Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пароли являются основным вектором атак для современных злоумышленников, а также источником трений для пользователей и администраторов. В рамках общей стратегии безопасности нулевого доверия корпорация Майкрософт рекомендует перейти к безпарольной аутентификации, устойчивой к фишингу в вашем решении проверки подлинности. Это руководство поможет вам выбрать, подготовить и развернуть подходящие для вашей организации учетные данные без пароля, устойчивые к фишинговым атакам. Используйте это руководство для планирования и выполнения фишинго-устойчивого проекта без пароля.
Такие функции, как многофакторная проверка подлинности (MFA) — отличный способ защитить вашу организацию. Но пользователи часто разочарованы дополнительным уровнем безопасности вдобавок к их необходимости запоминать пароли. Методы проверки подлинности без пароля, устойчивые к фишингу, удобнее. Например, анализ учетных записей потребителей Майкрософт показывает, что вход с паролем может занять до 9 секунд в среднем, но ключи доступа занимают около 3 секунд в большинстве случаев. Скорость и простота входа с использованием ключа доступа еще более заметны по сравнению с традиционным паролем и многофакторной аутентификацией. Пользователи секретного ключа не должны запоминать пароль или ждать sms-сообщений.
Примечание.
Эти данные основаны на анализе входа в учетную запись потребителя Майкрософт.
Методы без пароля, устойчивые к фишингу, также имеют дополнительную безопасность. Они автоматически считаются методами MFA, используя то, что есть у пользователя (физическое устройство или ключ безопасности), и то, что пользователь знает или кто он, например биометрический показатель или ПИН-код. В отличие от традиционной многофакторной аутентификации, методы безпарольной аутентификации, устойчивые к фишинговым атакам, отклоняют атаки на пользователей с помощью аппаратных учетных данных, которые не могут быть легко скомпрометированы.
Идентификатор Microsoft Entra предлагает следующие варианты проверки подлинности без пароля, устойчивые к фишингу:
- Ключи доступа (FIDO2)
- Windows Hello для бизнеса
- Учетные данные операционной системы для macOS (бета-версия)
- Ключи доступа приложения Microsoft Authenticator
- Ключи безопасности FIDO2
- Другие ключи и поставщики, такие как Связка ключей iCloud, — в планах
- Проверка подлинности на основе сертификатов и смарт-карты
Предварительные условия
Прежде чем запустить проект развертывания без пароля, устойчивый к фишингу Microsoft Entra, выполните следующие предварительные требования:
- Просмотр требований к лицензии
- Просмотрите роли, необходимые для выполнения привилегированных действий
- Определение групп заинтересованных лиц, которым требуется совместная работа
Требования к лицензиям
Регистрация и вход без пароля в Microsoft Entra не требуют лицензии, но мы рекомендуем по крайней мере лицензию Microsoft Entra ID P1 для полного набора возможностей, связанных с развертыванием без пароля. Например, лицензия Microsoft Entra ID P1 помогает применять вход без пароля с помощью условного доступа и отслеживать развертывание с помощью отчета о действиях метода проверки подлинности. Обратитесь к руководству по требованиям к лицензированию для конкретных требований, касающихся функций, указанных в этом документе.
Интеграция приложений с идентификатором Microsoft Entra
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом (IAM), которая интегрируется с различными типами приложений, включая приложения Software-as-Service (SaaS), бизнес-приложения (LOB), локальные приложения и многое другое. Необходимо интегрировать ваши приложения с Microsoft Entra ID, чтобы максимально воспользоваться вашими инвестициями в аутентификацию без пароля и с защитой от фишинга. Интеграция дополнительных приложений с идентификатором Microsoft Entra позволяет защитить больше среды с помощью политик условного доступа, которые применяют методы проверки подлинности, устойчивые к фишингу. Дополнительные сведения об интеграции приложений с идентификатором Microsoft Entra см. в пяти шагах по интеграции приложений с идентификатором Microsoft Entra.
При разработке собственных приложений следуйте инструкциям разработчика по поддержке проверки подлинности без пароля и фишинга. Дополнительные сведения см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в приложениях, которые вы разрабатываете.
Обязательные роли
В следующей таблице перечислены требования к наименее привилегированным ролям для фишингоустойчивого беспарольного развертывания. Рекомендуется включить фишинговую проверку подлинности без пароля для всех привилегированных учетных записей.
| Роль Microsoft Entra | Описание |
|---|---|
| Администратор пользователей | Реализация объединенного интерфейса регистрации |
| Администратор проверки подлинности | Реализация методов проверки подлинности и управление ими |
| Администратор политики проверки подлинности | Реализация политики методов проверки подлинности и управление ими |
| Пользователь | Настройка приложения Authenticator на устройстве; регистрация устройства ключа безопасности для входа в Интернет или Windows 10/11 |
Команды заинтересованных лиц из числа клиентов
Чтобы обеспечить успех, убедитесь, что вы взаимодействуете с правильными заинтересованными лицами, и что они понимают свои роли перед началом планирования и развертывания. В следующей таблице перечислены часто рекомендуемые группы заинтересованных лиц.
| Команда заинтересованных лиц | Описание |
|---|---|
| Управление идентификацией и доступом (IAM) | Управление повседневными операциями системы IAM |
| Архитектура информационной безопасности | Планирование и проектирование методик информационной безопасности организации |
| Операции информационной безопасности | Выполняет и отслеживает методики информационной безопасности для архитектуры информационной безопасности |
| Безопасность и аудит | Помогает обеспечить безопасность и соответствие ИТ-процессам. Они проводят регулярные аудиты, оценивают риски и рекомендуют меры безопасности для устранения выявленных уязвимостей и повышения общего состояния безопасности. |
| Служба технической поддержки и поддержка | Помогает конечным пользователям, которые сталкиваются с проблемами во время развертывания новых технологий и политик, или при возникновении проблем |
| Обмен данными с конечными пользователями | Сообщения для конечных пользователей корректируются в рамках подготовки к развертыванию технологий, ориентированных на пользователя. |
Следующие шаги
Развертывание фишинго-устойчивой проверки подлинности без пароля в идентификаторе Microsoft Entra