Обеспечение устойчивости путем управления учетными данными

При представлении учетных данных идентификатору Microsoft Entra в запросе маркера существует несколько зависимостей, которые должны быть доступны для проверки. Первый фактор проверки подлинности использует проверку подлинности Microsoft Entra и, в некоторых случаях, на локальной инфраструктуре. Дополнительные сведения о гибридной архитектуре проверки подлинности см. в статье Повышение устойчивости в гибридной инфраструктуре.

При реализации второго фактора его зависимости добавляются к зависимостям первого фактора. Например, если ваш первый фактор через PTA, а второй фактор — SMS, ваши зависимости приведены ниже.

  • Службы проверки подлинности Microsoft Entra
  • Служба многофакторной проверки подлинности Microsoft Entra
  • Локальная инфраструктура
  • Оператор мобильной связи.
  • Устройство пользователя (не изображено)

Image of authentication methods and dependencies

Стратегия учетных данных должна учитывать зависимости каждого типа проверки подлинности и методов подготовки, которые позволяют избежать единой точки сбоя.

Так как методы проверки подлинности имеют разные зависимости, рекомендуется разрешить пользователям регистрироваться как можно больше второго фактора. Не забудьте включить второй фактор с разными зависимостями, если это возможно. Например, голосовой звонок и SMS в качестве второго фактора имеют одинаковые зависимости, поэтому наличие их в качестве единственного варианта не снижает риск.

Наиболее устойчивой стратегией использования учетных данных является проверка подлинности без пароля. Ключи безопасности Windows Hello для бизнеса и FIDO 2.0 имеют меньше зависимостей, чем строгая проверка подлинности с двумя отдельными факторами. Ключи безопасности Microsoft Authenticator, Windows Hello для бизнеса и FIDO 2.0 являются наиболее безопасными.

Во-вторых, приложение Microsoft Authenticator или другие приложения проверки подлинности с использованием однократного секретного кода (TOTP) или аппаратного маркера OAuth имеют наименьшие зависимости и поэтому являются более устойчивыми.

Повышение устойчивости путем использования нескольких учетных данных

Подготовка нескольких типов учетных данных предоставляет пользователям возможности, которые соответствуют их предпочтениям и ограничениям окружения. В результате интерактивная проверка подлинности, в которой пользователям предлагается многофакторная проверка подлинности, будет более устойчивой к определенным зависимостям, недоступным во время запроса. Вы можете оптимизировать запросы повторной проверки подлинности для многофакторной проверки подлинности.

В дополнение к отдельной устойчивости пользователей, описанные выше, предприятия должны планировать непредвиденные ситуации для крупномасштабных сбоев, таких как операционные ошибки, которые вводят неправильное настройку, стихийные бедствия или сбой ресурсов на уровне предприятия в локальную службу федерации (особенно при использовании для многофакторной проверки подлинности).

Реализация устойчивых учетных данных

Следующие шаги

Ресурсы по устойчивости для администраторов и архитекторов

Ресурсы по устойчивости для разработчиков