Варианты проверки подлинности без пароля для Microsoft Entra ID
Такие функции, как многофакторная проверка подлинности (MFA) — отличный способ защитить вашу организацию, но пользователи часто разочарованы дополнительным уровнем безопасности на вершине необходимости запоминать свои пароли. Методы проверки подлинности без пароля удобнее, так как пароль удаляется и заменяется чем-то, что у вас есть или что-то известное.
Проверка подлинности | То, что у вас есть | Что-то, относящееся непосредственно к вам, или то, что вы знаете |
---|---|---|
Без пароля | Устройство или телефон с Windows 10 или ключ безопасности | Биометрические данные или ПИН-код |
У каждой организации есть свои потребности в отношении проверки подлинности. Microsoft Azure и Azure для государственных организаций предлагают следующие пять вариантов проверки подлинности без пароля, которые интегрируются с идентификатором Microsoft Entra:
- Windows Hello для бизнеса
- Учетные данные платформы для macOS
- Единый вход платформы (PSSO) для macOS с проверкой подлинности смарт-карты
- Microsoft Authenticator
- Секретные ключи (FIDO2)
- Проверка подлинности на основе сертификатов
Windows Hello для бизнеса
Windows Hello для бизнеса идеально подходит для информационных работников, у которых есть назначенный им компьютер под управлением Windows. Биометрическая информация и учетные данные напрямую привязаны к компьютеру пользователя, что исключает доступ других пользователей, кроме владельца. Благодаря интеграции с инфраструктурой открытых ключей (PKI) и встроенной поддержке единого входа (SSO) Windows Hello для бизнеса является удобным способом беспроблемного доступа к корпоративным ресурсам в локальной среде и в облаке.
Ниже показано, как процесс входа работает с идентификатором Microsoft Entra:
- Пользователь входит в Windows с помощью биометрических данных или жеста. Жест разблокирует закрытый ключ Windows Hello для бизнеса и отправляется в облачный поставщик безопасности для проверки подлинности (облачный поставщик контроля доступа).
- Поставщик Облачных AP запрашивает нецелевое (случайное произвольное число, которое можно использовать один раз) из идентификатора Microsoft Entra.
- Идентификатор Microsoft Entra возвращает неисключаемое значение в течение 5 минут.
- Поставщик Облачных AP подписывает неисключаемую подпись с помощью закрытого ключа пользователя и возвращает подписанный nonce идентификатору Microsoft Entra.
- Идентификатор Microsoft Entra проверяет подписанный nonce с помощью безопасно зарегистрированного открытого ключа пользователя на основе подписи, отличной от подписи. Идентификатор Microsoft Entra проверяет подпись, а затем проверяет возвращенный подписанный nonce. При проверке несоответствия идентификатор Microsoft Entra создает первичный маркер обновления (PRT) с ключом сеанса, зашифрованным для ключа транспорта устройства, и возвращает его поставщику Облачных AP.
- Облачный поставщик контроля доступа получает зашифрованный PRT с ключом сеанса. Облачный поставщик контроля доступа использует закрытый ключ передачи устройства для расшифровки сеансового ключа и защищает его с помощью доверенного платформенного модуля (TPM) устройства.
- Облачный поставщик контроля доступа возвращает ответ об успешной проверке подлинности в Windows. Затем пользователь сможет получить доступ к Windows и облачным и локальным приложениям без необходимости повторной проверки подлинности (единый вход).
Руководство по планированию Windows Hello для бизнеса можно использовать для принятия решений о типе развертывания Windows Hello для бизнеса и параметров, которые необходимо учитывать.
Учетные данные платформы для macOS
Учетные данные платформы для macOS — это новая возможность в macOS, которая включена с помощью расширения единого входа Microsoft Enterprise (SSOe). Он подготавливает защищенный криптографический ключ, привязанный к оборудованию, который используется для единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности. Пароль локальной учетной записи пользователя не затрагивается и требуется для входа в Mac.
Учетные данные платформы для macOS позволяют пользователям идти без пароля, настроив Touch ID для разблокировки устройства и используя фишинговые учетные данные, основанные на технологии Windows Hello для бизнеса. Это экономит деньги на организации клиентов, удаляя потребность в ключах безопасности и перемещая цели нулевого доверия, используя интеграцию с Безопасным анклава.
Учетные данные платформы для macOS также можно использовать в качестве фишинговых учетных данных для использования в проблемах WebAuthn (включая сценарии повторной проверки подлинности браузера). Администраторам потребуется включить метод проверки подлинности ключа безопасности FIDO2 для этой возможности. Если вы используете политики ограничений ключей в политике FIDO, необходимо добавить AAGUID для учетных данных платформы macOS в список разрешенных AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
- Пользователь разблокирует macOS с помощью жеста отпечатка или пароля, который разблокирует пакет ключей для предоставления доступа к UserSecureEnclaveKey.
- MacOS запрашивает nonce (случайное произвольное число, которое может использоваться только один раз) из идентификатора Microsoft Entra.
- Идентификатор Microsoft Entra возвращает неисключаемое значение в течение 5 минут.
- Операционная система (ОС) отправляет запрос на вход в идентификатор Microsoft Entra с внедренным утверждением, подписанным с помощью UserSecureEnclaveKey, который находится в защищенном анклавах.
- Идентификатор Microsoft Entra проверяет подписанное утверждение с помощью безопасно зарегистрированного открытого ключа пользователя userSecureEnclave. Идентификатор Microsoft Entra проверяет подпись и nonce. После проверки утверждения идентификатор Microsoft Entra создает первичный маркер обновления (PRT), зашифрованный с открытым ключом UserDeviceEncryptionKey, который обменивается во время регистрации и отправляет ответ обратно в ОС.
- ОС расшифровывает и проверяет ответ, извлекает маркеры единого входа, сохраняет и разделяет его с расширением единого входа для предоставления единого входа. Пользователь может получить доступ к macOS, облачным и локальным приложениям без необходимости повторной проверки подлинности (единый вход).
Дополнительные сведения о настройке и развертывании учетных данных платформы для macOS см. в статье о едином входе платформы macOS.
Единый вход платформы для macOS с помощью SmartCard
Единый вход платформы (PSSO) для macOS позволяет пользователям идти без пароля с помощью метода проверки подлинности SmartCard. Пользователь входит на компьютер с помощью внешнего смарт-карты или жесткого маркера, совместимого с смарт-картой (например, Yubikey). После разблокировки устройства смарт-карта используется с идентификатором Microsoft Entra для предоставления единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности с помощью проверки подлинности на основе сертификатов (CBA). Для работы этой функции необходимо настроить и включить CBA. Сведения о настройке CBA см. в статье "Настройка проверки подлинности на основе сертификата Microsoft Entra".
Чтобы включить его, администратору необходимо настроить единый вход с помощью Microsoft Intune или другого поддерживаемого MDM.
- Пользователь разблокирует macOS с помощью пин-кода смарт-карты, который разблокирует смарт-карту и пакет ключей для предоставления доступа к ключам регистрации устройств, присутствующих в Безопасном анклавах.
- MacOS запрашивает nonce (случайное произвольное число, которое может использоваться только один раз) из идентификатора Microsoft Entra.
- Идентификатор Microsoft Entra возвращает неисключаемое значение в течение 5 минут.
- Операционная система (ОС) отправляет запрос на вход в идентификатор Microsoft Entra с внедренным утверждением, подписанным сертификатом Microsoft Entra пользователя из смарт-карты.
- Идентификатор Microsoft Entra проверяет подписанное утверждение, подпись и nonce. После проверки утверждения идентификатор Microsoft Entra создает первичный маркер обновления (PRT), зашифрованный с открытым ключом UserDeviceEncryptionKey, который обменивается во время регистрации и отправляет ответ обратно в ОС.
- ОС расшифровывает и проверяет ответ, извлекает маркеры единого входа, сохраняет и разделяет его с расширением единого входа для предоставления единого входа. Пользователь может получить доступ к macOS, облачным и локальным приложениям без необходимости повторной проверки подлинности (единый вход).
Microsoft Authenticator
Вы также можете разрешить сотруднику использовать свой телефон в качестве беспарольного способа проверки подлинности. Вы уже можете использовать приложение Authenticator в качестве удобного варианта многофакторной проверки подлинности в дополнение к паролю. Приложение Authenticator также можно использовать для входа без пароля.
Приложение Authenticator позволяет использовать любой телефон с iOS или Android для надежной проверки подлинности без пароля. Пользователи могут войти на любую платформу или браузер, получив уведомление на свой телефон, указав номер, отображаемый на экране, с одним на телефоне. Затем они могут использовать биометрические (касание или лицо) или ПИН-код для подтверждения. Сведения об установке см. в статье Скачивание и установка приложения Microsoft Authenticator.
Проверка подлинности без пароля с помощью приложения Authenticator происходит по той же базовой схеме, что и в случае с Windows Hello для бизнеса. Это немного сложнее, так как пользователь должен быть идентифицирован таким образом, чтобы идентификатор Microsoft Entra смог найти используемую версию приложения Authenticator:
- Пользователь вводит свое имя пользователя.
- Идентификатор Microsoft Entra обнаруживает, что у пользователя есть надежные учетные данные и запускается поток надежных учетных данных.
- В приложение отправляется уведомление через Cлужбу push-уведомлений Apple (APNS) на устройствах iOS или через Firebase Cloud Messaging (FCM) на устройствах Android.
- Пользователь получает push-уведомление и открывает приложение.
- Приложение вызывает идентификатор Microsoft Entra и получает запрос на подтверждение присутствия и nonce.
- Пользователь отвечает на запрос, вводя свои биометрические данные или ПИН-код для разблокировки закрытого ключа.
- Nonce подписан закрытым ключом и отправляется обратно в идентификатор Microsoft Entra.
- Идентификатор Microsoft Entra выполняет проверку открытого и закрытого ключа и возвращает маркер.
Чтобы приступить к работе с решением для входа без пароля, воспользуйтесь следующими инструкциями:
Секретные ключи (FIDO2)
Организация FIDO Alliance (Fast IDentity Online, быстрая идентификация в сети) помогает популяризировать открытые стандарты проверки подлинности и сократить использование пользователей в этих целях. FIDO2 — это новейшая версия стандарта, включающая стандарт веб-аутентификации (WebAuthn).
Ключи безопасности FIDO2 — это способ проверки подлинности без пароля на основе стандартов, реализуемый в любом форм-факторе. Fast Identity Online (FIDO) представляет собой открытый стандарт для проверки подлинности без пароля. FIDO позволяет пользователям и организациям применять стандарт для входа в свои ресурсы без имени пользователя или пароля с помощью внешнего ключа безопасности или ключа платформы, встроенного в устройство.
Пользователи могут зарегистрироваться, а затем выбрать ключ безопасности FIDO2 в интерфейсе входа в качестве основного средства проверки подлинности. Ключи безопасности FIDO2, как правило, представляют собой устройства USB, однако можно использовать и устройства с Bluetooth или NFC. При использовании аппаратного устройства для проверки подлинности безопасность учетной записи повышается, так как пароль невозможно подобрать или похитить.
Ключи безопасности FIDO2 можно использовать для входа в свои идентификаторы Microsoft Entra или гибридных устройств Windows 10 и получения единого входа в облачные и локальные ресурсы. Пользователи также могут входить в поддерживаемых браузерах. Ключи безопасности FIDO2 — отличный вариант для предприятий с очень высокими требованиями к безопасности либо сценариями и сотрудниками, которые не готовы либо не могут использовать свой телефон в качестве второго фактора.
См. справочный документ: поддержка проверки подлинности FIDO2 с помощью идентификатора Microsoft Entra. Рекомендации разработчика см. в статье "Поддержка проверки подлинности FIDO2" в приложениях, которые они разрабатывают.
При входе пользователя с помощью ключа безопасности FIDO2 используется описанная ниже процедура.
- Пользователь подключает ключ безопасности FIDO2 к своему компьютеру.
- Windows обнаруживает ключ безопасности FIDO2.
- Windows отправляет запрос на проверку подлинности.
- Идентификатор Microsoft Entra отправляет обратно nonce.
- Пользователь с помощью жеста разблокирует закрытый ключ, хранящийся в безопасном анклаве ключа безопасности FIDO2.
- Ключ безопасности FIDO2 подписывает nonce с помощью закрытого ключа.
- Основной запрос маркера обновления (PRT) с подписанным nonce отправляется в идентификатор Microsoft Entra ID.
- Идентификатор Microsoft Entra проверяет подписанный nonce с помощью открытого ключа FIDO2.
- Идентификатор Microsoft Entra возвращает PRT, чтобы обеспечить доступ к локальным ресурсам.
Список поставщиков ключей безопасности FIDO2 см. в статье "Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2".
Чтобы приступить к работе с ключами безопасности FIDO2, воспользуйтесь следующими инструкциями:
Проверка подлинности на основе сертификатов
Проверка подлинности на основе сертификатов (CBA) Microsoft Entra позволяет клиентам разрешать или требовать, чтобы пользователи могли выполнять проверку подлинности непосредственно с помощью сертификатов X.509 в соответствии с идентификатором Microsoft Entra для приложений и входа в браузер. CBA позволяет клиентам принимать фишинговую проверку подлинности и выполнять вход с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).
Основные преимущества использования Microsoft Entra CBA
Льготы | Description |
---|---|
Удобство работы для пользователей | — Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую пройти проверку подлинности в идентификаторе Microsoft Entra ИД, а не инвестировать в федеративные ad FS. - Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата). - Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными. |
Простота развертывания и администрирования | — Microsoft Entra CBA — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra. - Не требуются сложные локальные развертывания или настройка сети. — непосредственно пройти проверку подлинности в идентификаторе Microsoft Entra. |
Защита | — Локальные пароли не должны храниться в облаке в любой форме. — защищает учетные записи пользователей, легко работая с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности с поддержкой фишинга (MFA требуется лицензированная версия) и блокируя устаревшую проверку подлинности. — Строгой поддержкой проверки подлинности, в которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты определяются как однофакторные и многофакторные. — Эта функция легко работает с функциями условного доступа и возможностями проверки подлинности для обеспечения безопасности пользователей. |
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office на платформах iOS/Android и собственных приложениях Office в Windows, включая Outlook, OneDrive и т. д.
- Вход пользователей в собственные браузеры для мобильных устройств.
- Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN) и SAN RFC822Nare
- Идентификатор ключа субъекта (SKI) и SHA1PublicKey
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
- Имя субъекта-пользователя
- onPremisesUserPrincipalName
- CertificateUserIds
Поддерживаемые сценарии
Действуют следующие ограничения:
- Администраторы могут включать различные способы проверки подлинности без пароля для своего арендатора.
- Администраторы могут нацелиться на всех пользователей или выбрать пользователей или группы безопасности в клиенте для каждого метода.
- Пользователи могут регистрироваться и управлять этими способами проверки подлинности без пароля на портале учетных записей.
- Пользователи могут войти с помощью следующих методов проверки подлинности без пароля:
- Приложение Authenticator: работает в сценариях, где используется проверка подлинности Microsoft Entra, включая все браузеры, во время установки Windows 10 и интегрированные мобильные приложения в любой операционной системе.
- Ключи безопасности: работают на экране блокировки Windows 10 и на веб-страницах в поддерживаемых браузерах, таких как Microsoft Edge (как в устаревшей, так и в новой версии).
- Пользователи могут использовать учетные данные без пароля для доступа к ресурсам в клиентах, где они гостевые, но они по-прежнему могут потребоваться для выполнения MFA в этом клиенте ресурсов. Дополнительные сведения см. в разделе "Возможная двойная многофакторная проверка подлинности".
- Пользователи не могут зарегистрировать учетные данные без пароля в клиенте, где они являетесь гостем, так же, как у них нет пароля, управляемого в этом клиенте.
Неподдерживаемые сценарии
Мы рекомендуем не более 20 наборов ключей для каждого метода без пароля для любой учетной записи пользователя. По мере добавления дополнительных ключей размер пользовательского объекта увеличивается, и вы можете заметить снижение некоторых операций. В этом случае следует удалить ненужные ключи. Дополнительные сведения и командлеты PowerShell для запроса и удаления ключей см. в модуле WHfBTools PowerShell для очистки потерянных ключей Windows Hello для бизнеса. Используйте необязательный параметр /UserPrincipalName, чтобы запрашивать только ключи для конкретного пользователя. Разрешения, необходимые для запуска от имени администратора или указанного пользователя.
При использовании PowerShell для создания CSV-файла со всеми существующими ключами тщательно определите ключи, которые необходимо сохранить, и удалите эти строки из CSV-файла. Затем используйте измененный CSV-файл с PowerShell, чтобы удалить оставшиеся ключи, чтобы привести число ключей учетной записи в пределах ограничения.
Безопасно удалить любой ключ, указанный как "Потерянный"="True" в CSV-файле. Потерянный ключ является одним для устройства, которое больше не зарегистрировано в идентификаторе Microsoft Entra. Если удаление всех потерянных объектов по-прежнему не приводит учетную запись пользователя ниже предела, необходимо просмотреть столбцы DeviceId и CreationTime , чтобы определить, какие ключи следует использовать для удаления. Будьте осторожны, чтобы удалить любую строку в CSV для ключей, которые вы хотите сохранить. Ключи для любого идентификатора устройства, соответствующего устройствам, которые пользователь активно использует, следует удалить из CSV-файла перед шагом удаления.
Выбор способа входа без пароля
Выбор между тремя вариантами входа без пароля зависит от требований вашей компании к безопасности, платформе и приложениям.
Ниже приведены факторы, которые следует учитывать при выборе беспарольной технологии Майкрософт.
Windows Hello для бизнеса | Вход без пароля с помощью приложения Authenticator | Ключи безопасности FIDO2 | |
---|---|---|---|
Предварительные требования | Windows 10 версии 1809 и выше Microsoft Entra ID |
Microsoft Authenticator Телефон (устройства iOS и Android) |
Windows 10 версии 1903 или более поздней Microsoft Entra ID |
Режим | Платформа | Программное обеспечение. | Оборудование |
Системы и устройства | Компьютер со встроенным доверенным платформенным модулем (TPM) ПИН-код и распознавание биометрических данных |
ПИН-код и распознавание биометрических данных на телефоне | Устройства безопасности FIDO2, совместимые с решениями Майкрософт |
Возможности для пользователя | Вход с использованием ПИН-кода или распознавания биометрических данных (лица, сетчатки или отпечатка пальца) с помощью устройств Windows. Проверка подлинности Windows Hello привязана к устройству; для доступа к корпоративным ресурсам пользователю требуются как устройство, так и компонент входа, например ПИН-код или биометрический фактор. |
Выход с использованием мобильного телефона со сканером отпечатков пальцев, распознаванием лица или сетчатки или ПИН-кодом. Пользователи входят в рабочую или личную учетную запись со своего компьютера или мобильного телефона. |
Вход с помощью устройства безопасности FIDO2 (биометрических данных, ПИН-кода и NFC) Пользователи получают доступ к устройству согласно политике своей организации и проходят проверку подлинности с помощью ПИН-кода и биометрических данных с использованием таких устройств, как USB-ключи безопасности и смарт-карты, ключи или переносные устройства с поддержкой NFC. |
Возможные сценарии | Беспарольный интерфейс с использованием устройства Windows. Подходит для выделенных рабочих компьютеров с возможностью единого входа на устройство и в приложения. |
Портативное беспарольное решение с использованием мобильного телефона. Подходит для доступа к рабочим и личным приложениям в Интернете с любого устройства. |
Беспарольный интерфейс для сотрудников с использованием биометрии, ПИН-кода и NFC. Применимо для общих компьютеров и где мобильный телефон не является жизнеспособным вариантом (например, для сотрудников службы поддержки, общественного киоска или группы больниц) |
Используйте следующую таблицу, чтобы выбрать метод, поддерживающий ваши требования и пользователей.
Пользователь | Сценарий | Среда | Технология входа без пароля |
---|---|---|---|
Администратор | Безопасный доступ к устройству для задач управления | Выделенное устройство под управлением Windows 10 | Windows Hello для бизнеса и/или ключ безопасности FIDO2 |
Администратор | Задачи управления на устройствах не на платформе Windows | Мобильное или не windows-устройство | Вход без пароля с помощью приложения Authenticator |
Информационный работник | Офисная работа | Выделенное устройство под управлением Windows 10 | Windows Hello для бизнеса и/или ключ безопасности FIDO2 |
Информационный работник | Офисная работа | Мобильное или не windows-устройство | Вход без пароля с помощью приложения Authenticator |
Линейный персонал | Терминалы на заводах, фабриках и в магазинах или ввод данных | Общие устройства под управлением Windows 10 | Ключи безопасности FIDO2 |
Следующие шаги
Чтобы приступить к работе с без пароля в идентификаторе Microsoft Entra, выполните одно из следующих инструкций.
- Включение входа без пароля с ключами безопасности FIDO2
- Включение входа без пароля с помощью телефона и приложения Authenticator
Внешние ссылки
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по