Поделиться через


Что такое библиотека аутентификации Microsoft Entra?

Одной из основных функций платформы идентификации является проверка учетных данных или проверка подлинности при входе пользователя на устройство, в приложение или службу. В идентификаторе Microsoft Entra проверка подлинности включает не только проверку имени пользователя и пароля. Чтобы повысить безопасность и уменьшить потребность в технической помощи, проверка подлинности Microsoft Entra включает следующие компоненты:

  • Самостоятельный сброс пароля
  • Многофакторная проверка подлинности Microsoft Entra
  • гибридная интеграция для передачи измененных паролей в локальную среду;
  • гибридная интеграция для принудительного применения политик защиты паролей в локальной среде;
  • Проверка подлинности без пароля

Посмотрите наше краткое видео, чтобы узнать больше об этих компонентах аутентификации.

улучшение взаимодействия с пользователем.

Идентификатор Microsoft Entra помогает защитить удостоверение пользователя и упростить процесс входа. Такие функции, как самостоятельный сброс пароля, позволяют пользователям обновлять или изменять пароли через веб-браузер с любого устройства. Эта функция особенно полезна, если пользователь забыл свой пароль или его учетная запись заблокирована. Пользователь может выполнить разблокировку и продолжить работу, не дожидаясь ответа от службы поддержки или администратора.

Многофакторная проверка подлинности Microsoft Entra позволяет пользователям выбирать дополнительную форму проверки подлинности во время входа, например телефонный звонок или уведомление о мобильном приложении. Эта возможность устраняет необходимость применять один стандартный метод дополнительной проверки подлинности, например аппаратный маркер. Если у пользователя еще нет определенного метода дополнительной проверки подлинности, он может выбрать другой метод и продолжить работу.

Authentication methods in use at the sign-in screen

Проверка подлинности без пароля избавляет пользователя от необходимости создавать и запоминать безопасный пароль. Такие возможности, как Windows Hello для бизнеса и ключи безопасности FIDO2, позволяют пользователям входить на устройство или в приложение без пароля. Эта возможность позволяет упростить управление паролями в разных средах.

Самостоятельный сброс пароля

Самостоятельный сброс пароля позволяет пользователю изменить или сбросить пароль без привлечения администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение.

Самостоятельный сброс пароля действует в следующих сценариях:

  • Изменение пароля. Пользователь знает пароль, но хочет изменить его на новый.
  • Сброс пароля. Пользователь не может войти в систему, так как он забыл пароль и хочет его сбросить.
  • Разблокировка учетной записи. Пользователь не может войти в систему, так как учетная запись заблокирована и он хочет ее разблокировать.

Когда пользователь изменяет или сбрасывает пароль с помощью функции самостоятельного сброса пароля, этот пароль можно сохранить в локальной среде Active Directory. Применяя компонент обратной записи паролей, пользователь может немедленно использовать обновленные учетные данные для локальных устройств и приложений.

Многофакторная проверка подлинности Microsoft Entra

Многофакторная проверка подлинности — это процесс, в котором пользователь запрашивает во время входа дополнительную форму идентификации, например ввести код на своем мобильном телефоне или предоставить сканирование отпечатков пальцев.

Если для проверки подлинности пользователя используется только пароль, система подвергается риску атаки. Если пароль ненадежен или скомпрометирован, как вы сможете отличить пользователя от злоумышленника при входе по имени пользователя или паролю? Требование применять второй метод проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Conceptual image of the different forms of multifactor authentication

Многофакторная проверка подлинности Microsoft Entra работает, требуя двух или более следующих методов проверки подлинности:

  • что-то, известное только вам (обычно это пароль);
  • что-то, что у вас есть, например доверенное устройство, которое нельзя легко скопировать, например телефон или аппаратный ключ;
  • ваша персональная характеристика, например, отпечаток пальца или изображение лица.

Пользователи могут зарегистрировать себя как для самостоятельного сброса пароля, так и многофакторной проверки подлинности Microsoft Entra на одном шаге, чтобы упростить взаимодействие с подключением. Администраторы могут выбирать формы дополнительной проверки подлинности. Многофакторная проверка подлинности Microsoft Entra также может потребоваться, когда пользователи выполняют самостоятельный сброс пароля для дальнейшего обеспечения безопасности этого процесса.

Защита паролем

По умолчанию идентификатор Microsoft Entra блокирует слабые пароли, такие как Password1. Глобальный список запрещенных паролей, куда включаются известные ненадежные пароли, обновляется и применяется автоматически. Если пользователь Microsoft Entra пытается задать пароль одному из этих слабых паролей, он получает уведомление, чтобы выбрать более безопасный пароль.

Чтобы повысить уровень безопасности, можно настроить пользовательские политики защиты паролей. Эти политики позволяют применять фильтры для блокировки паролей, содержащих определенные строки, например названия (Contoso) или расположения (London).

Для гибридной безопасности можно интегрировать защиту паролей Microsoft Entra с локальная служба Active Directory средой. Компонент, установленный в локальной среде, получает глобальный список запрещенных паролей и пользовательские политики защиты паролей от идентификатора Microsoft Entra, а контроллеры домена используют их для обработки событий изменения пароля. Такой гибридный подход гарантирует, что при любом методе изменения учетных данных пользователь укажет надежный пароль.

Проверка подлинности без пароля

Конечной целью для многих сред является устранение необходимости использовать пароль при входе. Такие функции, как защита паролей Azure или многофакторная проверка подлинности Microsoft Entra, помогают повысить безопасность, но имя пользователя и пароль остаются слабой формой проверки подлинности, которая может быть предоставлена или атакована методом подбора.

Security versus convenience with the authentication process that leads to passwordless

При входе без пароля учетные данные предоставляются другим методом, например путем биометрического сканирования в Windows Hello для бизнеса или использования ключа безопасности в FIDO2. Злоумышленники не могут легко дублировать такие методы проверки подлинности.

Идентификатор Microsoft Entra предоставляет способы проверки подлинности с помощью методов без пароля, чтобы упростить вход пользователей и снизить риск атак.

Следующие шаги

Чтобы приступить к работе, ознакомьтесь с руководством по самостоятельному сбросу пароля (SSPR) и многофакторной проверке подлинности Microsoft Entra.

Дополнительные сведения о принципах самостоятельного сброса пароля см. в статье о том, как работает самостоятельный сброс пароля Microsoft Entra.

Дополнительные сведения о принципах многофакторной проверки подлинности см. в статье о работе многофакторной проверки подлинности Microsoft Entra.