Verificatieopties zonder wachtwoord voor Azure Active Directory

Functies zoals meervoudige verificatie (MFA) zijn een uitstekende manier om uw organisatie te beveiligen, maar gebruikers raken vaak gefrustreerd door de extra beveiligingslaag naast het onthouden van hun wachtwoorden. Verificatiemethoden zonder wachtwoord zijn handiger omdat het wachtwoord wordt verwijderd en vervangen door iets dat u hebt, plus iets dat u bent of iets dat u weet.

Verificatie Iets wat u hebt Iets wat u bent of weet
Zonder wachtwoord Windows 10 apparaat, telefoon of beveiligingssleutel Biometrische gegevens of pincode

Elke organisatie heeft verschillende behoeften als het gaat om verificatie. Microsoft globale Azure en Azure Government bieden de volgende drie opties voor verificatie zonder wachtwoord die kunnen worden geïntegreerd met Azure Active Directory (Azure AD):

  • Windows Hello voor Bedrijven
  • Microsoft Authenticator
  • FIDO2-beveiligingssleutels

Verificatie: beveiliging versus gemak

Windows Hello voor Bedrijven

Windows Hello voor Bedrijven is ideaal voor informatiewerkers die hun eigen aangewezen Windows-pc hebben. De biometrische en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor niemand anders dan de eigenaar toegang heeft. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello voor Bedrijven een handige methode voor naadloos toegang tot bedrijfsresources on-premises en in de cloud.

Voorbeeld van een gebruikersaanmelding met Windows Hello voor Bedrijven

In de volgende stappen ziet u hoe het aanmeldingsproces werkt met Azure AD:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met Windows Hello voor Bedrijven

  1. Een gebruiker meldt zich aan bij Windows met een biometrische of pincodebeweging. De beweging ontgrendelt de Windows Hello voor Bedrijven persoonlijke sleutel en wordt verzonden naar de cloudverificatiebeveiligingsondersteuningsprovider, ook wel de Cloud AP-provider genoemd.
  2. De Cloud AP-provider vraagt een nonce (een willekeurig willekeurig getal dat slechts eenmaal kan worden gebruikt) aan bij Azure AD.
  3. Azure AD retourneert een nonce die 5 minuten geldig is.
  4. De Cloud AP-provider ondertekent de nonce met behulp van de persoonlijke sleutel van de gebruiker en retourneert de ondertekende nonce naar de Azure AD.
  5. Azure AD valideert de ondertekende nonce met behulp van de veilig geregistreerde openbare sleutel van de gebruiker op basis van de nonce-handtekening. Azure AD valideert de handtekening en valideert vervolgens de geretourneerde ondertekende nonce. Wanneer de nonce is gevalideerd, maakt Azure AD een primair vernieuwingstoken (PRT) met een sessiesleutel die is versleuteld met de transportsleutel van het apparaat en retourneert deze naar de cloud-AP-provider.
  6. De Cloud AP-provider ontvangt de versleutelde PRT met sessiesleutel. De Cloud AP-provider gebruikt de persoonlijke transportsleutel van het apparaat om de sessiesleutel te ontsleutelen en beveiligt de sessiesleutel met behulp van de Trusted Platform Module (TPM) van het apparaat.
  7. De Cloud AP-provider retourneert een geslaagd verificatieantwoord naar Windows. De gebruiker heeft vervolgens toegang tot Windows en cloud- en on-premises toepassingen zonder opnieuw te hoeven verifiëren (SSO).

De Windows Hello voor Bedrijven planningshandleiding kan worden gebruikt om u te helpen bij het nemen van beslissingen over het type Windows Hello voor Bedrijven implementatie en de opties die u moet overwegen.

Microsoft Authenticator

U kunt ook toestaan dat de telefoon van uw werknemer een verificatiemethode zonder wachtwoord wordt. Mogelijk gebruikt u de Authenticator-app al als een handige optie voor meervoudige verificatie naast een wachtwoord. U kunt de Authenticator-app ook gebruiken als een optie zonder wachtwoord.

Aanmelden bij Microsoft Edge met de Microsoft Authenticator

De Authenticator-app verandert elke iOS- of Android-telefoon in een sterke, wachtwoordloze referentie. Gebruikers kunnen zich aanmelden bij elk platform of elke browser door een melding op hun telefoon te ontvangen, een nummer dat op het scherm wordt weergegeven te vergelijken met het nummer op hun telefoon en vervolgens hun biometrische gegevens (aanraking of gezicht) of pincode te gebruiken om te bevestigen. Raadpleeg De Microsoft Authenticator downloaden en installeren voor installatiedetails.

Verificatie zonder wachtwoord met behulp van de Authenticator-app volgt hetzelfde basispatroon als Windows Hello voor Bedrijven. Het is iets ingewikkelder omdat de gebruiker moet worden geïdentificeerd, zodat Azure AD de versie van de Authenticator-app kunt vinden die wordt gebruikt:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met de Microsoft Authenticator-app

  1. De gebruiker voert zijn gebruikersnaam in.
  2. Azure AD detecteert dat de gebruiker een sterke referentie heeft en start de stroom Sterke referenties.
  3. Een melding wordt naar de app verzonden via Apple Push Notification Service (APNS) op iOS-apparaten of via Firebase Cloud Messaging (FCM) op Android-apparaten.
  4. De gebruiker ontvangt de pushmelding en opent de app.
  5. De app roept Azure AD aan en ontvangt een proof-of-presence-uitdaging en nonce.
  6. De gebruiker voltooit de uitdaging door zijn biometrische gegevens of pincode in te voeren om de persoonlijke sleutel te ontgrendelen.
  7. De nonce wordt ondertekend met de persoonlijke sleutel en teruggestuurd naar Azure AD.
  8. Azure AD voert openbare/persoonlijke sleutelvalidatie uit en retourneert een token.

Voer de volgende instructies uit om aan de slag te gaan met aanmelden zonder wachtwoord:

FIDO2-beveiligingssleutels

De FIDO (Fast IDentity Online) Alliance helpt open verificatiestandaarden te bevorderen en het gebruik van wachtwoorden als een vorm van verificatie te verminderen. FIDO2 is de nieuwste standaard die de standaard webverificatie (WebAuthn) bevat.

FIDO2-beveiligingssleutels zijn een op standaarden gebaseerde verificatiemethode zonder wachtwoord die in elke vorm kan worden geleverd. Fast Identity Online (FIDO) is een open standaard voor verificatie zonder wachtwoord. MET FIDO kunnen gebruikers en organisaties gebruikmaken van de standaard om zich aan te melden bij hun resources zonder een gebruikersnaam of wachtwoord met behulp van een externe beveiligingssleutel of een platformsleutel die is ingebouwd in een apparaat.

Gebruikers kunnen zich registreren en vervolgens een FIDO2-beveiligingssleutel selecteren in de aanmeldingsinterface als hun belangrijkste verificatiemethode. Deze FIDO2-beveiligingssleutels zijn doorgaans USB-apparaten, maar kunnen ook gebruikmaken van Bluetooth of NFC. Met een hardwareapparaat dat de verificatie afhandelt, wordt de beveiliging van een account verhoogd omdat er geen wachtwoord kan worden weergegeven of geraden.

FIDO2-beveiligingssleutels kunnen worden gebruikt om zich aan te melden bij hun Azure AD of hybride Azure AD gekoppelde Windows 10 apparaten en om eenmalige aanmelding te krijgen bij hun cloud- en on-premises resources. Gebruikers kunnen zich ook aanmelden bij ondersteunde browsers. FIDO2-beveiligingssleutels zijn een uitstekende optie voor ondernemingen die zeer beveiligingsgevoelig zijn of scenario's hebben of werknemers die hun telefoon niet als tweede factor willen of kunnen gebruiken.

We hebben een referentiedocument waarvoor browsers FIDO2-verificatie met Azure AD ondersteunen, evenals best practices voor ontwikkelaars die FIDO2-verificatie willen ondersteunen in de toepassingen die ze ontwikkelen.

Aanmelden bij Microsoft Edge met een beveiligingssleutel

Het volgende proces wordt gebruikt wanneer een gebruiker zich aanmeldt met een FIDO2-beveiligingssleutel:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met een FIDO2-beveiligingssleutel

  1. De gebruiker sluit de FIDO2-beveiligingssleutel aan op de computer.
  2. Windows detecteert de FIDO2-beveiligingssleutel.
  3. Windows verzendt een verificatieaanvraag.
  4. Azure AD stuurt een nonce terug.
  5. De gebruiker voltooit de beweging om de persoonlijke sleutel te ontgrendelen die is opgeslagen in de beveiligde enclave van de FIDO2-beveiligingssleutel.
  6. De FIDO2-beveiligingssleutel ondertekent de nonce met de persoonlijke sleutel.
  7. De aanvraag voor het primaire vernieuwingstoken (PRT) met ondertekende nonce wordt verzonden naar Azure AD.
  8. Azure AD controleert de ondertekende nonce met behulp van de openbare FIDO2-sleutel.
  9. Azure AD retourneert PRT om toegang tot on-premises resources in te schakelen.

FIDO2-beveiligingssleutelproviders

De volgende providers bieden FIDO2-beveiligingssleutels van verschillende formulierfactoren waarvan bekend is dat ze compatibel zijn met de ervaring zonder wachtwoord. We raden u aan de beveiligingseigenschappen van deze sleutels te evalueren door contact op te stellen met de leverancier en met FIDO Alliance.

Provider Biometrische USB NFC BLE FIPS-gecertificeerd Contactpersoon
AuthenTrend y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N y N N https://www.cyberonecard.com/
Ensurity Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N y N n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n y Y Y N https://www.gotrustid.com/idem-key
Hid N Y Y N N https://www.hidglobal.com/contact-us
Hypersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Octatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Swissbit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Thales-groep N y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Zwitserland Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey-oplossingen Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Notitie

Als u nfc-beveiligingssleutels koopt en wilt gebruiken, hebt u een ondersteunde NFC-lezer nodig voor de beveiligingssleutel. De NFC-lezer is geen Azure-vereiste of -beperking. Neem contact op met de leverancier voor uw op NFC gebaseerde beveiligingssleutel voor een lijst met ondersteunde NFC-lezers.

Als u een leverancier bent en uw apparaat in deze lijst met ondersteunde apparaten wilt opnemen, raadpleegt u onze richtlijnen voor het worden van een Microsoft-compatibele FIDO2-beveiligingssleutelleverancier.

Voltooi de volgende instructies om aan de slag te gaan met FIDO2-beveiligingssleutels:

Ondersteunde scenario's

De volgende overwegingen zijn van toepassing:

  • Beheerders kunnen verificatiemethoden zonder wachtwoord inschakelen voor hun tenant.

  • Beheerders kunnen zich richten op alle gebruikers of gebruikers/groepen binnen hun tenant selecteren voor elke methode.

  • Gebruikers kunnen deze verificatiemethoden zonder wachtwoord registreren en beheren in hun accountportal.

  • Gebruikers kunnen zich aanmelden met deze verificatiemethoden zonder wachtwoord:

    • Authenticator-app: werkt in scenario's waarin Azure AD verificatie wordt gebruikt, inclusief in alle browsers, tijdens Windows 10 installatie en met geïntegreerde mobiele apps op elk besturingssysteem.
    • Beveiligingssleutels: Werk op het vergrendelingsscherm voor Windows 10 en het web in ondersteunde browsers zoals Microsoft Edge (zowel verouderde als nieuwe Edge).
  • Gebruikers kunnen referenties zonder wachtwoord gebruiken om toegang te krijgen tot resources in tenants waar ze gast zijn, maar ze moeten mogelijk nog steeds MFA uitvoeren in die resourcetenant. Zie Mogelijke dubbele meervoudige verificatie voor meer informatie.

  • Gebruikers mogen geen referenties zonder wachtwoord registreren binnen een tenant waarin ze gast zijn, net zoals ze geen wachtwoord hebben dat in die tenant wordt beheerd.

Een methode zonder wachtwoord kiezen

De keuze tussen deze drie opties zonder wachtwoord is afhankelijk van de beveiligings-, platform- en app-vereisten van uw bedrijf.

Hier volgen enkele factoren die u moet overwegen bij het kiezen van Microsoft technologie zonder wachtwoord:

Windows Hello voor Bedrijven Aanmelden zonder wachtwoord met de Authenticator-app FIDO2-beveiligingssleutels
Vereiste Windows 10 versie 1809 of hoger
Azure Active Directory
Authenticator-app
Telefoon (iOS- en Android-apparaten)
Windows 10 versie 1903 of hoger
Azure Active Directory
Modus Platform Software Hardware
Systemen en apparaten Pc met een ingebouwde Trusted Platform Module (TPM)
Pincode en biometrische herkenning
Pincode en biometrische herkenning op telefoon FIDO2-beveiligingsapparaten die Microsoft compatibel zijn
Gebruikerservaring Meld u aan met een pincode of biometrische herkenning (gezicht, iris of vingerafdruk) met Windows-apparaten.
Windows Hello verificatie is gekoppeld aan het apparaat; de gebruiker heeft zowel het apparaat als een aanmeldingsonderdeel, zoals een pincode of biometrische factor, nodig om toegang te krijgen tot bedrijfsbronnen.
Meld u aan met een mobiele telefoon met vingerafdrukscan, gezichts- of irisherkenning of pincode.
Gebruikers melden zich aan bij hun werk- of persoonlijke account vanaf hun pc of mobiele telefoon.
Aanmelden met een FIDO2-beveiligingsapparaat (biometrie, pincode en NFC)
De gebruiker heeft toegang tot het apparaat op basis van de besturingselementen van de organisatie en kan zich verifiëren op basis van pincode, biometrie met behulp van apparaten zoals USB-beveiligingssleutels en NFC-smartcards, sleutels of wearables.
Ingeschakelde scenario's Ervaring zonder wachtwoord met Windows-apparaat.
Van toepassing op toegewezen werk-pc's met de mogelijkheid voor eenmalige aanmelding bij apparaten en toepassingen.
Overal een oplossing zonder wachtwoord met mobiele telefoon.
Van toepassing voor toegang tot zakelijke of persoonlijke toepassingen op internet vanaf elk apparaat.
Ervaring zonder wachtwoord voor werknemers die biometrie, pincode en NFC gebruiken.
Van toepassing op gedeelde pc's en waar een mobiele telefoon geen haalbare optie is (zoals voor helpdeskpersoneel, openbare kiosk of ziekenhuisteam)

Gebruik de volgende tabel om te kiezen welke methode uw vereisten en gebruikers ondersteunt.

Persona Scenario Omgeving Technologie zonder wachtwoord
Beheerder Toegang tot een apparaat beveiligen voor beheertaken Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Beheerder Beheertaken op niet-Windows-apparaten Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Informatiemedewerker Productiviteitswerk Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Informatiemedewerker Productiviteitswerk Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Frontlijnmedewerker Kiosken in een fabriek, fabriek, detailhandel of gegevensinvoer Gedeelde Windows 10-apparaten FIDO2-beveiligingssleutels

Volgende stappen

Voer een van de volgende procedures uit om aan de slag te gaan met wachtwoordloos in Azure AD: