Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
Firma Microsoft zaleca metody uwierzytelniania bez hasła, takie jak Windows Hello, passkeys (FIDO2) i aplikacja Microsoft Authenticator, ponieważ zapewniają one najbezpieczniejsze środowisko logowania. Chociaż użytkownik może zalogować się przy użyciu innych typowych metod, takich jak nazwa użytkownika i hasło, hasła powinny zostać zastąpione bardziej bezpiecznymi metodami uwierzytelniania.
Uwierzytelnianie wieloskładnikowe firmy Microsoft dodaje dodatkowe zabezpieczenia tylko przy użyciu hasła, gdy użytkownik się zaloguje. Użytkownik może zostać poproszony o dodatkowe uwierzytelnienie, np. zareagowanie na powiadomienie push, wprowadzanie kodu z tokenu programowego lub sprzętowego albo zareagowanie na wiadomość SMS lub połączenie telefoniczne.
Aby uprościć środowisko dołączania użytkownika i zarejestrować się zarówno w przypadku uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła (SSPR), zalecamy włączenie połączonej rejestracji informacji zabezpieczających. Aby zapewnić odporność, zalecamy, aby użytkownicy musieli zarejestrować wiele metod uwierzytelniania. Jeśli jedna metoda nie jest dostępna dla użytkownika podczas logowania lub samoobsługowego resetowania hasła, może zdecydować się na uwierzytelnianie za pomocą innej metody. Aby uzyskać więcej informacji, zobacz Tworzenie odpornej strategii zarządzania kontrolą dostępu w usłudze Microsoft Entra ID.
Oto wideo, które utworzyliśmy, aby ułatwić wybór najlepszej metody uwierzytelniania, aby zapewnić bezpieczeństwo organizacji.
Siła i zabezpieczenia metody uwierzytelniania
Podczas wdrażania funkcji, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft w organizacji, zapoznaj się z dostępnymi metodami uwierzytelniania. Wybierz metody spełniające lub przekraczające wymagania dotyczące zabezpieczeń, użyteczności i dostępności. Jeśli to możliwe, użyj metod uwierzytelniania z najwyższym poziomem zabezpieczeń.
W poniższej tabeli przedstawiono zagadnienia dotyczące zabezpieczeń dostępnych metod uwierzytelniania. Dostępność wskazuje, że użytkownik może użyć metody uwierzytelniania, a nie dostępności usługi w identyfikatorze Entra firmy Microsoft:
| Metoda uwierzytelniania | Zabezpieczenia | Użyteczność | Dostępność |
|---|---|---|---|
| Windows Hello for Business | Wys. | Wys. | Wys. |
| Microsoft Authenticator | Wys. | Wys. | Wys. |
| Authenticator Lite | Wys. | Wys. | Wys. |
| Klucz dostępu (FIDO2) | Wys. | Wys. | Wys. |
| Uwierzytelnianie oparte na certyfikatach | Wys. | Wys. | Wys. |
| Tokeny sprzętowe OATH (wersja zapoznawcza) | Śred. | Śred. | Wys. |
| Tokeny oprogramowania OATH | Śred. | Śred. | Wys. |
| Dostęp tymczasowy (TAP) | Śred. | Wys. | Wys. |
| SMS | Śred. | Wys. | Śred. |
| Głos | Śred. | Śred. | Śred. |
| Hasło | Niskie | Wysokie | Wys. |
Aby uzyskać najnowsze informacje na temat zabezpieczeń, zapoznaj się z naszymi wpisami w blogu:
- Nadszedł czas, aby zawiesić się na transportach telefonicznych na potrzeby uwierzytelniania
- Luki w zabezpieczeniach uwierzytelniania i wektory ataków
Napiwek
Aby uzyskać elastyczność i użyteczność, zalecamy korzystanie z aplikacji Microsoft Authenticator. Ta metoda uwierzytelniania zapewnia najlepsze środowisko użytkownika i wiele trybów, takich jak bez hasła, powiadomienia wypychane MFA i kody OATH.
Jak działa każda metoda uwierzytelniania
Niektóre metody uwierzytelniania mogą być używane jako podstawowy czynnik podczas logowania się do aplikacji lub urządzenia, na przykład przy użyciu klucza zabezpieczeń FIDO2 lub hasła. Inne metody uwierzytelniania są dostępne tylko jako czynnik pomocniczy, gdy używasz uwierzytelniania wieloskładnikowego firmy Microsoft lub samoobsługowego resetowania hasła.
W poniższej tabeli przedstawiono, kiedy można użyć metody uwierzytelniania podczas zdarzenia logowania:
| Method | Uwierzytelnianie podstawowe | Uwierzytelnianie pomocnicze |
|---|---|---|
| Windows Hello for Business | Tak | MFA* |
| Microsoft Authenticator (wypychanie) | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
| Microsoft Authenticator (bez hasła) | Tak | Nr* |
| Authenticator Lite | Nie. | Uwierzytelnianie wieloskładnikowe |
| Klucz dostępu (FIDO2) | Tak | Uwierzytelnianie wieloskładnikowe |
| Uwierzytelnianie oparte na certyfikatach | Tak | Uwierzytelnianie wieloskładnikowe |
| Tokeny sprzętowe OATH (wersja zapoznawcza) | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
| Tokeny oprogramowania OATH | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
| Dostęp tymczasowy (TAP) | Tak | Uwierzytelnianie wieloskładnikowe |
| SMS | Tak | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
| Połączenie głosowe | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
| Password | Tak | Nie. |
* Windows Hello dla firm sama w sobie nie służy jako poświadczenie uwierzytelniania wieloskładnikowego. Na przykład żądanie uwierzytelniania wieloskładnikowego z częstotliwości logowania lub żądanie SAML zawierające forceAuthn=true. Windows Hello dla firm może służyć jako krok poświadczeń uwierzytelniania wieloskładnikowego przez użycie uwierzytelniania FIDO2. Wymaga to pomyślnego zarejestrowania użytkowników na potrzeby uwierzytelniania FIDO2.
* Logowanie bez hasła może być używane do uwierzytelniania pomocniczego tylko wtedy, gdy uwierzytelnianie oparte na certyfikatach (CBA) jest używane do uwierzytelniania podstawowego. Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie techniczne uwierzytelniania opartego na certyfikatach firmy Microsoft.
Wszystkie te metody uwierzytelniania można skonfigurować w centrum administracyjnym firmy Microsoft Entra i coraz częściej korzystać z interfejsu API REST programu Microsoft Graph.
Aby dowiedzieć się więcej o tym, jak działa każda metoda uwierzytelniania, zobacz następujące oddzielne artykuły koncepcyjne:
- Windows Hello for Business
- Aplikacja Microsoft Authenticator
- Klucz dostępu (FIDO2)
- Uwierzytelnianie oparte na certyfikatach
- Tokeny sprzętowe OATH (wersja zapoznawcza)
- Tokeny oprogramowania OATH
- Dostęp tymczasowy (TAP)
- Logowanie i weryfikacja wiadomości SMS
- Weryfikacja połączeń głosowych
- Hasło
Uwaga
W usłudze Microsoft Entra ID hasło jest często jedną z podstawowych metod uwierzytelniania. Nie można wyłączyć metody uwierzytelniania haseł. Jeśli używasz hasła jako podstawowego czynnika uwierzytelniania, zwiększ bezpieczeństwo zdarzeń logowania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
W niektórych scenariuszach można użyć następujących dodatkowych metod weryfikacji:
- Hasła aplikacji — używane w przypadku starych aplikacji, które nie obsługują nowoczesnego uwierzytelniania i można je skonfigurować do uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników.
- Pytania zabezpieczające — używane tylko w przypadku samoobsługowego resetowania hasła
- Adres e-mail — używany tylko do samoobsługowego resetowania hasła
Metody do użycia i nienadajne
Administracja istratory mogą wyświetlać metody uwierzytelniania użytkowników w centrum administracyjnym firmy Microsoft Entra. Metody do użycia są wymienione jako pierwsze, a następnie metody niezdatne do użycia.
Każda metoda uwierzytelniania może stać się bezużyteczna z różnych powodów. Na przykład dostęp tymczasowy może wygaśnieć lub zaświadczanie klucza zabezpieczeń FIDO2 może zakończyć się niepowodzeniem. Portal zostanie zaktualizowany, aby podać przyczynę braku użycia metody.
Metody uwierzytelniania, które nie są już dostępne z powodu "Wymagaj ponownego zarejestrowania uwierzytelniania wieloskładnikowego" są również wyświetlane tutaj.
Następne kroki
Aby rozpocząć, zobacz samouczek dotyczący samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego firmy Microsoft Entra.
Aby dowiedzieć się więcej na temat pojęć związanych z samoobsługowym resetowaniem hasła, zobacz Jak działa samoobsługowe resetowanie haseł firmy Microsoft.
Aby dowiedzieć się więcej na temat pojęć dotyczących uwierzytelniania wieloskładnikowego, zobacz Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft.
Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph.
Aby sprawdzić, jakie metody uwierzytelniania są używane, zobacz Microsoft Entra multifactor authentication method analysis with PowerShell (Analiza metod uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu programu PowerShell).