Начало работы с развертыванием проверки подлинности без пароля с защитой от фишинга в идентификаторе Microsoft Entra
Пароли являются основным вектором атак для современных злоумышленников, а также источником трений для пользователей и администраторов. В рамках общей стратегии безопасности нулевого доверия корпорация Майкрософт рекомендует перейти к фишингу без пароля в решении проверки подлинности. Это руководство поможет вам выбрать, подготовить и развернуть правильные фишинговые учетные данные без пароля для вашей организации. Используйте это руководство для планирования и выполнения фишинго-устойчивого проекта без пароля.
Такие функции, как многофакторная проверка подлинности (MFA) — отличный способ защитить вашу организацию. Но пользователи часто разочарованы дополнительным уровнем безопасности на вершине их необходимости запоминать пароли. Методы проверки подлинности без пароля, устойчивые к фишингу, удобнее. Например, анализ учетных записей потребителей Майкрософт показывает, что вход с паролем может занять до 9 секунд в среднем, но ключи доступа занимают около 3 секунд в большинстве случаев. Скорость и простота входа в секретный ключ еще больше по сравнению с традиционным паролем и входом MFA. Пользователи секретного ключа не должны запоминать пароль или ждать sms-сообщений.
Примечание.
Эти данные основаны на анализе входа в учетную запись потребителя Майкрософт.
Методы без пароля, устойчивые к фишингу, также имеют дополнительную безопасность. Они автоматически подсчитываются как MFA, используя то, что у пользователя (физическое устройство или ключ безопасности) и что-то, что пользователь знает или имеет, например биометрический или ПИН-код. В отличие от традиционных MFA, фишинговые методы без пароля отклоняют фишинговые атаки на пользователей с помощью аппаратных учетных данных, которые не могут быть легко скомпрометированы.
Идентификатор Microsoft Entra предлагает следующие варианты проверки подлинности без пароля, устойчивые к фишингу:
- Секретные ключи (FIDO2)
- Windows Hello для бизнеса
- Учетные данные платформы для macOS (предварительная версия)
- Секретные ключи приложения Microsoft Authenticator (предварительная версия)
- Ключи безопасности FIDO2
- Другие ключи и поставщики, такие как цепочка ключей iCloud, — на схеме развития
- Проверка подлинности на основе сертификатов и смарт-карты
Необходимые компоненты
Прежде чем запустить проект развертывания без пароля, устойчивый к фишингу Microsoft Entra, выполните следующие предварительные требования:
- Просмотр требований к лицензии
- Просмотрите роли, необходимые для выполнения привилегированных действий
- Определение групп заинтересованных лиц, которым требуется совместная работа
Требования к лицензиям
Регистрация и вход без пароля в Microsoft Entra не требуют лицензии, но мы рекомендуем по крайней мере лицензию Microsoft Entra ID P1 для полного набора возможностей, связанных с развертыванием без пароля. Например, лицензия Microsoft Entra ID P1 помогает применять вход без пароля с помощью условного доступа и отслеживать развертывание с помощью отчета о действиях метода проверки подлинности. Ознакомьтесь с руководством по требованиям к лицензированию для функций, указанных в этом руководстве для конкретных требований к лицензированию.
Интеграция приложений с идентификатором Microsoft Entra
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом (IAM), которая интегрируется с различными типами приложений, включая приложения Software-as-Service (SaaS), бизнес-приложения (LOB), локальные приложения и многое другое. Необходимо интегрировать приложения с идентификатором Microsoft Entra, чтобы получить максимальную выгоду от инвестиций в бессерверную и фишинговую проверку подлинности. Интеграция дополнительных приложений с идентификатором Microsoft Entra позволяет защитить больше среды с помощью политик условного доступа, которые применяют методы проверки подлинности, устойчивые к фишингу. Дополнительные сведения об интеграции приложений с идентификатором Microsoft Entra см. в пяти шагах по интеграции приложений с идентификатором Microsoft Entra.
При разработке собственных приложений следуйте инструкциям разработчика по поддержке проверки подлинности без пароля и фишинга. Дополнительные сведения см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в приложениях, которые вы разрабатываете.
Обязательные роли
В следующей таблице перечислены минимальные требования к привилегированным ролям для фишингового развертывания без пароля. Рекомендуется включить фишинговую проверку подлинности без пароля для всех привилегированных учетных записей.
| Роль Microsoft Entra | Description |
|---|---|
| Администратор пользователей | Реализация объединенного интерфейса регистрации |
| Администратор проверки подлинности | Реализация методов проверки подлинности и управление ими |
| Администратор политики проверки подлинности | Реализация политики методов проверки подлинности и управление ими |
| User | Настройка приложения Authenticator на устройстве; регистрация устройства ключа безопасности для входа в Интернет или Windows 10/11 |
Команды заинтересованных лиц клиентов
Чтобы обеспечить успех, убедитесь, что вы взаимодействуете с правильными заинтересованными лицами, и что они понимают свои роли перед началом планирования и развертывания. В следующей таблице перечислены часто рекомендуемые группы заинтересованных лиц.
| Команда заинтересованных лиц | Description |
|---|---|
| Управление идентификацией и доступом (IAM) | Управление повседневными операциями системы IAM |
| Архитектура информационной безопасности | Планирование и проектирование методик информационной безопасности организации |
| Операции информационной безопасности | Выполняет и отслеживает методики информационной безопасности для архитектуры информационной безопасности |
| Безопасность и аудит | Помогает обеспечить безопасность и соответствие ИТ-процессам. Они проводят регулярные аудиты, оценивают риски и рекомендуют меры безопасности для устранения выявленных уязвимостей и повышения общего состояния безопасности. |
| Служба технической поддержки и поддержка | Помогает конечным пользователям, которые сталкиваются с проблемами во время развертывания новых технологий и политик, или при возникновении проблем |
| Обмен данными с конечными пользователями | Сообщения изменяются конечным пользователям при подготовке к оказанию помощи в разработке технологий, стоящих перед пользователем |
Следующие шаги
Развертывание фишинго-устойчивой проверки подлинности без пароля в идентификаторе Microsoft Entra