Co to jest uwierzytelnianie Azure Active Directory?

Jedną z głównych funkcji platformy tożsamości jest zweryfikowanie lub uwierzytelnienie poświadczeń podczas logowania użytkownika do urządzenia, aplikacji lub usługi. W Azure Active Directory (Azure AD) uwierzytelnianie wymaga więcej niż tylko weryfikacji nazwy użytkownika i hasła. Aby zwiększyć bezpieczeństwo i zmniejszyć potrzebę pomocy technicznej, uwierzytelnianie usługi Azure AD obejmuje następujące składniki:

  • Samoobsługowe resetowanie haseł
  • Uwierzytelnianie wieloskładnikowe w usłudze Azure AD
  • Integracja hybrydowa do zapisywania zmian haseł w środowisku lokalnym
  • Integracja hybrydowa w celu wymuszania zasad ochrony haseł dla środowiska lokalnego
  • Uwierzytelnianie bez hasła

Zapoznaj się z krótkim filmem wideo, aby dowiedzieć się więcej o tych składnikach uwierzytelniania.

Ulepszanie środowiska użytkownika końcowego

Usługa Azure AD pomaga chronić tożsamość użytkownika i uprościć ich środowisko logowania. Funkcje, takie jak samoobsługowe resetowanie hasła, umożliwiają użytkownikom aktualizowanie lub zmienianie haseł przy użyciu przeglądarki internetowej z dowolnego urządzenia. Ta funkcja jest szczególnie przydatna, gdy użytkownik zapomniał hasła lub jego konto jest zablokowane. Nie czekając na pomoc techniczną lub administratora, użytkownik może odblokować się i kontynuować pracę.

Usługa Azure AD Multi-Factor Authentication umożliwia użytkownikom wybranie dodatkowej formy uwierzytelniania podczas logowania, takiej jak połączenie telefoniczne lub powiadomienie aplikacji mobilnej. Ta możliwość zmniejsza wymaganie pojedynczej, stałej formy uwierzytelniania pomocniczego, takiego jak token sprzętowy. Jeśli użytkownik nie ma obecnie jednej formy dodatkowego uwierzytelniania, może wybrać inną metodę i kontynuować pracę.

Authentication methods in use at the sign-in screen

Uwierzytelnianie bez hasła eliminuje potrzebę utworzenia i zapamiętania bezpiecznego hasła przez użytkownika. Możliwości, takie jak Windows Hello dla firm lub FIDO2, umożliwiają użytkownikom logowanie się do urządzenia lub aplikacji bez hasła. Ta możliwość może zmniejszyć złożoność zarządzania hasłami w różnych środowiskach.

Samoobsługowe resetowanie haseł

Samoobsługowe resetowanie hasła daje użytkownikom możliwość zmiany lub zresetowania hasła bez udziału administratora ani pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomnę hasła, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę połączeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do urządzenia ani aplikacji.

Samoobsługowe resetowanie hasła działa w następujących scenariuszach:

  • Zmiana hasła — gdy użytkownik zna swoje hasło, ale chce zmienić je na coś nowego.
  • Resetowanie hasła — gdy użytkownik nie może się zalogować, na przykład gdy nie pamięta hasła i chce zresetować hasło.
  • Odblokowywanie konta — gdy użytkownik nie może się zalogować, ponieważ jego konto jest zablokowane i chcesz odblokować swoje konto.

Gdy użytkownik aktualizuje lub resetuje swoje hasło przy użyciu samoobsługowego resetowania hasła, to hasło może być również zapisywane z powrotem w środowisku lokalna usługa Active Directory. Zapisywanie zwrotne haseł zapewnia, że użytkownik może natychmiast używać swoich zaktualizowanych poświadczeń z urządzeniami i aplikacjami lokalnymi.

Uwierzytelnianie wieloskładnikowe w usłudze Azure AD

Uwierzytelnianie wieloskładnikowe to proces, w którym podczas procesu logowania użytkownik otrzymuje monit mający na celu uzyskanie dodatkowej formy identyfikacji, na przykład wprowadzenie kodu w telefonie komórkowym lub zeskanowanie odcisku palca.

Jeśli używasz hasła tylko do uwierzytelniania użytkownika, pozostawia niezabezpieczony wektor ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, czy to naprawdę użytkownik loguje się przy użyciu nazwy użytkownika i hasła, czy jest to osoba atakująca? Jeśli potrzebujesz drugiej formy uwierzytelniania, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub duplikatu.

Conceptual image of the different forms of multi-factor authentication

Usługa Azure AD Multi-Factor Authentication działa, wymagając co najmniej dwóch następujących metod uwierzytelniania:

  • Coś, co wiesz, zazwyczaj jest hasłem.
  • Coś, co masz, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon lub klucz sprzętowy.
  • Coś, co jesteś - biometryczne, takie jak odcisk palca lub skanowanie twarzy.

Użytkownicy mogą zarejestrować się zarówno w celu samoobsługowego resetowania hasła, jak i usługi Azure AD Multi-Factor Authentication w jednym kroku, aby uprościć środowisko dołączania. Administratorzy mogą definiować formy uwierzytelniania pomocniczego. Usługa Azure AD Multi-Factor Authentication może być również wymagana, gdy użytkownicy wykonują samoobsługowe resetowanie hasła w celu dalszego zabezpieczenia tego procesu.

Ochrona hasłem

Domyślnie usługa Azure AD blokuje słabe hasła, takie jak Hasło1. Globalna lista zakazanych haseł jest automatycznie aktualizowana i wymuszana, która zawiera znane słabe hasła. Jeśli użytkownik usługi Azure AD próbuje ustawić swoje hasło na jedno z tych słabych haseł, otrzyma powiadomienie o wybraniu bezpieczniejszego hasła.

Aby zwiększyć bezpieczeństwo, można zdefiniować niestandardowe zasady ochrony haseł. Te zasady mogą użyć filtrów, aby zablokować dowolną odmianę hasła zawierającego nazwę, taką jak Contoso lub lokalizację, taką jak Londyn, na przykład.

W przypadku zabezpieczeń hybrydowych można zintegrować ochronę haseł usługi Azure AD ze środowiskiem lokalna usługa Active Directory. Składnik zainstalowany w środowisku lokalnym otrzymuje globalną listę zakazanych haseł i niestandardowe zasady ochrony haseł z usługi Azure AD, a kontrolery domeny używają ich do przetwarzania zdarzeń zmiany hasła. To podejście hybrydowe zapewnia, że bez względu na to, jak lub gdzie użytkownik zmienia swoje poświadczenia, wymusza użycie silnych haseł.

Uwierzytelnianie bez hasła

Celem końcowym wielu środowisk jest usunięcie użycia haseł w ramach zdarzeń logowania. Funkcje, takie jak ochrona haseł platformy Azure lub usługa Azure AD Multi-Factor Authentication, pomagają zwiększyć bezpieczeństwo, ale nazwa użytkownika i hasło pozostają słabą formą uwierzytelniania, które może zostać ujawnione lub zaatakowane przez siłę.

Security versus convenience with the authentication process that leads to passwordless

Po zalogowaniu się przy użyciu metody bez hasła poświadczenia są udostępniane przy użyciu metod, takich jak biometria z Windows Hello dla firm lub klucz zabezpieczeń FIDO2. Te metody uwierzytelniania nie mogą być łatwo zduplikowane przez osobę atakującą.

Usługa Azure AD udostępnia sposoby natywnego uwierzytelniania przy użyciu metod bez hasła, aby uprościć środowisko logowania użytkowników i zmniejszyć ryzyko ataków.

Następne kroki

Aby rozpocząć pracę, zobacz samouczek dotyczący samoobsługowego resetowania haseł (SSPR) i usługi Azure AD Multi-Factor Authentication.

Aby dowiedzieć się więcej na temat samoobsługowego resetowania haseł, zobacz Jak działa samoobsługowe resetowanie haseł w usłudze Azure AD.

Aby dowiedzieć się więcej na temat pojęć związanych z uwierzytelnianiem wieloskładnikowym, zobacz Jak działa usługa Azure AD Multi-Factor Authentication.