Переход на развертывание без пароля
Осведомленность и обучение пользователей
На этом последнем шаге вы добавите остальных пользователей, которые соответствуют целевому рабочему человеку в развертывание без пароля. Перед выполнением этого шага необходимо инвестировать в кампанию по повышению осведомленности.
Кампания информирования знакомит пользователей с новым способом проверки подлинности на устройстве, например с помощью Windows Hello для бизнеса. Идея кампании заключается в том, чтобы положительно продвигать изменения для пользователей заранее. Объясните ценность и причины изменения вашей компании. Кампания должна предоставлять даты и поощрять вопросы и отзывы. Эта кампания может совпадать с обучением пользователей, где вы можете показать пользователям изменения и, если среда позволяет, позволить пользователям опробовать опыт.
Совет
Чтобы упростить взаимодействие с пользователем и обеспечить успешное Windows Hello для бизнеса развертывания, вы можете найти настраиваемые материалы (шаблоны электронной почты, плакаты, учебные курсы и т. д.) на странице Microsoft Entra шаблоны.
Включение остальных пользователей, которые соответствуют рабочей персоне
Вы реализовали кампанию по повышению осведомленности для целевых пользователей. Эти пользователи проинформированы и готовы перейти на без пароля. Добавьте в развертывание остальных пользователей, которые соответствуют целевому рабочему человеку.
Убедитесь, что ни один из пользователей рабочих пользователей не нуждается в паролях
Вы успешно перевернули всех пользователей целевой рабочей персоны на без пароля. Отслеживайте пользователей в рабочей персоне, чтобы убедиться, что они не сталкиваются с проблемами при работе в среде без пароля.
Отслеживание всех обнаруженных проблем. Задайте приоритет и серьезность для каждой сообщаемой проблемы и предоставьте команде соответствующие рассмотрения проблем. При рассмотрении проблем учитывайте следующие вопросы:
| Вопрос | |
|---|---|
| 🔲 | Выполняет ли пользователь отчетов задачу за пределами рабочей персоны? |
| 🔲 | Сообщается ли о проблеме, затрагивающей всю рабочую личность или только определенных пользователей? |
| 🔲 | Является ли сбой результатом неправильной настройки? |
| 🔲 | Является ли сбой упущенным пробелом от шага 2? |
Приоритеты и серьезность каждой организации различаются. Однако большинство организаций считают остановки работы довольно значительными. Ваша команда должна предопределить уровни приоритета и серьезности. С помощью каждого из этих уровней создайте соглашения об уровне обслуживания (SLA) для каждого сочетания серьезности и приоритета и привяжите всех к ответственности за эти соглашения. Реактивное планирование позволяет людям тратить больше времени на проблему и ее решение, а также меньше времени на процесс.
Устраните проблемы в рамках соглашений об уровне обслуживания. Для элементов с более высоким уровнем серьезности может потребоваться возвратить часть или всю область пароля пользователя. Очевидно, что этот результат не является конечной целью, но не позволяйте ему замедлить ваш импульс к тому, чтобы стать без пароля. См. сведения о том, как вы сократили область паролей пользователя на шаге 2, и перейдите к решению, развернув это решение и проверив его.
Совет
Отслеживайте контроллеры домена на наличие событий проверки подлинности по паролю. Это помогает заблаговременно выявлять пользователей, которые по-прежнему используют пароли, и обращаться к ним.
Настройка учетных записей пользователей для предотвращения проверки подлинности по паролю
Вы перевернете всех пользователей целевого рабочего человека в среду без пароля и проверили все их рабочие процессы. Последним шагом для завершения перехода без пароля является удаление известного пользователю пароля.
Скрамблинг паролей
Хотя вы не можете полностью удалить пароль из учетной записи пользователя, вы можете запретить пользователю использовать пароль для проверки подлинности. Самый простой и эффективный подход — задать для пароля случайное значение. Такой подход не позволяет пользователю узнать пароль и использовать его для проверки подлинности, но он позволяет пользователю сбрасывать пароль всякий раз, когда это необходимо.
Совет
Включите Microsoft Entra самостоятельный сброс пароля (SSPR), чтобы разрешить пользователям сбрасывать пароль. После реализации пользователи могут войти на свои устройства Windows с помощью Windows Hello для бизнеса или ключа безопасности FIDO2 и сбросить пароль из https://aka.ms/sspr. Объедините его с обратной записью паролей, чтобы сброс пароля был синхронизирован с локальная служба Active Directory.
Следующий пример скрипта PowerShell создает случайный пароль из 64 символов и задает его для пользователя, указанного в имени переменной $userId, для Microsoft Entra ID. Измените переменную userId скрипта в соответствии с вашей средой (первая строка), а затем запустите ее в сеансе PowerShell. При появлении запроса на проверку подлинности для Microsoft Entra ID используйте учетные данные учетной записи с ролью, способной сбрасывать пароли.
$userId = "<UPN of the user>"
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome
$passwordParams = @{
UserId = $userId
AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
NewPassword = Generate-RandomPassword
}
Reset-MgUserAuthenticationMethodPassword @passwordParams
Аналогичный скрипт можно использовать для сброса пароля в Active Directory. Измените переменную samAccountName скрипта в соответствии с вашей средой (первая строка), а затем запустите ее в сеансе PowerShell.
$samAccountName = <sAMAccountName of the user>
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force
Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset
Если это разрешено политиками организации, можно настроить срок действия случайных паролей так, чтобы срок действия не истекал, или использовать длительный срок действия. Эта конфигурация не позволяет пользователю получить запрос на изменение пароля.
Предостережение
Выполняйте скрипт только из безопасной и доверенной среды и убедитесь, что скрипт не зарегистрирован. Обрабатывать узел, на котором выполняется скрипт, как привилегированный узел с тем же уровнем безопасности, что и контроллер домена.
Возраст пароля и смена паролей
Если в вашей организации нет требований к смене паролей, рекомендуется отключить возраст пароля.
Если в вашей организации есть политика смены паролей, рассмотрите возможность реализации автоматизации для регулярной смены пароля пользователя. Такой подход гарантирует, что пароль пользователя всегда будет случайным и не позволяет пользователю узнать пароль.
Дополнительные рекомендации по паролю см. в техническом документе Руководство по паролю.
Дальнейшие действия
Корпорация Майкрософт прилагает все усилия, чтобы упростить для вас путь без пароля. Мы работаем над новыми функциями и возможностями, которые помогут вам перейти в среду без пароля и реализовать долгосрочное обещание безопасности в среде без пароля. Часто проверяйте новые возможности.