Поделиться через


Методы проверки подлинности в идентификаторе Microsoft Entra — приложение Microsoft Authenticator

Приложение Microsoft Authenticator предоставляет другой уровень безопасности для рабочей или учебной учетной записи Майкрософт или учебной учетной записи Майкрософт и доступен для Android и iOS. С помощью приложения Microsoft Authenticator пользователи могут проходить проверку подлинности без пароля во время входа или другой вариант проверки во время самостоятельного сброса пароля (SSPR) или многофакторной проверки подлинности.

Теперь можно применить секретные ключи для проверки подлинности пользователей. Затем пользователи могут получать уведомление через мобильное приложение для утверждения или запрета приложения Authenticator для создания кода проверки OATH. Затем этот код можно ввести в интерфейсе входа. Если включить как код уведомления, так и кода проверки, пользователи, которые регистрируют приложение Authenticator, могут использовать любой метод для проверки удостоверения с помощью секретных ключей.

Заметка

При подготовке поддержки секретного ключа в Microsoft Authenticator пользователи могут видеть Authenticator в качестве поставщика секретных ключей на устройствах iOS и Android. Дополнительные сведения см. в разделе "Вход Passkey " (предварительная версия)".

Чтобы использовать приложение Authenticator в запросе на вход, а не в сочетании имени пользователя и пароля, см. раздел "Включить вход без пароля" с помощью Microsoft Authenticator.

Заметка

  • У пользователей нет возможности зарегистрировать свое мобильное приложение при включении SSPR. Вместо этого пользователи могут зарегистрировать свое мобильное приложение или https://aka.ms/mfasetup как часть объединенной регистрации сведений о безопасности по адресу https://aka.ms/setupsecurityinfo.
  • Приложение Authenticator может не поддерживаться в бета-версиях iOS и Android. Кроме того, начиная с 20 октября 2023 г. приложение Authenticator на Android больше не поддерживает старые версии Корпоративный портал Android. Пользователи Android с Корпоративный портал версиями ниже 2111 (5.0.53333.0) не могут повторно зарегистрировать или зарегистрировать новые экземпляры Authenticator, пока они не обновят свое Корпоративный портал приложение до более новой версии.

Вход passkey (предварительная версия)

Authenticator — это бесплатное решение для доступа, которое позволяет пользователям выполнять проверку подлинности без пароля с помощью собственных телефонов. Некоторые ключевые преимущества использования секретных ключей в приложении Authenticator:

  • Ключи доступа можно легко развертывать в большом масштабе. Затем секретные ключи доступны на телефоне пользователя для сценариев управления мобильными устройствами (MDM) и создания собственных сценариев устройства (BYOD).
  • Секретные ключи в Authenticator приходят без дополнительных затрат и путешествуют с пользователем везде, где они идут.
  • Секретные ключи в Authenticator привязаны к устройству, что гарантирует, что ключ доступа не покидает устройство, на котором он был создан.
  • Пользователи остаются в курсе последних инноваций секретного ключа на основе открытых стандартов WebAuthn.
  • Предприятия могут передавать другие возможности на основе потоков проверки подлинности, таких как соответствие FIPS 140.

Секретный ключ, привязанный к устройству

Секретные ключи в приложении Authenticator привязаны к устройству, чтобы гарантировать, что они никогда не покидают устройство, на которое они были созданы. На устройстве iOS Authenticator использует безопасный анклава для создания ключа доступа. В Android мы создадим секретный ключ в защищенном элементе на устройствах, поддерживающих его, или вернемся к доверенной среде выполнения (TEE).

Как работает аттестация ключей с Authenticator

В настоящее время ключи доступа в Authenticator не помечаются. Поддержка аттестации для секретных ключей в Authenticator планируется в будущем выпуске.

Резервное копирование и восстановление секретных ключей в Authenticator

Секретные ключи в Authenticator не резервируются и не могут быть восстановлены на новом устройстве. Чтобы создать ключи доступа на новом устройстве, используйте пароль на более старом устройстве или используйте другой метод проверки подлинности для повторного создания секретного ключа.

Вход без пароля

Вместо того, чтобы просмотреть запрос на ввод пароля после ввода имени пользователя, пользователи, которые могут включить вход телефона из приложения Authenticator, увидит сообщение, чтобы ввести номер в своем приложении. Когда выбран правильный номер, процесс входа завершается.

Пример входа в браузер с просьбой пользователя утвердить вход.

Этот метод проверки подлинности обеспечивает высокий уровень безопасности и удаляет необходимость предоставления пароля при входе.

Сведения о начале входа без пароля см. в статье "Включить вход без пароля" с помощью Microsoft Authenticator.

Уведомление через мобильное приложение

Приложение Authenticator может помочь предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции путем отправки уведомления на смартфон или планшет. Пользователи просматривают уведомление и, если это допустимо, нажмите кнопку "Проверить". В противном случае они могут выбрать "Запретить".

Заметка

Начиная с августа 2023 года аномальные входы не создают уведомления, аналогично тому, как входы из незнакомых расположений не создают уведомления. Чтобы утвердить аномальный вход, пользователи могут открыть Microsoft Authenticator или Authenticator Lite в соответствующем приложении-компаньоне, например Outlook. Затем они могут выполнить вытягивание, чтобы обновить или коснитесь элемента "Обновить" и утвердить запрос.

Снимок экрана: пример запроса веб-браузера для уведомления приложения Authenticator для завершения процесса входа.

В Китае уведомление через метод мобильного приложения на устройствах Android не работает, так как службы Google Play (включая push-уведомления) блокируются в регионе. Однако уведомления iOS работают. Для устройств Android альтернативные методы проверки подлинности должны быть доступны для этих пользователей.

Код проверки из мобильного приложения

Приложение Authenticator можно использовать в качестве маркера программного обеспечения для создания кода проверки OATH. После ввода имени пользователя и пароля введите код, предоставленный приложением Authenticator, в интерфейс входа. Код проверки предоставляет вторую форму проверки подлинности.

Заметка

Коды проверки OATH, созданные Authenticator, не поддерживаются для проверки подлинности на основе сертификатов.

Пользователи могут иметь сочетание до пяти аппаратных маркеров OATH или приложений проверки подлинности, таких как приложение Authenticator, настроенное для использования в любое время.

Соответствие FIPS 140 для проверки подлинности Microsoft Entra

В соответствии с рекомендациями, описанными в NIST SP 800-63B, аутентификаторы, используемые правительственными учреждениями США, необходимы для использования криптографии FIPS 140. Это руководство помогает государственным учреждениям США соответствовать требованиям Исполнительного указа (EO) 14028. Кроме того, это руководство помогает другим регулируемым отраслям, таким как медицинские организации, работающие с электронными рецептами для контролируемых веществ (EPCS) соответствуют их нормативным требованиям.

FIPS 140 — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах и системах информационных технологий. Программа проверки криптографического модуля (CMVP) поддерживает тестирование по стандарту FIPS 140.

Microsoft Authenticator для iOS

Начиная с версии 6.6.8 Microsoft Authenticator для iOS использует собственный модуль Apple CoreCrypto для проверки шифрования FIPS на устройствах, совместимых с Apple iOS FIPS 140. Все проверки подлинности Microsoft Entra с помощью фишинговых ключей, привязанных к устройству, отправки многофакторной проверки подлинности (MFA), входа без пароля телефона (PSI) и однократного секретного кода на основе времени (TOTP) используют криптографию FIPS.

Дополнительные сведения об проверенных модулях шифрования FIPS 140, используемых и совместимых устройствах iOS, см. в сертификатах безопасности Apple iOS.

Microsoft Authenticator для Android

Начиная с версии 6.2409.6094 в Microsoft Authenticator для Android, все проверки подлинности в идентификаторе Microsoft Entra, включая секретные ключи, теперь считаются совместимыми с FIPS. Authenticator использует криптографический модуль wolfSSL Inc. для достижения соответствия ТРЕБОВАНИЯМ FIPS 140, уровня безопасности 1 на устройствах Android. Дополнительные сведения об используемой сертификации см . в программе проверки криптографических модулей | CSRC (nist.gov).

Определение типа регистрации Microsoft Authenticator в сведениях о безопасности

Пользователи могут получить доступ к сведениям о моей безопасности (см. URL-адреса в следующем разделе) или выбрав сведения о безопасности из MyAccount для управления и добавления дополнительных регистраций Microsoft Authenticator. Специальные значки используются для различения того, является ли регистрация Microsoft Authenticator без пароля или MFA.

Тип регистрации Authenticator Икона
Microsoft Authenticator: вход без пароля Microsoft Authenticator без пароля, поддерживающий вход
Microsoft Authenticator: (уведомление или код) Microsoft Authenticator MFA с поддержкой MFA
Облако URL-адрес MySecurityInfo
Коммерческая служба Azure (включает GCC) https://aka.ms/MySecurityInfo
Azure для государственных организаций США (включая GCC High и DoD) https://aka.ms/MySecurityInfo-us

Обновления для Authenticator

Корпорация Майкрософт постоянно обновляет Authenticator для обеспечения высокого уровня безопасности. Чтобы убедиться, что пользователи получают лучший интерфейс, рекомендуется постоянно обновлять приложение Authenticator. В случае критических обновлений системы безопасности версии приложений, которые не являются актуальными, могут перестать работать и могут блокировать выполнение пользователей проверки подлинности. Если пользователь использует версию приложения, который не поддерживается, он будет предложено обновить до последней версии, прежде чем продолжить проверку подлинности.

Корпорация Майкрософт также периодически удаляет старые версии приложения Authenticator, чтобы поддерживать высокий уровень безопасности для вашей организации. Если устройство пользователя не поддерживает современные версии приложения Microsoft Authenticator, они не могут подписаться с приложением. Мы рекомендуем использовать код проверки OATH в приложении Microsoft Authenticator для завершения двухфакторной проверки подлинности.

Дальнейшие действия