Kom igång med nätfiskeresistent lösenordsfri autentiseringsdistribution i Microsoft Entra-ID
Lösenord är den primära attackvektorn för moderna angripare och en källa till friktion för användare och administratörer. Som en del av en övergripande Nolltillit säkerhetsstrategi rekommenderar Microsoft att du övergår till nätfiskebeständigt lösenord utan lösenord i din autentiseringslösning. Den här guiden hjälper dig att välja, förbereda och distribuera rätt lösenordsfria autentiseringsuppgifter utan nätfiske för din organisation. Använd den här guiden för att planera och köra ditt nätfiskeresistenta lösenordslösa projekt.
Funktioner som multifaktorautentisering (MFA) är ett bra sätt att skydda din organisation. Men användarna blir ofta frustrerade över det extra säkerhetsskiktet utöver deras behov av att komma ihåg lösenord. Nätfiskeresistenta metoder för lösenordsfri autentisering är mer praktiska. En analys av Microsofts konsumentkonton visar till exempel att inloggning med ett lösenord kan ta upp till 9 sekunder i genomsnitt, men nyckelnycklar tar bara cirka 3 sekunder i de flesta fall. Hastigheten och enkel inloggning med lösenord är ännu större jämfört med traditionellt lösenord och MFA-inloggning. Lösenordsanvändare behöver inte komma ihåg sitt lösenord eller vänta på SMS.
Kommentar
Dessa data baseras på analys av inloggningar för Microsoft-konsumentkonton.
Nätfiskeresistenta lösenordsfria metoder har också extra säkerhet inbakad. De räknas automatiskt som MFA genom att använda något som användaren har (en fysisk enhet eller säkerhetsnyckel) och något som användaren vet eller är, som en biometrisk kod eller PIN-kod. Och till skillnad från traditionella MFA avleder nätfiskeresistenta lösenordslösa metoder nätfiskeattacker mot dina användare med hjälp av maskinvarubaserade autentiseringsuppgifter som inte är lätta att kompromettera.
Microsoft Entra ID erbjuder följande alternativ för lösenordsfri autentisering utan nätfiske:
- Nyckelnycklar (FIDO2)
- Windows Hello för företag
- Plattformsautentiseringsuppgifter för macOS (förhandsversion)
- Microsoft Authenticator-appnycklar (förhandsversion)
- FIDO2-säkerhetsnycklar
- Andra nyckelnycklar och leverantörer, till exempel iCloud-nyckelring – i översikten
- Certifikatbaserad autentisering/smartkort
Förutsättningar
Innan du startar ditt Microsoft Entra-projekt för nätfiskefri lösenordsfri distribution måste du slutföra följande krav:
- Granska licenskraven
- Granska de roller som krävs för att utföra privilegierade åtgärder
- Identifiera intressentteam som behöver samarbeta
Licenskrav
Registrering och lösenordsfri inloggning med Microsoft Entra kräver ingen licens, men vi rekommenderar minst en Microsoft Entra ID P1-licens för den fullständiga uppsättningen funktioner som är associerade med en lösenordslös distribution. En Microsoft Entra ID P1-licens hjälper dig till exempel att framtvinga lösenordslös inloggning via villkorlig åtkomst och spåra distributionen med en aktivitetsrapport för autentiseringsmetoder. Se riktlinjerna för licensieringskrav för funktioner som refereras i den här guiden för specifika licensieringskrav.
Integrera appar med Microsoft Entra-ID
Microsoft Entra ID är en molnbaserad IAM-tjänst (IAM) som integreras med många typer av program, inklusive SaaS-appar (Software-as-a-Service), verksamhetsspecifika appar (LOB), lokala appar med mera. Du måste integrera dina program med Microsoft Entra-ID för att få ut mesta möjliga av din investering i lösenordsfri och nätfiskeresistent autentisering. När du integrerar fler appar med Microsoft Entra-ID kan du skydda mer av din miljö med principer för villkorsstyrd åtkomst som framtvingar användning av nätfiskeresistenta autentiseringsmetoder. Mer information om hur du integrerar appar med Microsoft Entra-ID finns i Fem steg för att integrera dina appar med Microsoft Entra-ID.
När du utvecklar egna program följer du utvecklarnas vägledning för att stödja lösenordsfri och nätfiskeresistent autentisering. Mer information finns i Stöd för lösenordslös autentisering med FIDO2-nycklar i appar som du utvecklar.
Roller som krävs
I följande tabell visas de minst privilegierade rollkraven för nätfiskebeständig lösenordsfri distribution. Vi rekommenderar att du aktiverar nätfiskeresistent lösenordsfri autentisering för alla privilegierade konton.
| Microsoft Entra-roll | beskrivning |
|---|---|
| Användaradministratör | Implementera kombinerad registreringsupplevelse |
| Autentiseringsadministratör | Implementera och hantera autentiseringsmetoder |
| Administratör för autentiseringsprincip | Implementera och hantera policyn för autentiseringsmetoder |
| User | Så här konfigurerar du Authenticator-appen på enheten. registrera en säkerhetsnyckelenhet för webb- eller Windows 10/11-inloggning |
Kundintressentteam
Se till att du samarbetar med rätt intressenter och att de förstår deras roller innan du påbörjar planeringen och distributionen. I följande tabell visas vanliga rekommenderade intressentteam.
| Intressentteam | beskrivning |
|---|---|
| Identitets- och åtkomsthantering (IAM) | Hanterar dagliga åtgärder i IAM-systemet |
| Arkitektur för informationssäkerhet | Planera och utforma organisationens informationssäkerhetsmetoder |
| Informationssäkerhetsåtgärder | Kör och övervakar informationssäkerhetsmetoder för informationssäkerhetsarkitektur |
| Säkerhetskontroll och granskning | Hjälper till att säkerställa att IT-processerna är säkra och kompatibla. De utför regelbundna granskningar, utvärderar risker och rekommenderar säkerhetsåtgärder för att minska identifierade sårbarheter och förbättra den övergripande säkerhetsstatusen. |
| Support och support | Hjälper slutanvändare som stöter på problem vid distribution av nya tekniker och principer, eller när problem uppstår |
| Slutanvändarkommunikation | Meddelanden ändras till slutanvändare som förberedelse för att hjälpa till att driva användarriktade teknikdistributioner |
Nästa steg
Distribuera en nätfiskeresistent distribution av lösenordsfri autentisering i Microsoft Entra-ID