Uwierzytelnianie bez hasła za pomocą Microsoft Intune

Uwierzytelnianie bez hasła zmniejsza ryzyko wyłudzania informacji i kradzieży poświadczeń przez zastąpienie haseł silniejszymi metodami logowania, takimi jak Windows Hello, klucze zabezpieczeń FIDO2, klucze dostępu, certyfikaty, logowanie telefoniczne usługi Microsoft Authenticator i tymczasowy dostęp.

Microsoft Intune nie wystawia poświadczeń bez hasła. Zamiast tego przygotowuje urządzenia, aplikacje i środowiska użytkownika, aby te metody bez hasła działały niezawodnie na dużą skalę. Microsoft Entra ID jest urzędem tożsamości, który weryfikuje poświadczenia i wymusza zasady uwierzytelniania i dostępu warunkowego, podczas gdy Microsoft Intune konfiguruje ustawienia urządzenia, wymusza zgodność i umożliwia korzystanie z możliwości platformy, od których zależą te metody. Razem Microsoft Entra ID i Microsoft Intune zapewniają podstawy tożsamości i gotowość urządzenia wymagane do wdrożenia uwierzytelniania bez hasła na różnych platformach i różnych formach.

Środowisko bez hasła różni się w zależności od platformy. W systemie Windows często obejmuje ona zarówno logowanie urządzenia, jak i dostęp do aplikacji za pośrednictwem logowania jednokrotnego. W systemie macOS koncentruje się ono na uwierzytelnianiu platformy i logowanie jednokrotnym w aplikacjach, a nie na głębokiej tożsamości związanej z urządzeniem. W systemach iOS/iPadOS i Android częściej koncentruje się na logowanie do aplikacji, uwierzytelnianie obsługiwane przez brokera i zachowanie klucza dostępu niż na logowanie urządzenia. Należy pamiętać o tych różnicach podczas oceny wymagań platformy i planowania wdrożenia.

W tym artykule wyjaśniono, w jaki sposób Microsoft Intune obsługuje strategię bez hasła z perspektywy administratora. Aby uzyskać szczegółowe informacje o wdrożeniu, postępuj zgodnie z linkami implementacji dla każdej metody bez hasła.

Jak działa rozwiązanie bez hasła firmy Microsoft

Rozwiązania bez hasła firmy Microsoft Microsoft Entra ID na potrzeby tożsamości i logowania jednokrotnego (SSO) z Microsoft Intune na potrzeby konfiguracji urządzenia i wymuszania zasad. Ta kombinacja umożliwia użytkownikom uwierzytelnianie przy użyciu silnych poświadczeń — takich jak dane biometryczne, klucze zabezpieczeń FIDO2 lub klucze dostępu — bez wprowadzania haseł.

Microsoft Entra ID jest podstawowym dostawcą tożsamości. Sprawdza poświadczenia bez hasła, takie jak Windows Hello numerów PIN, kluczy FIDO2 i kluczy dostępu. Po pomyślnym uwierzytelnieniu Microsoft Entra ID wystawia podstawowy token odświeżania (PRT) lub równoważny, umożliwiając bezproblemowe logowanie jednokrotne do platformy Microsoft 365, Azure i innych chronionych zasobów. Zasady dostępu warunkowego oceniają stan urządzenia, siłę uwierzytelniania i sygnały ryzyka przed udzieleniem dostępu.

Microsoft Intune przygotowuje urządzenia do logowania bez hasła, konfigurując ustawienia, wymuszając zgodność, wdrażając wymagane aplikacje i obsługując środowiska platformy, które sprawiają, że bez hasła są praktyczne na dużą skalę. Microsoft Intune udostępnia administratorom jedną płaszczyznę zarządzania dla systemów Windows, macOS, iOS/iPadOS i Android.

Możliwości platformy w systemach Windows, macOS, iOS i Android zapewniają środowisko związane z urządzeniem, w tym biometrię, bezpieczny sprzęt (TPM w systemie Windows, bezpieczną enklawę w systemie macOS), obsługę klucza dostępu i logowanie jednokrotne obsługiwane przez brokera.

Ta separacja jest ważna. Microsoft Entra ID jest urzędem tożsamości. Microsoft Intune jest warstwą zarządzania, która pomaga użytkownikom w pomyślnym wdrożeniu i użyciu tych metod.

Bez hasła, uwierzytelnianie wieloskładnikowe i odporność na wyłudzanie informacji

Uwierzytelnianie bez hasła nie eliminuje czynników zabezpieczeń. Większość metod bez hasła faktycznie spełnia wymagania uwierzytelniania wieloskładnikowego (MFA). Na przykład Windows Hello używa poświadczenia związanego z urządzeniem (posiadania) w połączeniu z gestem biometrycznym (niespójnością) lub numerem PIN (wiedza), co jest zgodne z projektem uwierzytelniania wieloskładnikowego. W związku z tym zasady siły uwierzytelniania dostępu warunkowego klasyfikują wiele metod bez hasła jako zgodne z uwierzytelnianiem wieloskładnikowym lub nawet jako uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji.

Nie wszystkie opcje bez hasła zapewniają taki sam poziom ochrony. Zrozumienie różnicy między metodami odpornymi na wyłudzanie informacji i nieodnawianym wyłudzaniem informacji pomaga wybrać odpowiednie siły uwierzytelniania i zaprojektować strategię bezpiecznej tożsamości.

  • Metody odporne na wyłudzanie informacji używają powiązanych ze sprzętem asymetrycznych kluczy kryptograficznych, których nie można przechwycić ani odtworzyć — nawet jeśli użytkownik wchodzi w interakcję ze złośliwym lub sfałszowanym monitem.
  • Metody nieodparte na wyłudzaniu informacji używają przepływów bez hasła, ale nadal mogą być zagrożone przez inżynierię społeczną, monitowanie o manipulowanie lub zmęczenie uwierzytelnianiem wieloskładnikowym.

Każda metoda opisana w dalszej części tego artykułu zawiera poziom odporności na wyłudzanie informacji.

Dowiedz się więcej

Zalety uwierzytelniania bez hasła za pomocą Microsoft Intune

W przypadku korzystania z Microsoft Intune, Microsoft Entra ID i możliwości platformy twoja organizacja zyskuje:

  • Bezproblemowe logowanie jednokrotne: użytkownicy logują się raz na urządzeniu i uzyskują automatyczny dostęp do aplikacji, usług w chmurze oraz — w niektórych przypadkach — zasobów lokalnych. Wywołania resetowania haseł i powtarzające się monity uwierzytelniania są eliminowane.
  • Wygoda użytkownika na różnych urządzeniach: użytkownicy uzyskują natywne, spójne środowisko na różnych urządzeniach. Windows Hello korzysta z logowania do systemu operacyjnego, system macOS integruje funkcję Touch ID z Microsoft Entra ID, a platformy mobilne używają programu Microsoft Authenticator i kluczy dostępu platformy. Użytkownicy nie muszą żonglować oddzielnymi hasłami na urządzenie.
  • Silniejsza postawa bezpieczeństwa: Metody odporne na wyłudzanie informacji zapobiegają kradzieży poświadczeń i ponownemu atakowi. Sprawdzanie zgodności urządzeń zapewnia, że nawet prawidłowe poświadczenia działają tylko z urządzeń zarządzanych w dobrej kondycji — zgodnie z zasadami Zero Trust.
  • Mniejsze obciążenie pomocy technicznej it: mniejsza liczba resetowania haseł, łatwiejsze dołączanie z tymczasowym dostępem i opcje samoobsługowego odzyskiwania zmniejszają liczbę pomocy technicznej.
  • Architektura gotowa na przyszłość: W miarę rozwoju standardów nowe metody bez hasła — w tym zsynchronizowane klucze dostępu i poświadczenia oparte na sprzęcie — mogą podłączyć się do tej samej architektury Microsoft Entra ID + Microsoft Intune bez konieczności poważnego przeprojektowania.

Jak Microsoft Intune napędza wdrażanie bez hasła

Microsoft Intune umożliwia i operacjonalizuje uwierzytelnianie bez hasła, zapewniając, że urządzenia i aplikacje są prawidłowo skonfigurowane do używania silnych, nowoczesnych poświadczeń. Chociaż Microsoft Entra ID zarządza zasadami tożsamości i uwierzytelniania, Microsoft Intune przygotowuje środowisko urządzenia, od których zależą metody bez hasła.

Kluczowe elementy współtworzenia obejmują:

  • Gotowość urządzenia: rejestrowanie, rejestrowanie i konfigurowanie urządzeń, aby mogły uczestniczyć w przepływach logowania bez hasła.
  • Wdrożenie konfiguracji: dostarczanie zasad wymaganych do Windows Hello dla firm, uwierzytelniania opartego na certyfikatach, logowania jednokrotnego platformy Firmy Apple i podobnych możliwości platformy.
  • Sygnały zgodności i dostępu: dostarczanie danych dotyczących kondycji i zgodności urządzeń, które jest obliczana przez dostęp warunkowy przed udzieleniem dostępu.
  • Aprowizowanie aplikacji i brokerów: wdrażanie podstawowych aplikacji , takich jak Microsoft Authenticator i Microsoft Intune Portal firmy, które umożliwiają brokera tożsamości i scenariusze logowania jednokrotnego bez hasła.
  • Ujednolicone zarządzanie między platformami: zapewnianie spójnych zasad i struktur zarządzania w systemach Windows, macOS, iOS/iPadOS i Android w celu usprawnienia wdrażania w przedsiębiorstwie.

Metody bez hasła dostępne dla użytkowników zależą zarówno od platformy urządzenia, jak i opcji uwierzytelniania włączonych w Microsoft Entra ID. Microsoft Intune zapewnia, że każde urządzenie jest przygotowane, skonfigurowane i może zapewnić bezpieczne i niezawodne środowisko bez hasła.

Windows Hello

Odporne na wyłudzanie informacji

Windows Hello zastępuje hasła kluczem asymetrycznym powiązanym z urządzeniem, który jest generowany i zapieczętowany w programie TPM. Dostęp do klucza jest kontrolowany przez numer PIN lub gest biometryczny (odcisk palca lub rozpoznawanie twarzy), łącząc posiadanie i przestrzeganie w kroku logowania jednokrotnego. Ta metoda jest wspierana sprzętowo i odporna na wyłudzanie informacji na urządzeniach z systemem Windows.

rola Intune
Microsoft Intune przygotowuje urządzenia z systemem Windows do Windows Hello przez dostarczanie i wymuszanie ustawień zasad Windows Hello dla firm.

Ta metoda jest najbardziej odpowiednia, gdy trzeba:

  • Przygotowywanie urządzeń z systemem Windows w chmurze do logowania bez hasła.
  • Zapewnianie ustawień zasad Windows Hello dla firm podczas rejestracji i ciągłego zarządzania.
  • Dopasuj logowanie do systemu Windows przy użyciu zgodności urządzeń i nowoczesnego zarządzania.

Dowiedz się więcej

Klucze zabezpieczeń FIDO2

Odporne na wyłudzanie informacji

Klucze zabezpieczeń FIDO2 to urządzenia fizyczne (USB, NFC lub Bluetooth), które przechowują poświadczenia FIDO i zapewniają uwierzytelnianie odporne na wyłudzanie informacji bez polegania na platformie urządzenia. Ponieważ poświadczenie jest powiązane z kluczem sprzętowym i weryfikowane za pomocą wyzwania kryptograficznego, nie można go przechwycić ani odtworzyć. Klucze FIDO2 są idealne dla urządzeń udostępnionych, środowisk o wysokim poziomie bezpieczeństwa lub jako ścieżka odzyskiwania obok poświadczeń opartych na platformie.

rola Intune
Microsoft Intune może pomóc w przygotowaniu urządzeń do tej metody przez zarządzanie obsługiwanymi platformami i powiązanymi środowiskami logowania.

Ta metoda jest często dobrym rozwiązaniem, gdy organizacje potrzebują:

  • Przenośna opcja bez hasła dla urządzeń udostępnionych lub wyspecjalizowanych.
  • Silna opcja odporna na wyłudzanie informacji, która nie jest powiązana z jedną platformą ani z usługą Microsoft Authenticator.
  • Ścieżka odzyskiwania lub alternatywna obok poświadczeń opartych na platformie.

Aby uzyskać wskazówki dotyczące implementacji, zobacz:

Klucze dostępu

Odporne na wyłudzanie informacji

Klucze dostępu to oparty na standardach parasol dla poświadczeń FIDO, które mogą być powiązane z urządzeniem lub synchronizowane między urządzeniami. W Microsoft Entra ID można użyć:

  • Klucze dostępu związane z urządzeniem przechowywane w bezpiecznym sprzęcie (TPM lub Secure Enclave) na jednym urządzeniu, na przykład za pośrednictwem Windows Hello lub Microsoft Authenticator w systemach iOS 17+ i Android 14+.
  • Zsynchronizowane klucze dostępu zarządzane przez menedżerów haseł platformy (na przykład łańcucha kluczy iCloud lub Menedżera haseł Google) lub obsługiwanych dostawców innych firm, które umożliwiają korzystanie z wielu urządzeń.
  • Microsoft Entra klucz dostępu w systemie Windows jest kluczem dostępu FIDO2, który używa Windows Hello do weryfikacji biometrycznej, ale nie wymaga dołączenia urządzenia ani rejestracji. Użytkownicy mogą rejestrować wiele kluczy dostępu dla wielu kont Microsoft Entra na tym samym urządzeniu, dzięki czemu są odpowiednie dla urządzeń udostępnionych, niezarządzanych punktów końcowych i scenariuszy, w których Windows Hello dla firm nie jest aprowizowane.

rola Intune
Z Microsoft Intune perspektywy klucze dostępu dotyczą głównie gotowości platformy i aplikacji — zarządzania wymaganiami wstępnymi dotyczącymi urządzeń i aplikacji, które sprawiają, że wdrażanie klucza dostępu jest opłacalne na różnych platformach.

Ta zależność jest szczególnie ważna w następujących przypadkach:

  • System Windows, w którym logowanie i Windows Hello platformy mogą przecinać się z szerszym planowaniem bez hasła. Microsoft Entra klucz dostępu w systemie Windows rozszerza pokrycie kluczem dostępu na urządzenia, które nie są zarejestrowane lub przyłączone, uzupełniając Windows Hello dla firm na urządzeniach zarządzanych.
  • Systemy iOS/iPadOS i Android, gdzie klucze dostępu mogą zależeć od stanu urządzenia przenośnego i zachowania brokera aplikacji.
  • system macOS, gdzie integracja tożsamości platformy i wdrażanie środowiska logowania użytkowników.

Aby uzyskać wskazówki dotyczące implementacji, zobacz:

Logowanie telefoniczne w programie Microsoft Authenticator

Nie odporny na wyłudzanie informacji

Logowanie telefoniczne w programie Microsoft Authenticator zastępuje hasła zatwierdzeniem i numerem wypychanym pasującym do zaufanego urządzenia przenośnego użytkownika. Jest to wygodne i szeroko obsługiwane, ale opiera się na powiadomieniach wypychanych, a nie na poświadczeniach powiązanych ze sprzętem, co oznacza, że nie zapobiega w pełni atakom wyłudzającym informacje, takim jak manipulowanie monitami uwierzytelniania wieloskładnikowego.

Uwaga

Program Microsoft Authenticator może również przechowywać klucze dostępu związane z urządzeniem (iOS 17+, Android 14+), które odporne na wyłudzanie informacji. W tej sekcji opisano przepływ logowania telefonicznego opartego na wypychaniu.

rola Intune
Microsoft Intune obsługuje ten przepływ, wdrażając wymagania wstępne aplikacji mobilnej i urządzenia oraz zarządzaj nimi.

W wielu środowiskach ta obsługa obejmuje:

  • Wdrażanie programu Microsoft Authenticator na zarządzanych urządzeniach przenośnych.
  • Obsługa środowiska logowania obsługiwanej przez brokera w aplikacjach firmy Microsoft.
  • Uwzględnianie zagadnień dotyczących zasad ochrony aplikacji na platformach mobilnych, gdy są one częścią szerszego projektu dostępu mobilnego.

Aby uzyskać wskazówki dotyczące implementacji, zobacz:

Tymczasowy dostęp — dostęp

Nie jest to metoda trwała — używana do dołączania i odzyskiwania

Dostęp tymczasowy (TAP) to ograniczone w czasie poświadczenia, które administrator ma problemy, aby ułatwić użytkownikom rozruch lub odzyskanie dostępu przed ukończeniem długoterminowej konfiguracji bez hasła. Funkcja TAP nie jest trwałą metodą bez hasła i nie jest odporna na wyłudzanie informacji, ale często jest krytyczną częścią pomyślnego wdrożenia, ponieważ rozwiązuje problem z pierwszym logowaniem bez wydawania hasła.

rola Intune
Z perspektywy Microsoft Intune tymczasowy dostęp ma znaczenie, gdy chcesz:

  • Upraszczanie dołączania do metod bez hasła.
  • Zmniejsz zależność od tymczasowych haseł podczas wdrażania.
  • Łączenie scenariuszy dołączania z konfiguracją zarządzanego urządzenia z systemem Windows.

Dołączanie bez dnia za pomocą funkcji TAP

Typowym wyzwaniem we wdrożeniach bez haseł jest problem z kurczakiem i jajkiem : nowy użytkownik musi zalogować się, aby zarejestrować swoje poświadczenia bez hasła, ale nie chcesz wystawiać hasła dla tego pierwszego logowania. Funkcja TAP rozwiązuje ten problem, podając krótkotrwałe poświadczenia dla początkowej konfiguracji urządzenia i rejestracji poświadczeń.

Typowy przepływ dołączania wygląda następująco:

  1. Administracja problemy z naciśnięciem — administrator IT lub zautomatyzowany przepływ pracy generuje ograniczone czasowo naciśnięcie dla nowego użytkownika w centrum administracyjne Microsoft Entra lub za pośrednictwem usługi Microsoft interfejs interfejs Graph API.
  2. Użytkownik konfiguruje swoje urządzenie — użytkownik wprowadza funkcję TAP podczas rejestrowania za pomocą rozwiązania Windows Autopilot OOBE, konfiguracji systemu macOS asystent lub rejestracji urządzeń przenośnych. Na Windows 11 logowanie internetowe umożliwia wprowadzanie tap bezpośrednio na ekranie blokady.
  3. Użytkownik rejestruje metodę bez hasła — po zalogowaniu się przy użyciu funkcji TAP użytkownik otrzymuje monit o zarejestrowanie Windows Hello, klucza zabezpieczeń FIDO2, klucza dostępu w usłudze Microsoft Authenticator lub innej metody bez hasła. Jest to trwałe poświadczenie, które zastępuje tap.
  4. Naciśnięcie wygaśnie — funkcja TAP jest jednorazowa lub ograniczona czasowo (konfigurowalna), więc nie można jej ponownie użyć po zarejestrowaniu metody bez hasła przez użytkownika.

Ten przepływ eliminuje konieczność wystawiania, a następnie odwoływania tymczasowego hasła i zapewnia Microsoft Intune zarządzaną ścieżkę dołączania z pierwszego logowania.

Aby uzyskać wskazówki dotyczące implementacji, zobacz:

Uwierzytelnianie oparte na certyfikatach (CBA)

Odporne na wyłudzanie informacji

Uwierzytelnianie oparte na certyfikatach (CBA) używa certyfikatów cyfrowych i kryptografii asymetrycznej do weryfikowania tożsamości, dzięki czemu jest odporna na wyłudzanie informacji i uniemożliwia odtwarzanie poświadczeń. Jest szeroko stosowany w branżach regulowanych i środowiskach rządowych, często za pośrednictwem kart inteligentnych, takich jak PIV i CAC. W przeciwieństwie do innych metod bez hasła, w których Microsoft Intune głównie przygotowuje środowisko urządzenia, cba jest jednym z obszarów, w którym Microsoft Intune odgrywa bezpośrednią rolę w dystrybucji samego poświadczenia.

rola Intune
Microsoft Intune obsługuje dwa modele infrastruktury do dostarczania certyfikatów:

  • Lokalna infrastruktura PKI: organizacje z istniejącym urzędem certyfikacji mogą używać łącznika certyfikatów do Microsoft Intune, aby połączyć lokalną infrastrukturę PKI z Microsoft Intune. Łącznik umożliwia Microsoft Intune wdrażanie profilów certyfikatów SCEP i PKCS na urządzeniach zarządzanych przy użyciu istniejącej infrastruktury urzędu certyfikacji. Ten model odpowiada organizacjom, które już obsługują urząd certyfikacji przedsiębiorstwa lub muszą zintegrować się z ustalonymi inwestycjami infrastruktury kluczy publicznych.
  • Infrastruktura PKI w chmurze firmy Microsoft: W przypadku organizacji, które chcą uprościć lub wyeliminować lokalną infrastrukturę certyfikatów, infrastruktura PKI w chmurze firmy Microsoft udostępnia oparty na chmurze urząd certyfikacji w ramach Microsoft Intune Suite. Infrastruktura PKI w chmurze wystawia certyfikaty i zarządza nimi bez konieczności używania lokalnych serwerów, łączników lub sprzętowych modułów zabezpieczeń.

Niezależnie od modelu infrastruktury Microsoft Intune dostarcza certyfikaty do urządzeń przy użyciu profilów certyfikatów:

  • Zaufane profile certyfikatów głównych dystrybuują certyfikat główny urzędu certyfikacji, aby urządzenia mogły ustanowić łańcuch zaufania.
  • Profile certyfikatów protokołu SCEP żądają i wdrażają certyfikaty z urzędu certyfikacji z obsługą protokołu SCEP.
  • Profile certyfikatów PKCS żądają i wdrażają certyfikaty przy użyciu standardu PKCS #12.
  • Zaimportowane profile certyfikatów PFX wdrażają wstępnie wygenerowane certyfikaty importowane do Microsoft Intune.

Te profile działają w systemach Windows, macOS, iOS/iPadOS i Android, dzięki czemu Microsoft Intune mechanizm dostarczania łączący infrastrukturę infrastruktury infrastruktury PKI — lokalną lub chmurową — z metodą tożsamości zdefiniowaną w Microsoft Entra ID.

Aby uzyskać wskazówki dotyczące implementacji, zobacz:

Wymagania wstępne

Przed zaplanowaniem wdrożenia bez hasła sprawdź, czy środowisko spełnia wymagania dotyczące licencjonowania i platformy dla metod, których zamierzasz użyć. Niektóre funkcje bez hasła wymagają określonych warstw licencji Microsoft Entra ID lub Microsoft Intune, a każda metoda ma minimalne wymagania dotyczące wersji systemu operacyjnego.

Wymagania dotyczące licencjonowania

W zależności od wybranych metod bez hasła organizacja może wymagać Microsoft Entra ID licencji P1 lub Microsoft Entra ID P2 dla użytkowników, a także określonych licencji Microsoft Intune na zarządzanie urządzeniami i dostarczanie certyfikatów. Poniższa tabela zawiera podsumowanie wymagań licencyjnych dotyczących typowych funkcji bez hasła:

Możliwości Wymaganie licencji
Windows Hello Microsoft Entra ID P1 (w przypadku wymuszania dostępu warunkowego)
Klucze zabezpieczeń FIDO2 Microsoft Entra ID P1
Klucze dostępu (powiązane z urządzeniem i zsynchronizowane) Microsoft Entra ID P1
Logowanie telefoniczne w programie Microsoft Authenticator Microsoft Entra ID P1
Tymczasowy dostęp — dostęp Microsoft Entra ID P1
Uwierzytelnianie oparte na certyfikatach (CBA) Microsoft Entra ID P1 (P2 dla dostępu warunkowego opartego na ryzyku)
Zasady siły uwierzytelniania Microsoft Entra ID P1
Dostęp warunkowy oparty na ryzyku Microsoft Entra ID P2
Infrastruktura kluczy publicznych w chmurze firmy Microsoft licencja Microsoft Intune Suite lub autonomiczna infrastruktura PKI w chmurze
Profile zgodności i konfiguracji urządzeń Microsoft Intune (plan 1)

Dowiedz się więcej

Wymagania dotyczące platformy

Metody bez hasła opisane w tym artykule opierają się na określonych możliwościach platformy, które są dostępne tylko w niektórych wersjach systemu operacyjnego. Poniższa tabela zawiera podsumowanie wymagań platformy dla każdej metody:

Metoda System Windows macOS iOS/iPadOS Android
Windows Hello Wszyscy obsługiwali klienci systemu Windows
Klucze zabezpieczeń FIDO2 Wszyscy obsługiwali klienci systemu Windows
Klucze dostępu System Windows 11 Wszystkie obsługiwane wersje Wszystkie obsługiwane wersje Android 14+
Klucze dostępu powiązane z urządzeniem w programie Microsoft Authenticator Wszystkie obsługiwane wersje Android 14+
Logo jednokrotne platformy (bezpieczna enklawa) Wszystkie obsługiwane wersje
Logowanie internetowe (NACIŚNIJ na ekranie blokady) System Windows 11
Logowanie telefoniczne w programie Microsoft Authenticator Wszystkie obsługiwane wersje Android w wersji 11+

Uwaga

Obsługiwane odnosi się do wersji systemu operacyjnego, które Microsoft Intune obecnie obsługuje pełną funkcjonalność, wdrażanie zasad i zarządzanie.
Wymagania dotyczące wersji platformy mogą ulec zmianie wraz z każdym cyklem wydania. Zawsze weryfikuj bieżące wymagania w dokumentacji produktu dla określonej metody, którą wdrażasz.

Dowiedz się więcej

Zagadnienia dotyczące platformy

Bez hasła nie jest jedną z funkcji. Jest to zestaw środowisk specyficznych dla platformy, które polegają na Microsoft Entra ID tożsamości i Microsoft Intune do zarządzania urządzeniami.

System Windows

System Windows to najbardziej kompletny przykład współpracy rejestracji urządzeń, logowania w chmurze, stanu zabezpieczeń i środowiska użytkownika bez hasła.

Microsoft Intune często obsługuje scenariusze bez hasła systemu Windows, wykonując następujące czynności:

  • Przygotowywanie urządzeń przyłączonych Microsoft Entra do chmury.
  • Dostarczanie konfiguracji Windows Hello dla firm.
  • Obsługa środowisk kluczy zabezpieczeń FIDO2.
  • Dostosowywanie gotowości urządzeń do zgodności i nowoczesnego zarządzania.
  • Obsługa środowisk dołączania, które mogą łączyć się z rozwiązaniem Windows Autopilot.

Gdy użytkownik loguje się przy użyciu Windows Hello lub klucza FIDO2, system Windows uzyskuje podstawowy token odświeżania z Microsoft Entra ID. Ten prt umożliwia bezproblemowe logowanie jednokrotne do aplikacji platformy Microsoft 365, aplikacji SaaS i — po skonfigurowaniu zaufania Protokołu Kerberos w chmurze — zasobów lokalnych, takich jak udziały plików, bez dodatkowych monitów o zalogowanie.

Dowiedz się więcej

Zagadnienia hybrydowe i starsze

W środowiskach bez haseł opisanych w tym artykule przyjęto założenie, że chmura jest w pierwszej kolejności z urządzeniami przyłączonymi do Microsoft Entra. Organizacje z urządzeniami przyłączonymi do hybrydowych Microsoft Entra powinny mieć świadomość następujących różnic:

  • Logowanie internetowe (używane do korzystania z funkcji TAP na ekranie blokady systemu Windows) jest obsługiwane tylko na urządzeniach przyłączonych Microsoft Entra, a nie na urządzeniach przyłączonych hybrydowo Microsoft Entra.
  • Windows Hello dla firm działa zarówno na urządzeniach przyłączonych Microsoft Entra, jak i urządzeniach przyłączonych hybrydowo Microsoft Entra, ale wdrożenia hybrydowe mogą wymagać dodatkowej infrastruktury w zależności od modelu zaufania.
  • Dostęp do zasobów lokalnych z urządzeń przyłączonych do Microsoft Entra wymaga zaufania protokołu Kerberos w chmurze lub zaufania opartego na certyfikatach. Zaufanie protokołu Kerberos w chmurze jest zalecanym modelem, ponieważ nie wymaga wdrażania certyfikatów na potrzeby uwierzytelniania Kerberos. Aby uzyskać więcej informacji, zobacz [cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
  • Starsze aplikacje wymagające uwierzytelniania Kerberos w usłudze Active Directory mogą nadal działać z metodami bez hasła, ale aplikacje wymagające powiązania NTLM lub bezpośredniego powiązania LDAP mogą wymagać dodatkowego planowania.

Jeśli środowisko jest hybrydowe, zaplanuj wdrożenie bez hasła, zaczynając od urządzeń przyłączonych do Microsoft Entra i rozwiń węzeł na urządzenia hybrydowe Microsoft Entra dołączone do infrastruktury.

Dowiedz się więcej

macOS

W systemie macOS planowanie bez hasła zależy od sposobu integracji Microsoft Entra ID z logowaniem do platformy i logowaniem jednokrotnym. Microsoft Intune zapewnia konfigurację urządzenia potrzebną do integracji tożsamości ukierunkowanych na firmę Apple.

Dzięki wtyczce logowania jednokrotnego przedsiębiorstwa firmy Microsoft i platformie logowania jednokrotnego firmy Apple Microsoft Intune może wdrożyć konfigurację, która umożliwia użytkownikom logowanie się na komputerze Mac przy użyciu poświadczeń Microsoft Entra ID. Skonfigurowanie przy użyciu metody klucza bezpiecznej enklawy zapewnia odporne na wyłudzanie informacji, oparte na sprzęcie środowisko logowania podobne do Windows Hello.

Te informacje mają znaczenie podczas planowania:

  • Logowanie jednokrotne platformy i powiązane środowiska logowania.
  • Logowanie jednokrotne między urządzeniem a aplikacjami firmy Microsoft.
  • Spójny model zarządzania obok urządzeń z systemem Windows i urządzeniami przenośnymi.

Dowiedz się więcej

iOS i iPadOS

W systemach iOS i iPadOS planowanie bez hasła koncentruje się bardziej na logowaniach do aplikacji, uwierzytelnianiu obsługiwanym przez brokera i zachowaniu klucza dostępu niż na logowanie urządzenia. Microsoft Intune wdraża aplikacje i ustawienia oraz zarządza nimi, dzięki czemu te środowiska są spójne dla użytkowników.

Rozszerzenie logowania jednokrotnego firmy Microsoft w systemie iOS może przechwytywać żądania uwierzytelniania w aplikacjach firmy Microsoft i innych firm, umożliwiając bezproblemowe logowanie po początkowej konfiguracji urządzenia. Usługa Microsoft Authenticator działa jako broker uwierzytelniania, a także może przechowywać klucze dostępu powiązane z urządzeniem w systemie iOS 17+ w celu uwierzytelniania odpornego na wyłudzanie informacji.

Dowiedz się więcej

Android

W systemie Android Microsoft Intune ustanawia kontekst zarządzany, od których zależą przepływy uwierzytelniania bez hasła i brokera. Ten kontekst jest szczególnie istotny, gdy program Microsoft Authenticator lub powiązane środowiska aplikacji są częścią projektu dostępu mobilnego.

Zarówno Portal firmy, jak i Microsoft Authenticator mogą pełnić rolę brokerów uwierzytelniania w systemie Android. Po zalogowaniu się użytkownika za pośrednictwem brokera Microsoft Entra ID wystawia podstawowy token odświeżania, który włącza logowanie jednokrotne we wszystkich aplikacjach obsługujących brokera w profilu służbowym. W systemie Android 14 lub nowszym program Microsoft Authenticator może również przechowywać klucze dostępu powiązane z urządzeniem na potrzeby uwierzytelniania odpornego na wyłudzanie informacji.

Dowiedz się więcej

Zależności uwierzytelniania bez hasła

architektura Zero Trust

Uwierzytelnianie bez hasła jest częścią szerszej strategii dostępu do tożsamości i urządzeń. W przypadku administratora Microsoft Intune planowanie zwykle obejmuje następujące warstwy:

  • Tożsamość: metody uwierzytelniania odporne na wyłudzanie informacji w Microsoft Entra ID.
  • Zaufanie urządzenia: Microsoft Intune rejestracji, zgodności i konfiguracji.
  • Zasady dostępu: dostęp warunkowy i powiązane planowanie wykluczeń.
  • Ochrona danych: funkcje usługi Microsoft Purview, które pomagają chronić zawartość po udzieleniu dostępu.
  • Badanie i reagowanie: Microsoft Defender sygnały i przepływy pracy, gdy konieczne są dalsze działania związane z ryzykiem lub naruszeniem zabezpieczeń.

Dowiedz się więcej

Dostęp warunkowy

Dostęp warunkowy ocenia sygnały, takie jak stan urządzenia i siła uwierzytelniania przed udzieleniem dostępu. W połączeniu z metodami bez hasła dostęp warunkowy może wymuszać zasady siły uwierzytelniania, które wymagają uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji — skutecznie nakazując bez hasła, blokując słabsze metody, takie jak hasła lub kody SMS.

Podczas implementowania dostępu warunkowego obok bez hasła należy również uwzględnić planowanie dostępu awaryjnego, aby zapobiec przypadkowym scenariuszom blokady.

Dowiedz się więcej

Dostęp awaryjny i odzyskiwanie

Typowym problemem podczas usuwania haseł jest to, co się dzieje, gdy użytkownik traci swoje jedyne urządzenie bez hasła - telefon, klucz FIDO2 lub laptop z Windows Hello. Bez planu odzyskiwania administratorzy mogą napotkać eskalacje pomocy technicznej, a użytkownicy mogą zostać zablokowani z krytycznych zasobów.

Zaplanuj te scenariusze w ramach wdrożenia bez hasła:

  • Konta dostępu awaryjnego: obsługa co najmniej dwóch kont typu break-glass, które są wykluczone z zasad dostępu warunkowego i wymuszania bez hasła. Te konta zapewniają ścieżkę powrotną, jeśli błędna konfiguracja lub awaria blokuje cały inny dostęp. Bezpieczne przechowywanie poświadczeń i monitorowanie aktywności logowania na tych kontach.
  • Odzyskiwanie z tymczasowym dostępem: gdy użytkownik utraci swoje urządzenie bez hasła, administrator może wydać nowe naciśnięcie, aby użytkownik mógł zalogować się i zarejestrować poświadczenie zastępcze. Takie podejście pozwala uniknąć resetowania użytkownika do hasła i zachowuje przepływ odzyskiwania w modelu bez hasła.
  • Wiele zarejestrowanych metod: w miarę możliwości zachęć użytkowników do zarejestrowania więcej niż jednej metody bez hasła. Na przykład użytkownik, który używa funkcji Hello dla firm na swoim laptopie, może również zarejestrować klucz dostępu w programie Microsoft Authenticator na telefonie. Jeśli jedno urządzenie zostanie utracone, druga metoda nadal działa.
  • Samoobsługowe zarządzanie poświadczeniami: użytkownicy mogą zarządzać metodami uwierzytelniania w witrynie Moje informacje zabezpieczające. W połączeniu z odzyskiwaniem opartym na funkcji TAP takie podejście zmniejsza zależność pomocy technicznej w przypadku resetowania poświadczeń.
  • Całkowita utrata odzyskiwania przy użyciu Zweryfikowany identyfikator: w przypadku scenariuszy, w których użytkownik utraci wszystkie zarejestrowane poświadczenia i urządzenia, Microsoft Entra odzyskiwanie konta przy użyciu Zweryfikowany identyfikator udostępnia ścieżkę odzyskiwania zweryfikowaną tożsamością, która nie opiera się na hasłach ani poświadczeniach wystawionych przez pomoc techniczną.

Planowanie odzyskiwania przed wymuszeniem bez hasła jest niezbędne. Wdrożenie, które blokuje hasła bez ścieżki odzyskiwania, tworzy scenariusze blokady, które osłabiają zaufanie administratora i użytkownika do przejścia.

Dowiedz się więcej

Zgodność i gotowość urządzenia

Bez hasła często zależy od tego, czy urządzenie jest w odpowiednim stanie, zanim użytkownicy będą mogli polegać na środowisku. Gotowość zwykle obejmuje:

Weryfikacja i bieżące operacje

Aby zweryfikować wdrożenie bez hasła, typowe punkty kontrolne obejmują:

Wdrażanie i komunikacja użytkowników

Gotowość techniczna to tylko jedna część wdrożenia bez hasła. Użytkownicy, którzy są przyzwyczajeni do haseł, mogą napotkać błąd lub opór podczas zmiany przepływów logowania. Planowanie komunikacji użytkowników i pomocy technicznej może mieć wpływ na płynne przejście i powszechną eskalację pomocy technicznej.

Rozważmy następujące rozwiązania:

  • Poinformuj o zmianie wcześnie: poinformuj użytkowników, że ich środowisko logowania się zmienia, dlaczego się zmienia i czego się spodziewać. Skup się na korzyściach — mniejszej liczbie haseł do zapamiętania, szybszym logowaniem i silniejszym bezpieczeństwie.
  • Podaj wskazówki specyficzne dla platformy: środowisko bez hasła jest inne w systemach Windows (Hello biometryczne lub PIN), macOS (Touch ID with Platform SSO), iOS (Authenticator lub passkeys) i Android (Authenticator broker). Dostosuj komunikację do platform, które mają użytkownicy.
  • Identyfikowanie grup pilotażowych: zacznij od grupy użytkowników, którzy mogą przetestować środowisko i przekazać opinię przed wymuszeniem bez hasła w całej organizacji. Pracownicy IT, wcześni użytkownicy i zespoły z obsługą zabezpieczeń są często dobrymi kandydatami.
  • Przygotowywanie pracowników pomocy technicznej: upewnij się, że zespół pomocy technicznej wie, jak wydać tymczasowy dostęp do odzyskiwania, jak prowadzić użytkowników przez rejestrację poświadczeń i gdzie sprawdzać dzienniki logowania w przypadku wystąpienia problemów.

Dowiedz się więcej

  • Last updated on