Способы проверки подлинности в Microsoft Entra ID: приложение Microsoft Authenticator
Приложение Microsoft Authenticator предоставляет другой уровень безопасности для рабочей или учебной учетной записи Майкрософт или учебной учетной записи Майкрософт и доступен для Android и iOS. С помощью приложения Microsoft Authenticator пользователи могут проходить проверку подлинности без пароля во время входа или другой вариант проверки во время самостоятельного сброса пароля (SSPR) или многофакторной проверки подлинности.
Теперь можно применить секретные ключи для проверки подлинности пользователей. Затем пользователи могут получать уведомление через мобильное приложение для утверждения или запрета приложения Authenticator для создания кода проверки OATH. Затем этот код можно ввести в интерфейсе входа. Если включить как код уведомления, так и кода проверки, пользователи, которые регистрируют приложение Authenticator, могут использовать любой метод для проверки удостоверения с помощью секретных ключей.
Примечание.
При подготовке поддержки секретного ключа в Microsoft Authenticator пользователи могут видеть Authenticator в качестве поставщика секретных ключей на устройствах iOS и Android. Дополнительные сведения см. в разделе "Вход Passkey " (предварительная версия)".
Чтобы использовать для входа приложение Authenticator, а не имя пользователя и пароль, выполните инструкции в статье Включение входа без пароля с помощью Microsoft Authenticator.
Примечание.
- Пользователи не могут зарегистрировать мобильное приложение, если включена функция SSPR. Вместо этого они могут зарегистрировать мобильное приложение в https://aka.ms/mfasetup или в составе регистрации объединенной информации о безопасности в https://aka.ms/setupsecurityinfo.
- Приложение Authenticator может не поддерживаться в бета-версиях iOS и Android. Кроме того, начиная с 20 октября 2023 года приложение Authenticator на Android больше не поддерживает старые вершины Android Корпоративный портал. Пользователи Android с Корпоративный портал версиями ниже 2111 (5.0.53333.0) не могут повторно зарегистрировать или зарегистрировать новые экземпляры Authenticator, пока они не обновят свое Корпоративный портал приложение до более новой версии.
Вход passkey (предварительная версия)
Authenticator — это бесплатное решение для доступа, которое позволяет пользователям выполнять проверку подлинности без пароля с помощью собственных телефонов. Некоторые ключевые преимущества использования секретных ключей в приложении Authenticator:
- Ключи доступа можно легко развертывать в большом масштабе. Затем секретные ключи доступны на телефоне пользователя для сценариев управления мобильными устройствами (MDM) и создания собственных сценариев устройства (BYOD).
- Секретные ключи в Authenticator приходят без дополнительных затрат и путешествуют с пользователем везде, где они идут.
- Секретные ключи в Authenticator привязаны к устройству, что гарантирует, что ключ доступа не покидает устройство, на котором он был создан.
- Пользователи остаются в курсе последних инноваций секретного ключа на основе открытых стандартов WebAuthn.
- Предприятия могут передавать другие возможности на основе потоков проверки подлинности, таких как соответствие FIPS 140.
Секретный ключ, привязанный к устройству
Секретные ключи в приложении Authenticator привязаны к устройству, чтобы гарантировать, что они никогда не покидают устройство, на которое они были созданы. На устройстве iOS Authenticator использует безопасный анклава для создания ключа доступа. В Android мы создадим секретный ключ в защищенном элементе на устройствах, поддерживающих его, или вернемся к доверенной среде выполнения (TEE).
Как работает аттестация ключей с Authenticator
В настоящее время ключи доступа в Authenticator не помечаются. Поддержка аттестации для секретных ключей в Authenticator планируется в будущем выпуске.
Резервное копирование и восстановление секретных ключей в Authenticator
Секретные ключи в Authenticator не резервируются и не могут быть восстановлены на новом устройстве. Чтобы создать ключи доступа на новом устройстве, используйте пароль на более старом устройстве или используйте другой метод проверки подлинности для повторного создания секретного ключа.
Беспарольный вход
Вместо того, чтобы просмотреть запрос на ввод пароля после ввода имени пользователя, пользователи, которые могут включить вход телефона из приложения Authenticator, увидит сообщение, чтобы ввести номер в своем приложении. Если номер выбран правильно, процесс входа завершается.
Этот метод проверки подлинности обеспечивает высокий уровень безопасности и избавляет пользователя от необходимости вводить пароль при входе.
Чтобы активировать вход без пароля, см. статью Включение входа без пароля с помощью Microsoft Authenticator.
Уведомление в мобильном приложении
Приложение Microsoft Authenticator помогает предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции, отправив уведомление на смартфон или планшет. Пользователи могут просмотреть уведомление и, если оно подлинное, щелкнуть Подтвердить. В противном случае можно щелкнуть Отклонить.
Примечание.
Начиная с августа 2023 года аномальные входы не создают уведомления, аналогично тому, как входы из незнакомых расположений не создают уведомления. Чтобы утвердить аномальный вход, пользователи могут открыть Microsoft Authenticator или Authenticator Lite в соответствующем приложении-компаньоне, например Outlook. Затем они могут выполнить вытягивание, чтобы обновить или коснитесь элемента "Обновить" и утвердить запрос.
В Китае уведомление через метод мобильного приложения на устройствах Android не работает, так как службы Google Play (включая push-уведомления) блокируются в регионе. Однако уведомления iOS работают. Для устройств Android альтернативные методы проверки подлинности должны быть доступны для этих пользователей.
Код проверки от мобильного приложения
Приложение Microsoft Authenticator можно использовать в качестве программного маркера для создания кода проверки OATH. После ввода имени пользователя и пароля в интерфейсе входа требуется ввести код, предоставленный приложением Microsoft Authenticator. Код проверки выступает вторым методом проверки подлинности.
Примечание.
Коды проверки OATH, созданные Authenticator, не поддерживаются для проверки подлинности на основе сертификатов.
Пользователи могут иметь сочетание до пяти аппаратных маркеров OATH или приложений проверки подлинности, таких как приложение Authenticator, настроенное для использования в любое время.
Соответствие FIPS 140 для проверки подлинности Microsoft Entra
В соответствии с рекомендациями, описанными в NIST SP 800-63B, аутентификаторы, используемые правительственными учреждениями США, необходимы для использования криптографии FIPS 140. Это руководство помогает государственным учреждениям США соответствовать требованиям Исполнительного указа (EO) 14028. Кроме того, это руководство помогает другим регулируемым отраслям, таким как медицинские организации, работающие с электронными рецептами для контролируемых веществ (EPCS) соответствуют их нормативным требованиям.
FIPS 140 — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах и системах информационных технологий. Программа проверки криптографического модуля (CMVP) поддерживает тестирование по стандарту FIPS 140.
Microsoft Authenticator для iOS
Начиная с версии 6.6.8 Microsoft Authenticator для iOS использует собственный модуль Apple CoreCrypto для проверки шифрования FIPS на устройствах, совместимых с Apple iOS FIPS 140. Все проверки подлинности Microsoft Entra с помощью фишинговых ключей, привязанных к устройству, отправки многофакторной проверки подлинности (MFA), входа без пароля телефона (PSI) и однократного секретного кода на основе времени (TOTP) используют криптографию FIPS.
Дополнительные сведения об проверенных модулях шифрования FIPS 140, используемых и совместимых устройствах iOS, см. в сертификатах безопасности Apple iOS.
Примечание.
В новых обновлениях предыдущей версии этой статьи: Microsoft Authenticator пока не соответствует FIPS 140 в Android. Microsoft Authenticator в Android в настоящее время ожидает сертификации соответствия FIPS для поддержки наших клиентов, которые могут требовать проверки шифрования FIPS.
Определение типа регистрации Microsoft Authenticator в сведениях о безопасности
Пользователи могут получить доступ к сведениям о моей безопасности (см. URL-адреса в следующем разделе) или выбрав сведения о безопасности из MyAccount для управления и добавления дополнительных регистраций Microsoft Authenticator. Специальные значки используются для различения того, является ли регистрация Microsoft Authenticator без пароля или MFA.
| Тип регистрации Authenticator | Icon |
|---|---|
| Microsoft Authenticator: вход без пароля |  |
| Microsoft Authenticator: (уведомление или код) |  |
Ссылки MySecurityInfo
| Облако | URL-адрес MySecurityInfo |
|---|---|
| Коммерческая служба Azure (включает GCC) | https://aka.ms/MySecurityInfo |
| Azure для государственных организаций США (включая GCC High и DoD) | https://aka.ms/MySecurityInfo-us |
Обновления в Authenticator
Корпорация Майкрософт постоянно обновляет Authenticator для обеспечения высокого уровня безопасности. Чтобы убедиться, что пользователи получают лучший интерфейс, рекомендуется постоянно обновлять приложение Authenticator. В случае критических обновлений системы безопасности версии приложений, которые не являются актуальными, могут перестать работать и могут блокировать выполнение пользователей проверки подлинности. Если пользователь использует версию приложения, который не поддерживается, он будет предложено обновить до последней версии, прежде чем продолжить проверку подлинности.
Корпорация Майкрософт также периодически удаляет старые версии приложения Authenticator, чтобы поддерживать высокий уровень безопасности для вашей организации. Если устройство пользователя не поддерживает современные версии приложения Microsoft Authenticator, они не могут подписаться с приложением. Мы рекомендуем использовать код проверки OATH в приложении Microsoft Authenticator для завершения двухфакторной проверки подлинности.
Следующие шаги
Сведения о начале работы с ключами доступа см. в статье "Включение ключей доступа в Microsoft Authenticator" (предварительная версия).
Дополнительные сведения о входе без пароля см. в разделе "Включить вход без пароля" с помощью Microsoft Authenticator.
Узнайте, как настроить способы проверки подлинности с помощью REST API Microsoft Graph.