Opcje uwierzytelniania bez hasła dla usługi Azure Active Directory

Funkcje takie jak uwierzytelnianie wieloskładnikowe (MFA) to doskonały sposób zabezpieczania organizacji, ale użytkownicy często są sfrustrowani dodatkową warstwą zabezpieczeń na konieczność zapamiętowania swoich haseł. Metody uwierzytelniania bez hasła są wygodniejsze, ponieważ hasło jest usuwane i zastępowane czymś, co masz, a także coś, co znasz.

Authentication Coś, co masz Coś, co jesteś lub wiesz
Logowanie bez hasła Windows 10 urządzenie, telefon lub klucz zabezpieczeń Numer PIN lub biometryczny

Każda organizacja ma różne potrzeby, jeśli chodzi o uwierzytelnianie. Globalna platforma Microsoft Azure i Azure Government oferują następujące trzy opcje uwierzytelniania bez hasła zintegrowane z usługą Azure Active Directory (Azure AD):

  • Windows Hello for Business
  • Microsoft Authenticator
  • Klucze zabezpieczeń FIDO2

Uwierzytelnianie: Bezpieczeństwo a wygoda

Windows Hello for Business

Windows Hello dla firm jest idealnym rozwiązaniem dla pracowników przetwarzających informacje, które mają swój własny komputer z systemem Windows. Poświadczenia biometryczne i PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp osobie innej niż właściciel. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsłudze logowania jednokrotnego Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmowych lokalnie i w chmurze.

Przykład logowania użytkownika przy użyciu Windows Hello dla firm

W poniższych krokach pokazano, jak działa proces logowania z Azure AD:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu Windows Hello dla firm

  1. Użytkownik loguje się do systemu Windows przy użyciu gestu biometrycznego lub PIN. Gest odblokowuje klucz prywatny Windows Hello dla firm i jest wysyłany do dostawcy obsługi zabezpieczeń uwierzytelniania w chmurze, określanego jako dostawca ap w chmurze.
  2. Dostawca ap w chmurze żąda wartości innej niż (losowa dowolna liczba, która może być używana tylko raz) z Azure AD.
  3. Azure AD zwraca wartość inną niż 5 minut.
  4. Dostawca ap w chmurze podpisuje nonce przy użyciu klucza prywatnego użytkownika i zwraca podpisany nonce do Azure AD.
  5. Azure AD weryfikuje podpisany nonce przy użyciu bezpiecznie zarejestrowanego klucza publicznego użytkownika względem podpisu innego. Azure AD sprawdza poprawność podpisu, a następnie sprawdza poprawność zwróconego podpisanego nonce. Po zweryfikowaniu wartości niestandardowej Azure AD tworzy podstawowy token odświeżania (PRT) z kluczem sesji zaszyfrowanym w kluczu transportu urządzenia i zwraca go do dostawcy ap w chmurze.
  6. Dostawca ap w chmurze odbiera zaszyfrowany prT z kluczem sesji. Dostawca usługi Cloud AP używa prywatnego klucza transportu urządzenia do odszyfrowania klucza sesji i chroni klucz sesji przy użyciu modułu TPM (Trusted Platform Module) urządzenia.
  7. Dostawca ap w chmurze zwraca pomyślną odpowiedź uwierzytelniania na system Windows. Następnie użytkownik może uzyskać dostęp do systemu Windows, a także aplikacji w chmurze i lokalnych bez konieczności ponownego uwierzytelniania (SSO).

Przewodnik planowania Windows Hello dla firm może pomóc w podejmowaniu decyzji dotyczących typu wdrożenia Windows Hello dla firm i opcji, które należy wziąć pod uwagę.

Microsoft Authenticator

Możesz również zezwolić pracownikowi na użycie metody uwierzytelniania bez hasła. Oprócz hasła możesz już używać aplikacji Authenticator jako wygodnej opcji uwierzytelniania wieloskładnikowego. Możesz również użyć aplikacji Authenticator jako opcji bez hasła.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu aplikacji Microsoft Authenticator

Aplikacja Authenticator przekształca dowolny telefon z systemem iOS lub Android w silne poświadczenia bez hasła. Użytkownicy mogą zalogować się do dowolnej platformy lub przeglądarki, wysyłając powiadomienie do telefonu, pasując do numeru wyświetlanego na ekranie na telefonie, a następnie używając biometrycznego (dotyku lub twarzy) lub numeru PIN w celu potwierdzenia. Aby uzyskać szczegółowe informacje na temat instalacji, zobacz Pobieranie i instalowanie aplikacji Microsoft Authenticator .

Uwierzytelnianie bez hasła przy użyciu aplikacji Authenticator jest zgodne z tym samym wzorcem podstawowym co Windows Hello dla firm. Jest to nieco bardziej skomplikowane, ponieważ użytkownik musi zostać zidentyfikowany, aby Azure AD można było znaleźć używaną wersję aplikacji Authenticator:

Diagram przedstawiający kroki związane z logowaniem użytkownika za pomocą aplikacji Microsoft Authenticator

  1. Użytkownik wprowadza swoją nazwę użytkownika.
  2. Azure AD wykrywa, że użytkownik ma silne poświadczenia i uruchamia przepływ silnych poświadczeń.
  3. Powiadomienie jest wysyłane do aplikacji za pośrednictwem usługi Apple Push Notification Service (APNS) na urządzeniach z systemem iOS lub za pośrednictwem usługi Firebase Cloud Messaging (FCM) na urządzeniach z systemem Android.
  4. Użytkownik otrzymuje powiadomienie wypychane i otwiera aplikację.
  5. Aplikacja wywołuje Azure AD i otrzymuje wyzwanie potwierdzające obecność i nonce.
  6. Użytkownik wykonuje wyzwanie, wprowadzając numer BIOMETRYCZNy lub PIN w celu odblokowania klucza prywatnego.
  7. Nonce jest podpisany przy użyciu klucza prywatnego i wysyłany z powrotem do Azure AD.
  8. Azure AD przeprowadza weryfikację klucza publicznego/prywatnego i zwraca token.

Aby rozpocząć logowanie bez hasła, wykonaj następujące instrukcje:

Klucze zabezpieczeń FIDO2

FiDO (Fast IDentity Online) Alliance pomaga promować otwarte standardy uwierzytelniania i ograniczyć użycie haseł jako formy uwierzytelniania. FIDO2 to najnowszy standard obejmujący standard uwierzytelniania internetowego (WebAuthn).

Klucze zabezpieczeń FIDO2 to niezrównana metoda uwierzytelniania bez hasła oparta na standardach, która może mieć dowolny kształt. Fast Identity Online (FIDO) to otwarty standard uwierzytelniania bez hasła. Funkcja FIDO umożliwia użytkownikom i organizacjom korzystanie ze standardu do logowania się do zasobów bez nazwy użytkownika lub hasła przy użyciu klucza zabezpieczeń zewnętrznego lub klucza platformy wbudowanego w urządzenie.

Użytkownicy mogą zarejestrować się, a następnie wybrać klucz zabezpieczeń FIDO2 w interfejsie logowania jako główny sposób uwierzytelniania. Te klucze zabezpieczeń FIDO2 są zazwyczaj urządzeniami USB, ale mogą również używać połączenia Bluetooth lub NFC. W przypadku urządzenia sprzętowego, które obsługuje uwierzytelnianie, bezpieczeństwo konta jest zwiększane, ponieważ nie ma hasła, które można ujawnić lub odgadnąć.

Klucze zabezpieczeń FIDO2 mogą służyć do logowania się do Azure AD lub hybrydowych Azure AD dołączonych do urządzeń Windows 10 i uzyskiwania logowania jednokrotnego do zasobów w chmurze i lokalnych. Użytkownicy mogą również zalogować się do obsługiwanych przeglądarek. Klucze zabezpieczeń FIDO2 są doskonałym rozwiązaniem dla przedsiębiorstw, które są bardzo wrażliwe na zabezpieczenia lub mają scenariusze lub pracowników, którzy nie są gotowi lub mogą korzystać z telefonu jako drugi czynnik.

Mamy dokument referencyjny, dla którego przeglądarki obsługują uwierzytelnianie FIDO2 za pomocą Azure AD, a także najlepsze rozwiązania dla deweloperów, którzy chcą obsługiwać uwierzytelnianie FIDO2 w opracowywanych aplikacjach.

Logowanie się do przeglądarki Microsoft Edge przy użyciu klucza zabezpieczeń

Następujący proces jest używany, gdy użytkownik loguje się przy użyciu klucza zabezpieczeń FIDO2:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu klucza zabezpieczeń FIDO2

  1. Użytkownik podłącza klucz zabezpieczeń FIDO2 do komputera.
  2. System Windows wykrywa klucz zabezpieczeń FIDO2.
  3. System Windows wysyła żądanie uwierzytelnienia.
  4. Azure AD wysyła z powrotem nonce.
  5. Użytkownik wykonuje gest odblokowania klucza prywatnego przechowywanego w bezpiecznej enklawie klucza zabezpieczeń FIDO2.
  6. Klucz zabezpieczeń FIDO2 podpisuje element niebędący kluczem prywatnym.
  7. Żądanie tokenu podstawowego odświeżania (PRT) z podpisanym nonce jest wysyłane do Azure AD.
  8. Azure AD sprawdza podpisany nonce przy użyciu klucza publicznego FIDO2.
  9. Azure AD zwraca żądanie PRT w celu umożliwienia dostępu do zasobów lokalnych.

Dostawcy kluczy zabezpieczeń FIDO2

Następujący dostawcy oferują klucze zabezpieczeń FIDO2 różnych form, które są znane jako zgodne ze środowiskiem bez hasła. Zachęcamy do oceny właściwości zabezpieczeń tych kluczy, kontaktując się z dostawcą, a także FIDO Alliance.

Dostawca Biometrycznych USB Funkcja NFC Ble Certyfikat FIPS Kontakt
AuthenTrend Y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N Y N N https://www.cyberonecard.com/
Zachwyt Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N Y N N N https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. N Y Y Y N https://www.gotrustid.com/idem-key
Hid N Y Y N N https://www.hidglobal.com/contact-us
Hipersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Octatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Swissbit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Thales Group N Y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Szwajcaria Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Rozwiązania TrustKey Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Uwaga

Jeśli kupujesz i planujesz używać kluczy zabezpieczeń opartych na technologii NFC, potrzebujesz obsługiwanego czytnika NFC dla klucza zabezpieczeń. Czytnik NFC nie jest wymaganiem ani ograniczeniem platformy Azure. Zapoznaj się z dostawcą klucza zabezpieczeń opartego na technologii NFC, aby uzyskać listę obsługiwanych czytników NFC.

Jeśli jesteś dostawcą i chcesz uzyskać urządzenie na tej liście obsługiwanych urządzeń, zapoznaj się z naszymi wskazówkami dotyczącymi tego, jak zostać dostawcą kluczy zabezpieczeń zgodnym z firmą Microsoft.

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2, wykonaj następujące instrukcje:

Obsługiwane scenariusze

Obowiązują następujące zastrzeżenia:

  • Administratorzy mogą włączyć metody uwierzytelniania bez hasła dla swojej dzierżawy.

  • Administratorzy mogą kierować użytkowników do wszystkich użytkowników lub wybierać użytkowników/grupy w ramach dzierżawy dla każdej metody.

  • Użytkownicy mogą rejestrować te metody uwierzytelniania bez hasła i zarządzać nimi w portalu konta.

  • Użytkownicy mogą logować się przy użyciu tych metod uwierzytelniania bez hasła:

    • Aplikacja Authenticator: działa w scenariuszach, w których jest używane uwierzytelnianie Azure AD, w tym we wszystkich przeglądarkach, podczas konfigurowania Windows 10 oraz w przypadku zintegrowanych aplikacji mobilnych w dowolnym systemie operacyjnym.
    • Klucze zabezpieczeń: pracuj na ekranie blokady dla Windows 10 i sieci Web w obsługiwanych przeglądarkach, takich jak Microsoft Edge (starsza i nowa przeglądarka Microsoft Edge).
  • Użytkownicy mogą używać poświadczeń bez hasła do uzyskiwania dostępu do zasobów w dzierżawach, w których są gośćmi, ale nadal mogą być zobowiązani do wykonania uwierzytelniania wieloskładnikowego w tej dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Możliwe podwójne uwierzytelnianie wieloskładnikowe.

  • Użytkownicy mogą nie rejestrować poświadczeń bez hasła w dzierżawie, w której są gośćmi, w taki sam sposób, w jaki nie mają hasła zarządzanego w tej dzierżawie.

Wybieranie metody bez hasła

Wybór między tymi trzema opcjami bez hasła zależy od wymagań firmy dotyczących zabezpieczeń, platformy i aplikacji.

Poniżej przedstawiono kilka czynników, które należy wziąć pod uwagę podczas wybierania technologii bez hasła firmy Microsoft:

Windows Hello for Business Logowanie bez hasła za pomocą aplikacji Authenticator Klucze zabezpieczeń FIDO2
Wymagania wstępne Windows 10, wersja 1809 lub nowsze
Azure Active Directory
Aplikacja Authenticator
Telefon (urządzenia z systemami iOS i Android)
Windows 10, wersja 1903 lub nowsza
Azure Active Directory
Tryb Platforma Oprogramowanie Sprzęt
Systemy i urządzenia Komputer z wbudowanym modułem TPM (Trusted Platform Module)
Numer PIN i rozpoznawanie biometryczne
Numer PIN i rozpoznawanie biometryczne na telefonie Urządzenia zabezpieczające FIDO2, które są zgodne z firmą Microsoft
Środowisko użytkownika Zaloguj się przy użyciu numeru PIN lub funkcji rozpoznawania biometrycznego (twarzy, tęczówki lub odcisku palca) na urządzeniach z systemem Windows.
Windows Hello uwierzytelnianie jest powiązane z urządzeniem. Użytkownik potrzebuje zarówno urządzenia, jak i składnika logowania, takiego jak numer PIN lub czynnik biometryczny, aby uzyskać dostęp do zasobów firmy.
Zaloguj się przy użyciu telefonu komórkowego ze skanowaniem odcisków palców, rozpoznawaniem twarzy lub tęczówki albo numerem PIN.
Użytkownicy logują się do konta służbowego lub osobistego ze swojego komputera lub telefonu komórkowego.
Logowanie przy użyciu urządzenia zabezpieczającego FIDO2 (biometria, numer PIN i NFC)
Użytkownik może uzyskiwać dostęp do urządzeń w oparciu o mechanizmy kontroli organizacji i uwierzytelniać się na podstawie numeru PIN, biometrii przy użyciu urządzeń, takich jak klucze zabezpieczeń USB i karty inteligentne obsługujące nfc, klucze lub urządzenia do noszenia.
Scenariusze z obsługą Środowisko bez hasła na urządzeniu z systemem Windows.
Dotyczy dedykowanego komputera roboczego z możliwością logowania jednokrotnego do urządzeń i aplikacji.
Rozwiązanie bez hasła w dowolnym miejscu przy użyciu telefonu komórkowego.
Dotyczy uzyskiwania dostępu do aplikacji służbowych lub osobistych w Internecie z dowolnego urządzenia.
Środowisko bez hasła dla pracowników korzystających z biometrii, numeru PIN i komunikacji NFC.
Dotyczy udostępnionych komputerów i gdy telefon komórkowy nie jest realną opcją (np. dla personelu pomocy technicznej, kiosku publicznego lub zespołu szpitalnego)

Skorzystaj z poniższej tabeli, aby wybrać metodę, która będzie obsługiwać twoje wymagania i użytkowników.

Persona Scenariusz Środowisko Technologia bez hasła
Administracja Bezpieczny dostęp do urządzenia na potrzeby zadań zarządzania Przypisane urządzenie Windows 10 klucz zabezpieczeń Windows Hello dla firm i/lub FIDO2
Administracja Zadania zarządzania na urządzeniach z systemem innych niż Windows Urządzenie przenośne lub inne niż windows Logowanie bez hasła za pomocą aplikacji Authenticator
Pracownik przetwarzający informacje Praca nad produktywnością Przypisane urządzenie Windows 10 klucz zabezpieczeń Windows Hello dla firm i/lub FIDO2
Pracownik przetwarzający informacje Praca nad produktywnością Urządzenie przenośne lub inne niż windows Logowanie bez hasła za pomocą aplikacji Authenticator
Proces roboczy linii frontonu Kioski w fabryce, fabryce, sprzedaży detalicznej lub wpisie danych Udostępnione urządzenia Windows 10 Klucze zabezpieczeń FIDO2

Następne kroki

Aby rozpocząć pracę z funkcją bez hasła w Azure AD, wykonaj jedną z następujących instrukcji: