Skapa motståndskraft med hantering av autentiseringsuppgifter
När en autentiseringsuppgift visas för Microsoft Entra-ID i en tokenbegäran finns det flera beroenden som måste vara tillgängliga för validering. Den första autentiseringsfaktorn är beroende av Microsoft Entra-autentisering och i vissa fall lokal infrastruktur. Mer information om hybridautentiseringsarkitekturer finns i Skapa motståndskraft i din hybridinfrastruktur.
Om du implementerar en andra faktor läggs beroendena för den andra faktorn till i beroendena för den första. Om din första faktor till exempel är via PTA och den andra faktorn är SMS, är dina beroenden följande.
- Microsoft Entra-autentiseringstjänster
- Microsoft Entra multifaktorautentiseringstjänst
- Lokal infrastruktur
- Telefon transportör
- Användarens enhet (inte på bilden)
Din strategi för autentiseringsuppgifter bör ta hänsyn till beroendena för varje autentiseringstyp och etableringsmetoder som undviker en enskild felpunkt.
Eftersom autentiseringsmetoder har olika beroenden är det en bra idé att göra det möjligt för användare att registrera sig för så många andra faktoralternativ som möjligt. Se till att inkludera andra faktorer med olika beroenden, om möjligt. Röstsamtal och SMS som andra faktorer delar till exempel samma beroenden, så att ha dem som enda alternativ minskar inte risken.
Den mest motståndskraftiga strategin för autentiseringsuppgifter är att använda lösenordslös autentisering. Windows Hello för företag och FIDO 2.0 säkerhetsnycklar har färre beroenden än stark autentisering med två separata faktorer. Microsoft Authenticator-appen, Windows Hello för företag och FIDO 2.0-säkerhetsnycklarna är de säkraste.
För andra faktorer har Microsoft Authenticator-appen eller andra autentiseringsappar som använder tidsbaserat engångslösenord (TOTP) eller OAuth-maskinvarutoken minst beroenden och är därför mer motståndskraftiga.
Hur hjälper flera autentiseringsuppgifter motståndskraft?
Etablering av flera typer av autentiseringsuppgifter ger användarna alternativ som passar deras inställningar och miljöbegränsningar. Därför blir interaktiv autentisering där användare uppmanas till multifaktorautentisering mer motståndskraftiga mot specifika beroenden som inte är tillgängliga vid tidpunkten för begäran. Du kan optimera omautentiseringsprompter för multifaktorautentisering.
Förutom den individuella användaråterhämtning som beskrivs ovan bör företag planera oförutsedda händelser för storskaliga störningar, till exempel driftsfel som medför en felkonfiguration, en naturkatastrof eller ett resursfel i hela företaget för en lokal federationstjänst (särskilt när de används för multifaktorautentisering).
Hur gör jag för att implementera elastiska autentiseringsuppgifter?
- Distribuera lösenordslösa autentiseringsuppgifter som Windows Hello för företag, Telefon-autentisering och FIDO2-säkerhetsnycklar för att minska beroenden.
- Distribuera Microsoft Authenticator-appen som en andra faktor.
- Aktivera synkronisering av lösenordshash för hybridkonton som synkroniseras från Windows Server Active Directory. Det här alternativet kan aktiveras tillsammans med federationstjänster som Active Directory Federation Services (AD FS) (AD FS) och ger en reserv om federationstjänsten misslyckas.
- Analysera användningen av metoder för multifaktorautentisering för att förbättra användarupplevelsen.
- Implementera en strategi för elastisk åtkomstkontroll
Nästa steg
Motståndskraftsresurser för administratörer och arkitekter
- Skapa motståndskraft med enhetstillstånd
- Skapa motståndskraft med hjälp av kontinuerlig åtkomstutvärdering (CAE)
- Skapa motståndskraft vid extern användarautentisering
- Skapa motståndskraft i din hybridautentisering
- Skapa motståndskraft i programåtkomst med Programproxy