Что такое проверка подлинности Microsoft Entra?

  • Статья

Одной из основных функций платформы идентификации является проверка учетных данных или проверка подлинности при входе пользователя на устройство, в приложение или службу. В Microsoft Entra id проверка подлинности включает не только проверку имени пользователя и пароля. Чтобы повысить безопасность и уменьшить потребность в помощи в службе технической поддержки, Microsoft Entra проверка подлинности включает следующие компоненты:

  • Самостоятельный сброс пароля
  • Microsoft Entra многофакторной проверки подлинности
  • гибридная интеграция для передачи измененных паролей в локальную среду;
  • гибридная интеграция для принудительного применения политик защиты паролей в локальной среде;
  • Проверка подлинности без пароля

Посмотрите наше краткое видео, чтобы узнать больше об этих компонентах аутентификации.

улучшение взаимодействия с пользователем.

Microsoft Entra идентификатор помогает защитить удостоверение пользователя и упростить его вход. Такие функции, как самостоятельный сброс пароля, позволяют пользователям обновлять или изменять пароли через веб-браузер с любого устройства. Эта функция особенно полезна, если пользователь забыл свой пароль или его учетная запись заблокирована. Пользователь может выполнить разблокировку и продолжить работу, не дожидаясь ответа от службы поддержки или администратора.

Microsoft Entra многофакторной проверки подлинности позволяет пользователям выбрать дополнительную форму проверки подлинности во время входа, например телефонный звонок или уведомление мобильного приложения. Эта возможность устраняет необходимость применять один стандартный метод дополнительной проверки подлинности, например аппаратный маркер. Если у пользователя еще нет определенного метода дополнительной проверки подлинности, он может выбрать другой метод и продолжить работу.

Методы проверки подлинности, используемые на экране входа

Проверка подлинности без пароля избавляет пользователя от необходимости создавать и запоминать безопасный пароль. Такие возможности, как Windows Hello для бизнеса и ключи безопасности FIDO2, позволяют пользователям входить на устройство или в приложение без пароля. Эта возможность позволяет упростить управление паролями в разных средах.

Самостоятельный сброс пароля

Самостоятельный сброс пароля позволяет пользователю изменить или сбросить пароль без привлечения администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение.

Самостоятельный сброс пароля действует в следующих сценариях:

  • Изменение пароля. Пользователь знает пароль, но хочет изменить его на новый.
  • Сброс пароля. Пользователь не может войти в систему, так как он забыл пароль и хочет его сбросить.
  • Разблокировка учетной записи. Пользователь не может войти в систему, так как учетная запись заблокирована и он хочет ее разблокировать.

Когда пользователь изменяет или сбрасывает пароль с помощью функции самостоятельного сброса пароля, этот пароль можно сохранить в локальной среде Active Directory. Применяя компонент обратной записи паролей, пользователь может немедленно использовать обновленные учетные данные для локальных устройств и приложений.

Microsoft Entra многофакторной проверки подлинности

Многофакторная проверка подлинности — это процесс, в котором пользователю во время входа предлагается дополнительная форма идентификации, например ввести код на мобильный телефон или предоставить сканирование отпечатков пальцев.

Если для проверки подлинности пользователя используется только пароль, система подвергается риску атаки. Если пароль ненадежен или скомпрометирован, как вы сможете отличить пользователя от злоумышленника при входе по имени пользователя или паролю? Требование применять второй метод проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Концептуальное изображение различных форм многофакторной проверки подлинности

Microsoft Entra многофакторной проверки подлинности требуется два или более из следующих методов проверки подлинности:

  • что-то, известное только вам (обычно это пароль);
  • что-то, что у вас есть, например доверенное устройство, которое нельзя легко скопировать, например телефон или аппаратный ключ;
  • ваша персональная характеристика, например, отпечаток пальца или изображение лица.

Пользователи могут зарегистрироваться для самостоятельного сброса пароля и Microsoft Entra многофакторной проверки подлинности за один шаг, чтобы упростить процесс подключения. Администраторы могут выбирать формы дополнительной проверки подлинности. Microsoft Entra многофакторной проверки подлинности также может потребоваться, когда пользователи выполняют самостоятельный сброс пароля для дальнейшей защиты этого процесса.

Защита пароля

По умолчанию идентификатор Microsoft Entra блокирует ненадежные пароли, например Password1. Глобальный список запрещенных паролей, куда включаются известные ненадежные пароли, обновляется и применяется автоматически. Если пользователь Microsoft Entra пытается задать для своего пароля один из этих ненадежных паролей, он получает уведомление о выборе более безопасного пароля.

Чтобы повысить уровень безопасности, можно настроить пользовательские политики защиты паролей. Эти политики позволяют применять фильтры для блокировки паролей, содержащих определенные строки, например названия (Contoso) или расположения (London).

Для гибридной безопасности можно интегрировать Microsoft Entra защиту паролем с локальная служба Active Directory средой. Компонент, установленный в локальной среде, получает глобальный список запрещенных паролей и пользовательские политики защиты паролей от идентификатора Microsoft Entra, а контроллеры домена используют их для обработки событий смены пароля. Такой гибридный подход гарантирует, что при любом методе изменения учетных данных пользователь укажет надежный пароль.

Проверка подлинности без пароля

Конечной целью для многих сред является устранение необходимости использовать пароль при входе. Такие функции, как защита паролем Azure или Microsoft Entra многофакторной проверки подлинности, помогают повысить безопасность, но имя пользователя и пароль остаются слабой формой проверки подлинности, которая может быть подвержена атаке или атаке методом подбора.

Поиск баланса между безопасностью и удобством при проверке подлинности приводит к процессу без использования пароля

При входе без пароля учетные данные предоставляются другим методом, например путем биометрического сканирования в Windows Hello для бизнеса или использования ключа безопасности в FIDO2. Злоумышленники не могут легко дублировать такие методы проверки подлинности.

Microsoft Entra ID предоставляет способы проверки подлинности с помощью методов без пароля, чтобы упростить процесс входа для пользователей и снизить риск атак.

Дальнейшие действия

Чтобы приступить к работе, ознакомьтесь с руководством по самостоятельному сбросу пароля (SSPR) и Microsoft Entra многофакторной проверке подлинности.

Дополнительные сведения о принципах самостоятельного сброса паролей см. в статье Принцип работы Microsoft Entra самостоятельного сброса пароля.

Дополнительные сведения о концепциях многофакторной проверки подлинности см. в статье Принцип работы Microsoft Entra многофакторной проверки подлинности.