Параметры проверки подлинности без пароля для идентификатора Microsoft Entra

  • Статья

Такие функции, как многофакторная проверка подлинности (MFA), — отличный инструмент для защиты организации, но пользователей часто раздражает дополнительный уровень безопасности помимо ввода паролей. Методы проверки подлинности без пароля более удобны, потому что вместо пароля вам нужно что-то, что у вас есть, а также что-то, относящееся непосредственно к вам или известное только вам.

Аутентификация То, что у вас есть Что-то, относящееся непосредственно к вам, или то, что вы знаете
Вход без пароля Устройство или телефон с Windows 10 или ключ безопасности Биометрические данные или ПИН-код

У каждой организации есть свои потребности в отношении проверки подлинности. Глобальные службы Azure и Azure для государственных организаций Microsoft предлагают следующие три варианта проверки подлинности без пароля, которые интегрируются с идентификатором Microsoft Entra:

  • Windows Hello для бизнеса
  • Microsoft Authenticator
  • Ключи безопасности FIDO2

Microsoft Authenticator: безопасность и удобство

Windows Hello для бизнеса

Windows Hello для бизнеса идеально подходит для информационных работников, у которых есть назначенный им компьютер под управлением Windows. Биометрическая информация и учетные данные напрямую привязаны к компьютеру пользователя, что исключает доступ других пользователей, кроме владельца. Благодаря интеграции с инфраструктурой открытых ключей (PKI) и встроенной поддержке единого входа (SSO) Windows Hello для бизнеса является удобным способом беспроблемного доступа к корпоративным ресурсам в локальной среде и в облаке.

Пример входа пользователя с помощью Windows Hello для бизнеса

Ниже показано, как процесс входа работает с идентификатором Microsoft Entra.

Схема, на которой изображены этапы входа пользователя в Windows Hello для бизнеса

  1. Пользователь входит в Windows с помощью биометрических данных или жеста. Жест разблокирует закрытый ключ Windows Hello для бизнеса и отправляется в облачный поставщик безопасности для проверки подлинности (облачный поставщик контроля доступа).
  2. Поставщик облачной точки доступа запрашивает nonce (случайное произвольное число, которое можно использовать только один раз) из Microsoft Entra идентификатора.
  3. Microsoft Entra id возвращает значение nonce, которое действителен в течение 5 минут.
  4. Поставщик Cloud AP подписывает nonce с помощью закрытого ключа пользователя и возвращает подписанный nonce в идентификатор Microsoft Entra.
  5. Microsoft Entra id проверяет подписанный nonce с помощью безопасно зарегистрированного открытого ключа пользователя по подписи nonce. Microsoft Entra id проверяет подпись, а затем возвращает значение nonce. При проверке nonce идентификатор Microsoft Entra создает первичный маркер обновления (PRT) с ключом сеанса, зашифрованным в транспортный ключ устройства, и возвращает его поставщику облачной точки доступа.
  6. Облачный поставщик контроля доступа получает зашифрованный PRT с ключом сеанса. Облачный поставщик контроля доступа использует закрытый ключ передачи устройства для расшифровки сеансового ключа и защищает его с помощью доверенного платформенного модуля (TPM) устройства.
  7. Облачный поставщик контроля доступа возвращает ответ об успешной проверке подлинности в Windows. Пользователь получает доступ к Windows, а также к облачным и локальным приложениям без повторной проверки подлинности (единый вход).

С помощью руководства по планированию вы можете принять решение о типе развертывания Windows Hello для бизнеса и факторах, которые необходимо учитывать.

Microsoft Authenticator

Вы также можете разрешить сотруднику использовать свой телефон в качестве беспарольного способа проверки подлинности. Возможно, вы уже используете приложение Authenticator в качестве удобного инструмента многофакторной проверки подлинности в дополнение к паролю. Приложение Authenticator также можно использовать для входа без пароля.

Вход в Microsoft Edge с помощью приложения Microsoft Authenticator

Приложение Authenticator позволяет использовать любой телефон с iOS или Android для надежной проверки подлинности без пароля. Чтобы войти на любую платформу или в любой браузер, пользователь получает уведомление на телефон, сопоставляет номер на экране с номером на телефоне, а затем подтверждает вход с использованием своих биометрических данных или ПИН-кода. Сведения об установке см. в статье Скачивание и установка приложения Microsoft Authenticator.

Проверка подлинности без пароля с помощью приложения Authenticator происходит по той же базовой схеме, что и в случае с Windows Hello для бизнеса. Это немного сложнее, так как необходимо идентифицировать пользователя, чтобы Microsoft Entra идентификатор можно было найти используемую версию приложения Authenticator:

Схема, на которой изображены этапы входа пользователя с помощью приложения Microsoft Authenticator

  1. Пользователь вводит свое имя пользователя.
  2. Microsoft Entra идентификатор определяет, что у пользователя есть надежные учетные данные, и запускает поток надежных учетных данных.
  3. В приложение отправляется уведомление через Cлужбу push-уведомлений Apple (APNS) на устройствах iOS или через Firebase Cloud Messaging (FCM) на устройствах Android.
  4. Пользователь получает push-уведомление и открывает приложение.
  5. Приложение вызывает идентификатор Microsoft Entra и получает запрос подтверждения присутствия и nonce.
  6. Пользователь отвечает на запрос, вводя свои биометрические данные или ПИН-код для разблокировки закрытого ключа.
  7. Nonce подписывается закрытым ключом и отправляется обратно в Microsoft Entra идентификатор.
  8. Microsoft Entra id выполняет проверку открытого или закрытого ключей и возвращает маркер.

Чтобы приступить к работе с решением для входа без пароля, воспользуйтесь следующими инструкциями:

Включение входа без пароля с помощью приложения Authenticator

Ключи безопасности FIDO2

Организация FIDO Alliance (Fast IDentity Online, быстрая идентификация в сети) помогает популяризировать открытые стандарты проверки подлинности и сократить использование пользователей в этих целях. FIDO2 — это новейшая версия стандарта, включающая стандарт веб-аутентификации (WebAuthn).

Ключи безопасности FIDO2 — это способ проверки подлинности без пароля на основе стандартов, реализуемый в любом форм-факторе. Fast Identity Online (FIDO) представляет собой открытый стандарт для проверки подлинности без пароля. FIDO позволяет пользователям и организациям входить на свои ресурсы без ввода имени или пароля с помощью внешнего ключа безопасности или ключа платформы, встроенного в устройство.

Пользователи могут зарегистрироваться, а затем выбрать ключ безопасности FIDO2 в интерфейсе входа в качестве основного средства проверки подлинности. Ключи безопасности FIDO2, как правило, представляют собой устройства USB, однако можно использовать и устройства с Bluetooth или NFC. При использовании аппаратного устройства для проверки подлинности безопасность учетной записи повышается, так как пароль невозможно подобрать или похитить.

Ключи безопасности FIDO2 можно использовать для входа в Microsoft Entra id или Microsoft Entra гибридных устройств Windows 10 и единого входа в облачные и локальные ресурсы. Пользователи также могут входить в поддерживаемых браузерах. Ключи безопасности FIDO2 — отличный вариант для предприятий с очень высокими требованиями к безопасности либо сценариями и сотрудниками, которые не готовы либо не могут использовать свой телефон в качестве второго фактора.

У нас есть справочный документ, в котором браузеры поддерживают проверку подлинности FIDO2 с идентификатором Microsoft Entra, а также рекомендации для разработчиков, желающих поддерживать проверку подлинности FIDO2 в разрабатываемых ими приложениях.

Вход в Microsoft Edge с помощью ключа безопасности

При входе пользователя с помощью ключа безопасности FIDO2 используется описанная ниже процедура.

Схема, на которой изображены этапы входа пользователя с помощью ключа безопасности FIDO2

  1. Пользователь подключает ключ безопасности FIDO2 к своему компьютеру.
  2. Windows обнаруживает ключ безопасности FIDO2.
  3. Windows отправляет запрос на проверку подлинности.
  4. Microsoft Entra id отправляет обратно nonce.
  5. Пользователь с помощью жеста разблокирует закрытый ключ, хранящийся в безопасном анклаве ключа безопасности FIDO2.
  6. Ключ безопасности FIDO2 подписывает nonce с помощью закрытого ключа.
  7. Запрос основного маркера обновления (PRT) с подписанным nonce отправляется на Microsoft Entra идентификатор.
  8. Microsoft Entra id проверяет подписанный nonce с помощью открытого ключа FIDO2.
  9. Microsoft Entra идентификатор возвращает PRT для предоставления доступа к локальным ресурсам.

Поставщики ключей безопасности FIDO2

Перечисленные ниже поставщики предлагают ключи безопасности FIDO2 различных форм-факторов, пригодные для входа без пароля. Мы рекомендуем оценить свойства безопасности этих ключей, обратившись к поставщику, а также к FIDO Alliance.

Поставщик Биометрические данные USB NFC BLE Сертифицировано для FIPS
AuthenTrend y y y y n
ACS n y n n n
ATOS n y y n n
Ciright n n y n n
Crayonic y n y y n
Cryptnox n y y n n
Ensurity y y n n n
Excelsecu y y y y n
Feitian y y y y y
Fortinet n y n n n
Giesecke + Devrient (G+D) y y y y n
Google n y y n n
GoTrustID Inc. n y y y n
HID n y y n n
HIDEEZ n y y y n
Hypersecu n y n n n
Hypr y y n y n
Идентив n y y n n
IDmelon Technologies Inc. y y y y n
Kensington y y n n n
KONA I y n y y n
NeoWave n y y n n
Nymi y n y n n
Octatco y y n n n
OneSpan Inc. n y n y n
Биометрия PONE y n n y n
Точность биометрии n y n n n
RSA n y n n n
Sentry n n y n n
SmartDisplayer n n y y n
Swissbit n y y n n
Thales Group n y y n y
Thetis y y y y n
Token2 Switzerland y y y n n
Кольцо токена y n y n n
TrustKey Solutions y y n n n
VinCSS n y n n n
Технологии WiSECURE n y n n n
Yubico y y y n y

Примечание

Если вы приобретаете и планируете использовать ключи безопасности на основе NFC, вам потребуется поддерживаемый NFC-сканер. Наличие NFC-сканера не является требованием или ограничением Azure. Чтобы получить список поддерживаемых NFC-сканеров, обратитесь к поставщику своего ключа безопасности NFC.

Если вы являетесь поставщиком и хотите занести свое устройство в списке поддерживаемых, ознакомьтесь с нашими инструкциями по получению статуса поставщика ключа безопасности FIDO2, совместимого с решениями Майкрософт.

Чтобы приступить к работе с ключами безопасности FIDO2, воспользуйтесь следующими инструкциями:

Включение входа без пароля с помощью ключей безопасности FIDO2

Поддерживаемые сценарии

Действительны следующие условия.

  • Администраторы могут включать различные способы проверки подлинности без пароля для своего арендатора.

  • Администраторы могут выбрать всех пользователей или группы безопасности в клиенте для каждого метода.

  • Пользователи могут регистрироваться и управлять этими способами проверки подлинности без пароля на портале учетных записей.

  • Пользователям доступны перечисленные ниже способы проверки подлинности без пароля.

    • Приложение Authenticator. Работает в сценариях, в которых используется Microsoft Entra проверка подлинности, в том числе во всех браузерах, во время установки Windows 10 и с интегрированными мобильными приложениями в любой операционной системе.
    • Ключи безопасности: работают на экране блокировки Windows 10 и на веб-страницах в поддерживаемых браузерах, таких как Microsoft Edge (как в устаревшей, так и в новой версии).

  • Пользователи могут использовать учетные данные без пароля для доступа к ресурсам арендаторов, где они работают в режиме гостя, но при этом от них все равно может требоваться прохождение MFA на соответствующем арендаторе. Дополнительные сведения см. в статье Возможное дублирование многофакторной проверки подлинности.

  • Пользователи не могут регистрировать учетные данные для входа без пароля на арендаторе, где они работают в режиме гостя, равно как и иметь управляемый пароль на этом арендаторе.

Выбор способа входа без пароля

Выбор между тремя вариантами входа без пароля зависит от требований вашей компании к безопасности, платформе и приложениям.

Ниже приведены факторы, которые следует учитывать при выборе беспарольной технологии Майкрософт.

Windows Hello для бизнеса Вход без пароля с помощью приложения Authenticator Ключи безопасности FIDO2
Предварительные требования Windows 10 версии 1809 или более поздней.
Microsoft Entra ID		 Приложение Authenticator
Телефон (устройства iOS и Android)		 Windows 10 версии 1903 или более поздней
Microsoft Entra ID
Режим Платформа Программное обеспечение Оборудование
Системы и устройства Компьютер со встроенным доверенным платформенным модулем (TPM)
ПИН-код и распознавание биометрических данных		 ПИН-код и распознавание биометрических данных на телефоне Устройства безопасности FIDO2, совместимые с решениями Майкрософт
Возможности для пользователя Вход с использованием ПИН-кода или распознавания биометрических данных (лица, сетчатки или отпечатка пальца) с помощью устройств Windows.
Проверка подлинности Windows Hello привязана к устройству; для доступа к корпоративным ресурсам пользователю требуются как устройство, так и компонент входа, например ПИН-код или биометрический фактор.		 Выход с использованием мобильного телефона со сканером отпечатков пальцев, распознаванием лица или сетчатки или ПИН-кодом.
Пользователи входят в рабочую или личную учетную запись со своего компьютера или мобильного телефона.		 Вход с помощью устройства безопасности FIDO2 (биометрических данных, ПИН-кода и NFC)
Пользователи получают доступ к устройству согласно политике своей организации и проходят проверку подлинности с помощью ПИН-кода и биометрических данных с использованием таких устройств, как USB-ключи безопасности и смарт-карты, ключи или переносные устройства с поддержкой NFC.
Возможные сценарии Беспарольный интерфейс с использованием устройства Windows.
Подходит для выделенных рабочих компьютеров с возможностью единого входа на устройство и в приложения.		 Портативное беспарольное решение с использованием мобильного телефона.
Подходит для доступа к рабочим и личным приложениям в Интернете с любого устройства.		 Беспарольный интерфейс для сотрудников с использованием биометрии, ПИН-кода и NFC.
Подходит для работы на общих компьютерах и в том случае, когда мобильный телефон не является приемлемым вариантом (например, для персонала службы поддержки, общедоступных терминалов или в медицинских учреждениях).

С помощью таблицы ниже вы можете выбрать способ с учетом ваших потребностей и пользователей.

Пользователь Сценарий Среда Технология входа без пароля
Администратор Безопасный доступ к устройству для задач управления Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Администратор Задачи управления на устройствах не на платформе Windows Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Информационный работник Офисная работа Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Информационный работник Офисная работа Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Линейный персонал Терминалы на заводах, фабриках и в магазинах или ввод данных Общие устройства под управлением Windows 10 Ключи безопасности FIDO2

Дальнейшие действия

Чтобы приступить к работе с Microsoft Entra идентификатором без пароля, выполните одно из следующих инструкций: