethoden zonder wachtwoord registreren en beheren in hun accountportal.

  • Gebruikers kunnen zich aanmelden met deze verificatiemethoden zonder wachtwoord:

    • Authenticator-app: werkt in scenario's waarin Azure AD verificatie wordt gebruikt, inclusief in alle browsers, tijdens het instellen van Windows 10 en met geïntegreerde mobiele apps op elk besturingssysteem.
    • Beveiligingssleutels: Werk op het vergrendelingsscherm voor Windows 10 en het web in ondersteunde browsers zoals Microsoft Edge (zowel verouderde als nieuwe Edge).
  • Gebruikers kunnen referenties zonder wachtwoord gebruiken om toegang te krijgen tot resources in tenants waar ze een gast zijn, maar ze moeten mogelijk nog steeds MFA uitvoeren in die resourcetenant. Zie Mogelijke dubbele meervoudige verificatie voor meer informatie.

  • Gebruikers registreren mogelijk geen referenties zonder wachtwoord in een tenant waar ze een gast zijn, op dezelfde manier als ze geen wachtwoord hebben dat in die tenant wordt beheerd.

Een methode zonder wachtwoord kiezen

De keuze tussen deze drie opties zonder wachtwoord is afhankelijk van de beveiligings-, platform- en app-vereisten van uw bedrijf.

Hier volgen enkele factoren waarmee u rekening moet houden bij het kiezen van technologie zonder wachtwoord van Microsoft:

Windows Hello voor Bedrijven Aanmelden zonder wachtwoord met de Authenticator-app FIDO2-beveiligingssleutels
Vereiste Windows 10 versie 1809 of hoger
Azure Active Directory
Authenticator-app
Telefoon (iOS- en Android-apparaten)
Windows 10 versie 1903 of hoger
Azure Active Directory
Modus Platform Software Hardware
Systemen en apparaten Pc met een ingebouwde Trusted Platform Module (TPM)
Pincode en biometrische herkenning
Pincode en biometrische herkenning op telefoon FIDO2-beveiligingsapparaten die compatibel zijn met Microsoft
Gebruikerservaring Meld u aan met een pincode of biometrische herkenning (gezichts-, iris- of vingerafdruk) met Windows-apparaten.
Windows Hello verificatie is gekoppeld aan het apparaat; de gebruiker heeft zowel het apparaat als een aanmeldingsonderdeel nodig, zoals een pincode of biometrische factor voor toegang tot bedrijfsbronnen.
Meld u aan met een mobiele telefoon met vingerafdrukscan, gezichts- of irisherkenning of pincode.
Gebruikers melden zich aan bij een werk- of persoonlijk account vanaf hun pc of mobiele telefoon.
Aanmelden met fido2-beveiligingsapparaat (biometrie, pincode en NFC)
De gebruiker heeft toegang tot het apparaat op basis van organisatiecontroles en verificatie op basis van pincode, biometrie met behulp van apparaten zoals USB-beveiligingssleutels en NFC-smartcards, sleutels of draagbare apparaten.
Ingeschakelde scenario's Wachtwoordloze ervaring met Windows-apparaten.
Van toepassing op een toegewezen werk-pc met de mogelijkheid voor eenmalige aanmelding bij apparaten en toepassingen.
Wachtwoordloze oplossing overal met mobiele telefoon.
Van toepassing op elk apparaat voor toegang tot werk- of persoonlijke toepassingen op internet.
Wachtwoordloze ervaring voor werknemers die biometrie, pincode en NFC gebruiken.
Van toepassing op gedeelde pc's en wanneer een mobiele telefoon geen haalbare optie is (zoals voor helpdeskmedewerkers, openbare kiosk of ziekenhuisteam)

Gebruik de volgende tabel om te kiezen welke methode uw vereisten en gebruikers ondersteunt.

Persona Scenario Omgeving Technologie zonder wachtwoord
Beheerder Beveiligde toegang tot een apparaat voor beheertaken Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Beheerder Beheertaken op niet-Windows-apparaten Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Informatiemedewerker Productiviteitswerk Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Informatiemedewerker Productiviteitswerk Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Frontline worker Kiosken in een fabriek, fabriek, detailhandel of gegevensinvoer Gedeelde Windows 10-apparaten FIDO2-beveiligingssleutels

Volgende stappen

Als u aan de slag wilt gaan met wachtwoordloos in Azure AD, voert u een van de volgende procedures uit: