Обеспечение устойчивости путем управления учетными данными
При представлении учетных данных идентификатору Microsoft Entra в запросе маркера существует несколько зависимостей, которые должны быть доступны для проверки. Первый фактор проверки подлинности использует проверку подлинности Microsoft Entra и, в некоторых случаях, на локальной инфраструктуре. Дополнительные сведения о гибридной архитектуре проверки подлинности см. в статье Повышение устойчивости в гибридной инфраструктуре.
При реализации второго фактора его зависимости добавляются к зависимостям первого фактора. Например, если ваш первый фактор через PTA, а второй фактор — SMS, ваши зависимости приведены ниже.
- Службы проверки подлинности Microsoft Entra
- Служба многофакторной проверки подлинности Microsoft Entra
- Локальная инфраструктура
- Оператор мобильной связи.
- Устройство пользователя (не изображено)
Стратегия учетных данных должна учитывать зависимости каждого типа проверки подлинности и методов подготовки, которые позволяют избежать единой точки сбоя.
Так как методы проверки подлинности имеют разные зависимости, рекомендуется разрешить пользователям регистрироваться как можно больше второго фактора. Не забудьте включить второй фактор с разными зависимостями, если это возможно. Например, голосовой звонок и SMS в качестве второго фактора имеют одинаковые зависимости, поэтому наличие их в качестве единственного варианта не снижает риск.
Наиболее устойчивой стратегией использования учетных данных является проверка подлинности без пароля. Ключи безопасности Windows Hello для бизнеса и FIDO 2.0 имеют меньше зависимостей, чем строгая проверка подлинности с двумя отдельными факторами. Ключи безопасности Microsoft Authenticator, Windows Hello для бизнеса и FIDO 2.0 являются наиболее безопасными.
Во-вторых, приложение Microsoft Authenticator или другие приложения проверки подлинности с использованием однократного секретного кода (TOTP) или аппаратного маркера OAuth имеют наименьшие зависимости и поэтому являются более устойчивыми.
Повышение устойчивости путем использования нескольких учетных данных
Подготовка нескольких типов учетных данных предоставляет пользователям возможности, которые соответствуют их предпочтениям и ограничениям окружения. В результате интерактивная проверка подлинности, в которой пользователям предлагается многофакторная проверка подлинности, будет более устойчивой к определенным зависимостям, недоступным во время запроса. Вы можете оптимизировать запросы повторной проверки подлинности для многофакторной проверки подлинности.
В дополнение к отдельной устойчивости пользователей, описанные выше, предприятия должны планировать непредвиденные ситуации для крупномасштабных сбоев, таких как операционные ошибки, которые вводят неправильное настройку, стихийные бедствия или сбой ресурсов на уровне предприятия в локальную службу федерации (особенно при использовании для многофакторной проверки подлинности).
Реализация устойчивых учетных данных
- Разверните учетные данные без пароля, например ключи безопасности для Windows Hello для бизнеса, проверки подлинности по телефону и FIDO2, чтобы снизить зависимости.
- Разверните приложение Microsoft Authenticator в качестве второго фактора.
- Включите синхронизацию хэша паролей для гибридных учетных записей, которые синхронизируются из Windows Server Active Directory. Этот параметр можно включить вместе со службами федерации, такими как службы федерации Active Directory (AD FS) (AD FS), и предоставляет резервный вариант в случае сбоя службы федерации.
- Анализ использования многофакторных методов проверки подлинности для улучшения взаимодействия с пользователем.
- Реализуйте устойчивую стратегию управления доступом.
Следующие шаги
Ресурсы по устойчивости для администраторов и архитекторов
- Повышение устойчивости с использованием состояний устройств
- Повышение устойчивости с использованием Непрерывной оценки доступа (CAE)
- Повышение устойчивости при проверке подлинности внешних пользователей
- Обеспечение устойчивости гибридной проверки подлинности
- Повышение устойчивости доступа к приложениям с помощью Application Proxy