Skapa motståndskraft med hantering av autentiseringsuppgifter
När en autentiseringsuppgift visas för Microsoft Entra-ID i en tokenbegäran kan det finnas flera beroenden som måste vara tillgängliga för validering. Den första autentiseringsfaktorn förlitar sig på Microsoft Entra-autentisering och i vissa fall på externa (icke-Entra ID)-beroenden, till exempel lokal infrastruktur. Mer information om hybridautentiseringsarkitekturer finns i Skapa motståndskraft i din hybridinfrastruktur.
Den säkraste och mest motståndskraftiga strategin för autentiseringsuppgifter är att använda lösenordslös autentisering. Windows Hello för företag och nyckelnycklar (FIDO 2.0) har färre beroenden än andra MFA-metoder. För macOS-användare kan kunder aktivera plattformsautentiseringsuppgifter för macOS. När du implementerar dessa metoder kan användarna utföra stark lösenordsfri och nätfiskeresistent Multi-Factor Authentication (MFA).
Dricks
En djupdykning i videoserien om hur du distribuerar dessa autentiseringsmetoder finns i Nätfiskebeständig autentisering i Microsoft Entra-ID
Om du implementerar en andra faktor läggs beroendena för den andra faktorn till i beroendena för den första. Om din första faktor till exempel är via genomströmningsautentisering (PTA) och din andra faktor är SMS, är dina beroenden följande.
- Microsoft Entra-autentiseringstjänster
- Microsoft Entra multifaktorautentiseringstjänst
- Lokal infrastruktur
- Telefonioperatör
- Användarens enhet (inte på bilden)
Din strategi för autentiseringsuppgifter bör ta hänsyn till beroendena för varje autentiseringstyp och etableringsmetoder som undviker en enskild felpunkt.
Eftersom autentiseringsmetoder har olika beroenden är det en bra idé att göra det möjligt för användare att registrera sig för så många andra faktoralternativ som möjligt. Se till att inkludera andra faktorer med olika beroenden, om möjligt. Röstsamtal och SMS som andra faktorer delar till exempel samma beroenden, så att ha dem som enda alternativ minskar inte risken.
För andra faktorer har Microsoft Authenticator-appen eller andra autentiseringsappar som använder tidsbaserat engångslösenord (TOTP) eller OAuth-maskinvarutoken minst beroenden och är därför mer motståndskraftiga.
Ytterligare information om externa (icke-Entra) beroenden
| Autentiseringsmetod | Externt (icke-Entra)-beroende | Mer information |
|---|---|---|
| Certifikatbaserad autentisering (CBA) | I de flesta fall (beroende på konfiguration) kräver cba en återkallningskontroll. Detta lägger till ett externt beroende av CRL-distributionsplatsen (CDP) | Förstå processen för återkallande av certifikat |
| Genomströmningsautentisering (PTA) | PTA använder lokala agenter för att bearbeta lösenordsautentiseringen. | Hur fungerar Direktautentisering i Microsoft Entra? |
| Federation | Federationsservrar måste vara online och tillgängliga för att kunna bearbeta autentiseringsförsöket | Ad FS-distribution med hög tillgänglighet mellan geografiska platser i Azure med Azure Traffic Manager |
| Externa autentiseringsmetoder (EAM) | EAM tillhandahåller en sökväg för kunder att använda externa MFA-leverantörer. | Hantera en extern autentiseringsmetod i Microsoft Entra-ID (förhandsversion) |
Hur hjälper flera autentiseringsuppgifter motståndskraft?
Etablering av flera typer av autentiseringsuppgifter ger användarna alternativ som passar deras inställningar och miljöbegränsningar. Därför blir interaktiv autentisering där användare uppmanas till multifaktorautentisering mer motståndskraftiga mot specifika beroenden som inte är tillgängliga vid tidpunkten för begäran. Du kan optimera omautentiseringsprompter för multifaktorautentisering.
Förutom den individuella användaråterhämtning som beskrivs ovan bör företag planera oförutsedda händelser för storskaliga störningar, till exempel driftsfel som medför en felkonfiguration, en naturkatastrof eller ett resursfel i hela företaget för en lokal federationstjänst (särskilt när de används för multifaktorautentisering).
Hur gör jag för att implementera elastiska autentiseringsuppgifter?
- Distribuera lösenordslösa autentiseringsuppgifter. Föredrar nätfiskeresistenta metoder som Windows Hello för företag, nyckelnycklar (både inloggning med autentiseringsnyckel och FIDO2-säkerhetsnycklar) och certifikatbaserad autentisering (CBA) för att öka säkerheten samtidigt som beroendena minskar.
- Distribuera Microsoft Authenticator-appen som en andra faktor.
- Migrera från federation till molnautentisering för att ta bort beroendet av federerad identitetsprovider.
- Aktivera synkronisering av lösenordshash för hybridkonton som synkroniseras från Windows Server Active Directory. Det här alternativet kan aktiveras tillsammans med federationstjänster som Active Directory Federation Services (AD FS) (AD FS) och ger en reserv om federationstjänsten misslyckas.
- Analysera användningen av metoder för multifaktorautentisering för att förbättra användarupplevelsen.
- Implementera en strategi för elastisk åtkomstkontroll
Nästa steg
Motståndskraftsresurser för administratörer och arkitekter
- Skapa motståndskraft med enhetstillstånd
- Skapa motståndskraft med hjälp av kontinuerlig åtkomstutvärdering (CAE)
- Skapa motståndskraft vid extern användarautentisering
- Skapa motståndskraft i din hybridautentisering
- Skapa motståndskraft i programåtkomst med Programproxy