Lösenordsfri autentisering med Microsoft Intune

Lösenordsfri autentisering minskar nätfiske och stöld av autentiseringsuppgifter genom att ersätta lösenord med starkare inloggningsmetoder som Windows Hello, FIDO2-säkerhetsnycklar, nycklar, certifikat, microsoft authenticator-telefoninloggning och tillfälligt åtkomstkort.

Microsoft Intune utfärdar inte lösenordsfria autentiseringsuppgifter. I stället förbereder den enheter, appar och användarupplevelser så att dessa lösenordslösa metoder fungerar tillförlitligt i stor skala. Microsoft Entra ID är den identitetsutfärdare som verifierar autentiseringsuppgifter och framtvingar autentisering och principer för villkorsstyrd åtkomst, medan Microsoft Intune konfigurerar enhetsinställningar, framtvingar efterlevnad och aktiverar de plattformsfunktioner som dessa metoder är beroende av. Tillsammans Microsoft Entra ID och Microsoft Intune tillhandahålla den identitetsgrund och enhetsberedskap som krävs för att införa lösenordslös autentisering över olika plattformar och formfaktorer.

Den lösenordslösa upplevelsen varierar beroende på plattform. I Windows omfattar det ofta både enhetsinloggning och appåtkomst via enkel inloggning. På macOS fokuserar den på plattformsautentisering och enkel inloggning i appar i stället för djup enhetsbunden identitet. På iOS/iPadOS och Android fokuserar den oftare på appinloggning, asynkron autentisering och nyckelbeteende än på enhetsinloggning. Tänk på dessa skillnader när du utvärderar plattformskrav och planerar distribution.

Den här artikeln beskriver hur Microsoft Intune stöder en lösenordsfri strategi från en administratörs perspektiv. För distributionsinformation följer du implementeringslänkarna för varje lösenordsfri metod.

Så här fungerar Microsofts lösenordslösa lösning

Microsofts lösenordslösa lösning parar Microsoft Entra ID för identitet och enkel inloggning (SSO) med Microsoft Intune för enhetskonfiguration och principtillämpning. Den här kombinationen gör det möjligt för användare att autentisera med hjälp av starka autentiseringsuppgifter – till exempel biometri, FIDO2-säkerhetsnycklar eller nycklar – utan att ange lösenord.

Microsoft Entra ID är kärnidentitetsprovidern. Den verifierar lösenordslösa autentiseringsuppgifter som Windows Hello PIN-koder, FIDO2-nycklar och nycklar. Efter lyckad autentisering utfärdar Microsoft Entra ID en primär uppdateringstoken (PRT) eller motsvarande, vilket möjliggör sömlös enkel inloggning till Microsoft 365, Azure och andra skyddade resurser. Principer för villkorsstyrd åtkomst utvärderar enhetens tillstånd, autentiseringsstyrka och risksignaler innan åtkomst beviljas.

Microsoft Intune förbereder enheter för lösenordslös inloggning genom att konfigurera inställningar, framtvinga efterlevnad, distribuera nödvändiga appar och stödja plattformsupplevelser som gör lösenordslösa praktiska i stor skala. Microsoft Intune ger administratörer ett hanteringsplan för Windows, macOS, iOS/iPadOS och Android.

Plattformsfunktioner i Windows, macOS, iOS och Android ger den enhetsbundna upplevelsen, inklusive biometri, säker maskinvara (TPM på Windows, Säker enklaver på macOS), nyckelstöd och asynkron enkel inloggning.

Den här separationen är viktig. Microsoft Entra ID är identitetsutfärdarna. Microsoft Intune är hanteringsskiktet som hjälper användarna att implementera och använda dessa metoder.

Lösenordsfri, MFA och skydd mot nätfiske

Lösenordsfri autentisering eliminerar inte säkerhetsfaktorer. De flesta lösenordslösa metoder uppfyller faktiskt MFA-kraven (multifaktorautentisering). Till exempel använder Windows Hello en enhetsbunden autentiseringsuppgift (innehav) i kombination med en biometrisk gest (inherence) eller en PIN-kod (kunskap) som uppfyller MFA avsiktligt. Därför klassificerar principer för autentisering med villkorsstyrd åtkomst många lösenordslösa metoder som MFA-kompatibla eller till och med som nätfiskeresistentA MFA.

Alla lösenordslösa alternativ ger inte samma skyddsnivå. Genom att förstå skillnaden mellan nätfiskeresistenta och icke-nätfiskeresistenta metoder kan du välja rätt autentiseringsstyrka och utforma en säker identitetsstrategi.

• Nätfiskeresistenta metoder använder maskinvarubundna, asymmetriska kryptografiska nycklar som inte kan fångas upp eller spelas upp igen – även om en användare interagerar med en skadlig eller falsk uppmaning.
• Icke-nätfiskeresistenta metoder använder lösenordslösa flöden men kan fortfarande komprometteras genom social teknik, snabb manipulering eller MFA-trötthet.

Varje metod som beskrivs senare i den här artikeln innehåller dess nivå av nätfiskeresistens.

Lära sig mer

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID
• Kom igång med nätfiskeresistent distribution av lösenordsfri autentisering i Microsoft Entra ID

Fördelar med lösenordsfri autentisering med Microsoft Intune

När du använder Microsoft Intune, Microsoft Entra ID och plattformsfunktioner tillsammans får din organisation följande fördelar:

• Sömlös enkel inloggning: Användare loggar in en gång på enheten och får automatisk åtkomst till appar, molntjänster och i vissa fall lokala resurser. Anrop för lösenordsåterställning och upprepade autentiseringsprompter elimineras.
• Användar bekvämlighet mellan enheter: Användare får en intern, konsekvent upplevelse mellan enheter. Windows Hello använder operativsysteminloggning integrerar macOS Touch ID med Microsoft Entra ID, och mobila plattformar använder Microsoft Authenticator och plattformsnycklar. Användarna behöver inte jonglera separata lösenord per enhet.
• Starkare säkerhetsstatus: Nätfiskeresistenta metoder förhindrar stöld av autentiseringsuppgifter och återuppspelningsattacker. Enhetsefterlevnad säkerställer att även giltiga autentiseringsuppgifter endast fungerar från felfria, hanterade enheter – i linje med Nolltillit principer.
• Minskad IT-supportbelastning: Färre lösenordsåterställningar, smidigare registrering med tillfälligt åtkomstpass och återställningsalternativ med självbetjäning minskar supportvolymen.
• Framtidsklar arkitektur: När standarder utvecklas kan nya lösenordslösa metoder – inklusive synkroniserade nycklar och maskinvarubaserade autentiseringsuppgifter – anslutas till samma Microsoft Entra ID + Microsoft Intune arkitektur utan större omdesign.

Så här driver Microsoft Intune lösenordsfri implementering

Microsoft Intune aktiverar och operationaliserar lösenordsfri autentisering genom att se till att enheter och program är korrekt konfigurerade för att använda starka, moderna autentiseringsuppgifter. Även om Microsoft Entra ID styr identitets- och autentiseringsprincipen förbereder Microsoft Intune enhetsmiljön som lösenordslösa metoder är beroende av.

Viktiga bidrag är:

• Enhetsberedskap: Registrera, registrera och konfigurera enheter så att de kan delta i lösenordslösa inloggningsflöden.
• Konfigurationsdistribution: Leverera de principer som krävs för Windows Hello för företag, certifikatbaserad autentisering, enkel inloggning på Apple Platform och liknande plattformsfunktioner.
• Efterlevnads- och åtkomstsignaler: Tillhandahålla hälso- och efterlevnadsdata för enheter som villkorlig åtkomst utvärderar innan åtkomst beviljas.
• Etablering av appar och asynkron meddelandekö: Distribuera kärnprogram, till exempel Microsoft Authenticator och Microsoft Intune Företagsportal, som möjliggör identitetsutjämning och lösenordslösa scenarier med enkel inloggning.
• Enhetlig plattformsoberoende hantering: Tillhandahålla ett konsekvent princip- och hanteringsramverk i Windows, macOS, iOS/iPadOS och Android för att effektivisera företagsdistributionen.

Vilka lösenordslösa metoder som är tillgängliga för användarna beror på både enhetsplattformen och de autentiseringsalternativ som är aktiverade i Microsoft Entra ID. Microsoft Intune säkerställer att varje enhet är förberedd, konfigurerad och kan leverera en säker och tillförlitlig lösenordsfri upplevelse.

Windows Hello

Nätfiskeskyddad

Windows Hello ersätter lösenord med en enhetsbunden asymmetrisk nyckel som genereras och förseglas till TPM. Åtkomsten till nyckeln styrs av en PIN-kod eller biometrisk gest (fingeravtryck eller ansiktsigenkänning), som kombinerar innehav och inherence i ett enda inloggningssteg. Den här metoden är maskinvarustödd och nätfiskeresistent för Windows-enheter.

Intune roll
Microsoft Intune förbereder Windows-enheter för Windows Hello genom att leverera och framtvinga Windows Hello för företag principinställningar.

Den här metoden är mest relevant när du behöver:

• Förbereda molnbaserade Windows-enheter för lösenordsfri inloggning.
• Leverera Windows Hello för företag principinställningar under registrering och löpande hantering.
• Justera Windows-inloggningen med enhetsefterlevnad och modern hantering.

Lära sig mer

• Windows Hello för företag översikt
• Guide för lösenordsfri strategi för organisationer

FIDO2-säkerhetsnycklar

Nätfiskeskyddad

FIDO2-säkerhetsnycklar är fysiska enheter (USB, NFC eller Bluetooth) som lagrar en FIDO-autentiseringsuppgift och tillhandahåller nätfiskeresistent autentisering utan att förlita sig på enhetsplattformen. Eftersom autentiseringsuppgifterna är bundna till maskinvarunyckeln och verifieras via en kryptografisk utmaning kan den inte fångas upp eller spelas upp igen. FIDO2-nycklar är idealiska för delade enheter, miljöer med hög säkerhet eller som en återställningsväg tillsammans med plattformsbaserade autentiseringsuppgifter.

Intune roll
Microsoft Intune kan hjälpa till att göra enheter redo för den här metoden genom att hantera plattformar som stöds och relaterade inloggningsupplevelser.

Den här metoden passar ofta bra när organisationer behöver:

• Ett portabelt lösenordslöst alternativ för delade eller specialiserade enheter.
• Ett starkt nätfiskebeständigt alternativ som inte är knutet till en enda plattform eller Microsoft Authenticator.
• En återställnings- eller alternativ sökväg tillsammans med plattformsbaserade autentiseringsuppgifter.

Implementeringsvägledning finns i:

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID

Nycklar

Nätfiskeskyddad

Nycklar är det standardbaserade paraplyet för FIDO-autentiseringsuppgifter som kan antingen vara enhetsbundna eller synkroniserade mellan enheter. I Microsoft Entra ID kan du använda:

• Enhetsbundna nycklar som lagras i säker maskinvara (TPM eller Säker enklav) på en enda enhet, till exempel via Windows Hello eller Microsoft Authenticator på iOS 17+ och Android 14+.
• Synkroniserade nycklar som hanteras av plattformslösenordhanterare (till exempel iCloud-nyckelring eller Google Password Manager) eller tredjepartsleverantörer som stöds, vilket möjliggör användning mellan enheter.
• Microsoft Entra nyckel i Windows är en FIDO2-nyckel som använder Windows Hello för biometrisk verifiering men inte kräver enhetsanslutning eller registrering. Användare kan registrera flera nycklar för flera Microsoft Entra konton på samma enhet, vilket gör det väl lämpat för delade enheter, ohanterade slutpunkter och scenarier där Windows Hello för företag inte etableras.

Intune roll
Ur ett Microsoft Intune perspektiv handlar nyckelnycklar främst om plattforms- och appberedskap – hantering av de enhets- och appkrav som gör nyckelimplementeringen livskraftig på olika plattformar.

Det här beroendet är särskilt viktigt för:

• Windows, där plattformsinloggning och Windows Hello kan korsas med bredare lösenordsfri planering. Microsoft Entra nyckel i Windows utökar nyckeltäckningen till enheter som inte är registrerade eller anslutna, vilket kompletterar Windows Hello för företag på hanterade enheter.
• iOS/iPadOS och Android, där nycklar kan vara beroende av mobila enheters tillstånd och beteende för appkoordinatorer.
• macOS, där plattformsidentitetsintegrering och användarinloggningsupplevelse utformar implementeringen.

Implementeringsvägledning finns i:

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID
• Microsoft Entra nyckel i Windows

Microsoft Authenticator-telefoninloggning

Inte nätfiskeresistent

Microsoft Authenticator-telefoninloggning ersätter lösenord med push-baserat godkännande och nummermatchning på användarens betrodda mobila enhet. Det är praktiskt och stöds ofta, men förlitar sig på push-meddelanden snarare än maskinvarubundna autentiseringsuppgifter, vilket innebär att det inte helt förhindrar nätfiskeattacker som MFA-promptmanipulering.

Obs!

Microsoft Authenticator kan också lagra enhetsbundna nycklar (iOS 17+, Android 14+), som är nätfiskeresistenta. Det här avsnittet beskriver specifikt det push-baserade flödet för telefoninloggning.

Intune roll
Microsoft Intune stöder det här flödet genom att distribuera och hantera kraven för mobilappar och enheter.

I många miljöer omfattar det här stödet:

• Distribuera Microsoft Authenticator till hanterade mobila enheter.
• Stöd för den asynkrona inloggningsupplevelsen i Microsoft-appar.
• Ta hänsyn till överväganden för appskyddsprinciper på mobila plattformar när de ingår i den bredare designen för mobil åtkomst.

Implementeringsvägledning finns i:

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID

Tillfälligt åtkomstpass

Inte en permanent metod – används för registrering och återställning

Tillfälligt åtkomstkort (TAP) är en tidsbegränsad autentiseringsuppgift som en administratör utfärdar för att hjälpa användare att starta eller återställa åtkomst innan de slutför sin långsiktiga lösenordslösa installation. TAP är inte en permanent lösenordsfri metod och är inte nätfiskebeständig, men det är ofta en viktig del av en lyckad distribution eftersom det löser problemet med första inloggningen utan att utfärda ett lösenord.

Intune roll
Från ett Microsoft Intune perspektiv är tillfälligt åtkomstpass viktigt när du vill:

• Förenkla registrering till lösenordslösa metoder.
• Minska beroendet av tillfälliga lösenord under distributionen.
• Ansluta registreringsscenarier till konfiguration av hanterade Windows-enheter.

Onboarding dag-noll med TAP

En vanlig utmaning i lösenordslösa distributioner är problemet med kyckling och ägg : en ny användare måste logga in för att registrera sina lösenordslösa autentiseringsuppgifter, men du vill inte utfärda ett lösenord för den första inloggningen. TAP löser det här problemet genom att tillhandahålla en kortlivad autentiseringsuppgift för inledande enhetskonfiguration och registrering av autentiseringsuppgifter.

Ett typiskt registreringsflöde ser ut så här:

1. Admin utfärdar en TAP – IT-administratören eller det automatiserade arbetsflödet genererar en tidsbegränsad TAP för den nya användaren i Microsoft Entra administrationscenter eller via Microsoft Graph API.
2. Användaren konfigurerar sin enhet – Användaren anger TAP under Windows Autopilot OOBE, macOS-konfigurationen assistent eller registrering av mobila enheter. På Windows 11 aktiverar webbinloggning TAP-post direkt på låsskärmen.
3. Användaren registrerar en lösenordsfri metod – När användaren har loggat in med TAP uppmanas användaren att registrera Windows Hello, en FIDO2-säkerhetsnyckel, en nyckel i Microsoft Authenticator eller någon annan metod utan lösenord. Det här är den permanenta autentiseringsuppgiften som ersätter TAP.
4. TAP upphör att gälla – TAP är enkel användning eller tidsbegränsad (konfigurerbar), så den kan inte återanvändas när användaren har registrerat sin lösenordslösa metod.

Det här flödet eliminerar behovet av att utfärda och återkallar sedan ett tillfälligt lösenord och ger Microsoft Intune en hanterad registreringssökväg från den första inloggningen.

Implementeringsvägledning finns i:

• Använda ett tillfälligt åtkomstkort
• Översikt över Windows Autopilot
• Webbinloggning för Windows

Certifikatbaserad autentisering (CBA)

Nätfiskeskyddad

Certifikatbaserad autentisering (CBA) använder digitala certifikat och asymmetrisk kryptografi för att verifiera identiteten, vilket gör den nätfiskeresistent och förhindrar återuppspelning av autentiseringsuppgifter. Det är allmänt antaget i reglerade branscher och statliga miljöer, ofta genom smartkort som PIV och CAC. Till skillnad från andra lösenordslösa metoder där Microsoft Intune främst förbereder enhetsmiljön är CBA ett område där Microsoft Intune spelar en direkt roll när det gäller att distribuera själva autentiseringsuppgifterna.

Intune roll
Microsoft Intune stöder två infrastrukturmodeller för certifikatleverans:

• Lokal PKI: Organisationer med en befintlig certifikatutfärdare (CA) kan använda certifikatanslutningsappen för Microsoft Intune för att överbrygga sin lokala PKI med Microsoft Intune. Anslutningsappen gör det möjligt för Microsoft Intune att distribuera SCEP- och PKCS-certifikatprofiler till hanterade enheter med hjälp av din befintliga CA-infrastruktur. Den här modellen passar organisationer som redan driver en företagscertifikatutfärdare eller som behöver integreras med etablerade PKI-investeringar.
• Microsoft Cloud PKI: För organisationer som vill förenkla eller eliminera den lokala certifikatinfrastrukturen tillhandahåller Microsoft Cloud PKI en molnbaserad certifikatutfärdare som en del av Microsoft Intune Suite. Cloud PKI utfärdar och hanterar certifikat utan att kräva lokala servrar, anslutningsappar eller maskinvarusäkerhetsmoduler.

Oavsett infrastrukturmodell levererar Microsoft Intune certifikat till enheter med hjälp av certifikatprofiler:

• Betrodda rotcertifikatprofiler distribuerar certifikatutfärdarens rotcertifikat så att enheter kan upprätta förtroendekedjan.
• SCEP-certifikatprofiler begär och distribuerar certifikat från en SCEP-aktiverad certifikatutfärdare.
• PKCS-certifikatprofiler begär och distribuerar certifikat med PKCS #12-standarden.
• Importerade PFX-certifikatprofiler distribuerar förgenererade certifikat som importeras till Microsoft Intune.

Dessa profiler fungerar i Windows, macOS, iOS/iPadOS och Android, vilket gör Microsoft Intune den leveransmekanism som ansluter din PKI-infrastruktur – lokalt eller molnbaserad – till identitetsmetoden som definieras i Microsoft Entra ID.

Implementeringsvägledning finns i:

• Använda certifikat för autentisering i Microsoft Intune
• Översikt över Microsoft Cloud PKI
• Certifikatanslutningsapp för Microsoft Intune
• Alternativ för lösenordsfri autentisering för Microsoft Entra ID

Förhandskrav

Innan du planerar en lösenordslös distribution kontrollerar du att din miljö uppfyller licens- och plattformskraven för de metoder som du tänker använda. Vissa lösenordslösa funktioner kräver specifika Microsoft Entra ID eller Microsoft Intune licensnivåer, och varje metod har lägsta versionskrav för operativsystemet.

Licensieringskrav

Beroende på vilka lösenordslösa metoder du väljer kan din organisation behöva Microsoft Entra ID P1- eller Microsoft Entra ID P2-licenser för användare, samt specifika Microsoft Intune licenser för enhetshantering och certifikatleverans. I följande tabell sammanfattas licenskraven för vanliga lösenordslösa funktioner:

Funktion	Licenskrav
Windows Hello	Microsoft Entra ID P1 (för tillämpning av villkorsstyrd åtkomst)
FIDO2-säkerhetsnycklar	Microsoft Entra ID P1
Nycklar (enhetsbundna och synkroniserade)	Microsoft Entra ID P1
Microsoft Authenticator-telefoninloggning	Microsoft Entra ID P1
Tillfälligt åtkomstpass	Microsoft Entra ID P1
Certifikatbaserad autentisering (CBA)	Microsoft Entra ID P1 (P2 för riskbaserad villkorsstyrd åtkomst)
Principer för autentiseringsstyrka	Microsoft Entra ID P1
Riskbaserad villkorsstyrd åtkomst	Microsoft Entra ID P2
Microsoft Cloud PKI	Microsoft Intune Suite eller fristående Cloud PKI-licens
Enhetsefterlevnad och konfigurationsprofiler	Microsoft Intune abonnemang 1

Lära sig mer

• Microsoft Entra planer och priser
• Microsoft Intune-licensiering

Plattformskrav

De lösenordslösa metoder som beskrivs i den här artikeln förlitar sig på specifika plattformsfunktioner som endast är tillgängliga i vissa os-versioner. I följande tabell sammanfattas plattformskraven för varje metod:

Metod	Windows	macOS	iOS/iPadOS	Android
Windows Hello	Alla Windows-klienter som stöds	—	—	—
FIDO2-säkerhetsnycklar	Alla Windows-klienter som stöds	—	—	—
Nycklar	Windows 11	Alla versioner som stöds	Alla versioner som stöds	Android 14+
Enhetsbundna nycklar i Microsoft Authenticator	—	—	Alla versioner som stöds	Android 14+
Plattforms-SSO (säker enklav)	—	Alla versioner som stöds	—	—
Webbinloggning (TRYCK på låsskärmen)	Windows 11	—	—	—
Microsoft Authenticator-telefoninloggning	—	—	Alla versioner som stöds	Android 11+

Obs!

Stöds avser operativsystemversioner som Microsoft Intune stöder för närvarande för fullständig funktionalitet, principdistribution och hantering.
Kraven på plattformsversioner kan ändras för varje versionscykel. Kontrollera alltid aktuella krav i produktdokumentationen för den specifika metod som du distribuerar.

Lära sig mer

• Operativsystem som stöds av Intune

Plattformsöverväganden

Lösenordsfri är inte en funktion. Det är en uppsättning plattformsspecifika funktioner som förlitar sig på Microsoft Entra ID för identitet och Microsoft Intune för enhetshantering.

Windows

Windows är det mest kompletta exemplet på hur enhetsregistrering, molninloggning, säkerhetsstatus och lösenordslös användarupplevelse fungerar tillsammans.

Microsoft Intune stöder ofta lösenordslösa Windows-scenarier genom att:

• Förbereda molnbaserade Microsoft Entra anslutna enheter.
• Leverera Windows Hello för företag konfiguration.
• Stöd för FIDO2-säkerhetsnyckelupplevelser.
• Justera enhetens beredskap med efterlevnad och modern hantering.
• Stöd för onboarding-funktioner som kan ansluta till Windows Autopilot.

När en användare loggar in med Windows Hello eller en FIDO2-nyckel hämtar Windows en primär uppdateringstoken från Microsoft Entra ID. Denna PRT möjliggör sömlös enkel inloggning till Microsoft 365-appar, SaaS-program och – när Cloud Kerberos Trust har konfigurerats – lokala resurser som filresurser, allt utan ytterligare inloggningsanvisningarna.

Lära sig mer

• Windows Hello för företag översikt
• Guide för lösenordsfri strategi för organisationer
• Översikt över Windows Autopilot

Hybridöverväganden och äldre överväganden

De lösenordslösa upplevelser som beskrivs i den här artikeln förutsätter en molninriktad riktning med Microsoft Entra anslutna enheter. Organisationer med hybrid Microsoft Entra anslutna enheter bör vara medvetna om dessa skillnader:

• Webbinloggning (används för TAP på Windows-låsskärmen) stöds endast på Microsoft Entra anslutna enheter, inte hybrid Microsoft Entra anslutna enheter.
• Windows Hello för företag fungerar på både Microsoft Entra anslutna och hybrid-Microsoft Entra anslutna enheter, men hybriddistributioner kan kräva ytterligare infrastruktur beroende på förtroendemodellen.
• Lokal resursåtkomst från Microsoft Entra anslutna enheter kräver kerberos-förtroende i molnet eller certifikatbaserat förtroende. Cloud Kerberos-förtroende är den rekommenderade modellen eftersom det inte kräver distribution av certifikat för Kerberos-autentisering. Mer information finns i [cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
• Äldre program som kräver služba Active Directory Kerberos-autentisering kan fortfarande fungera med lösenordslösa metoder, men program som kräver NTLM- eller direkt LDAP-bindning kan behöva extra planering.

Om din miljö är hybrid ska du planera den lösenordslösa distributionen från och med Microsoft Entra anslutna enheter och expandera till hybrid Microsoft Entra anslutna enheter när infrastrukturen stöder den.

Lära sig mer

• Konfigurera enkel inloggning för Microsoft Entra anslutna enheter

macOS

På macOS beror lösenordslös planering på hur Microsoft Entra ID integreras med plattformsinloggning och enkel inloggning. Microsoft Intune levererar den enhetskonfiguration som krävs för Apple-fokuserade identitetsintegreringar.

Med plugin-programmet Microsoft Enterprise SSO och Apples ramverk för enkel inloggning för plattform kan Microsoft Intune distribuera en konfiguration som gör att användarna kan logga in på Mac med sina Microsoft Entra ID autentiseringsuppgifter. När du konfigurerar med nyckelmetoden Säker enklav ger detta en nätfiskebeständig inloggning med maskinvarubaserad inloggning som liknar Windows Hello.

Den här informationen är viktig när du planerar:

• Plattforms-SSO och relaterade inloggningsupplevelser.
• Enkel inloggning mellan enheten och Microsoft-appar.
• En konsekvent hanteringsmodell tillsammans med Windows- och mobila enheter.

Lära sig mer

• Microsoft Enterprise SSO-plugin-program och plattforms-SSO för Apple-enheter
• Konfigurationsguide för plattforms-SSO för macOS-enheter

iOS och iPadOS

I iOS och iPadOS fokuserar den lösenordslösa planeringen mer på appinloggning, asynkron autentisering och nyckelbeteende än på enhetsinloggning. Microsoft Intune distribuerar och hanterar de appar och inställningar som gör dessa upplevelser konsekventa för användarna.

Microsoft SSO-tillägget på iOS kan fånga upp autentiseringsbegäranden i Microsoft- och tredjepartsappar, vilket möjliggör sömlös inloggning efter den första enhetskonfigurationen. Microsoft Authenticator fungerar som autentiseringskoordinator och kan även lagra enhetsbundna nycklar på iOS 17+ för nätfiskeresistent autentisering.

Lära sig mer

• Microsoft Enterprise SSO-plugin-program och plattforms-SSO för Apple-enheter
• Alternativ för lösenordsfri autentisering för Microsoft Entra ID
• Använda Microsoft Enterprise SSO-plugin-programmet på iOS/iPadOS-enheter

Android

På Android etablerar Microsoft Intune den hanterade kontext som lösenordslösa och asynkrona autentiseringsflöden är beroende av. Den här kontexten är särskilt relevant när Microsoft Authenticator eller relaterade appupplevelser ingår i din design för mobil åtkomst.

Både Företagsportal och Microsoft Authenticator kan fungera som asynkrona autentiseringskoordinatorer på Android. När en användare loggar in via asynkron meddelandekö utfärdar Microsoft Entra ID en primär uppdateringstoken som aktiverar enkel inloggning för alla koordinatormedvetna appar i arbetsprofilen. På Android 14+ kan Microsoft Authenticator även lagra enhetsbundna nycklar för nätfiskeresistent autentisering.

Lära sig mer

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID

Beroenden för lösenordsfri autentisering

Nolltillit arkitektur

Lösenordsfri autentisering är en del av en bredare strategi för identitets- och enhetsåtkomst. För en Microsoft Intune administratör omfattar planering vanligtvis dessa lager:

• Identitet: Nätfiskeresistenta autentiseringsmetoder i Microsoft Entra ID.
• Enhetsförtroende: Microsoft Intune registrering, efterlevnad och konfiguration.
• Åtkomstprincip: Villkorlig åtkomst och relaterad exkluderingsplanering.
• Dataskydd: Microsoft Purview-funktioner som hjälper till att skydda innehåll när åtkomst har beviljats.
• Undersökning och svar: Microsoft Defender signaler och arbetsflöden när risk eller komprometterande behöver följas upp.

Lära sig mer

• Vad är Nolltillit?
• Vanliga säkerhetsprinciper för Microsoft 365-organisationer

Villkorsstyrd åtkomst

Villkorsstyrd åtkomst utvärderar signaler som enhetstillstånd och autentiseringsstyrka innan åtkomst beviljas. I kombination med lösenordsfria metoder kan villkorsstyrd åtkomst framtvinga principer för autentiseringsstyrka som kräver nätfiskeresistent MFA – vilket effektivt kräver lösenordsfri användning genom att blockera svagare metoder som lösenord eller SMS-koder.

När du implementerar villkorlig åtkomst tillsammans med lösenordsfri kan du även ta hänsyn till planering för nödåtkomst för att förhindra oavsiktliga utelåsningsscenarier.

Lära sig mer

• Skapa en princip för villkorsstyrd åtkomst
• Autentiseringsstyrkor för villkorsstyrd åtkomst

Nödåtkomst och återställning

Ett vanligt problem när du tar bort lösenord är vad som händer när en användare förlorar sin enda lösenordslösa enhet – en telefon, en FIDO2-nyckel eller en bärbar dator med Windows Hello. Utan en återställningsplan kan administratörer drabbas av supporteskaleringar och användare kan låsas ute från kritiska resurser.

Planera för dessa scenarier som en del av din lösenordslösa distribution:

• Konton för nödåtkomst: Underhålla minst två break-glass-konton som undantas från principer för villkorsstyrd åtkomst och lösenordsfri tillämpning. Dessa konton tillhandahåller en återställningssökväg om en felaktig konfiguration eller ett avbrott blockerar all annan åtkomst. Lagra autentiseringsuppgifter på ett säkert sätt och övervaka inloggningsaktiviteten på dessa konton.
• Återställning med tillfälligt åtkomstkort: När en användare förlorar sin lösenordslösa enhet kan en administratör utfärda en ny TAP så att användaren kan logga in och registrera en ersättningsautentiseringsuppgift. Den här metoden undviker att återställa användaren till ett lösenord och håller återställningsflödet inom den lösenordslösa modellen.
• Flera registrerade metoder: Uppmuntra användare att registrera mer än en lösenordsfri metod där det är möjligt. En användare som till exempel använder Hello för företag på sin bärbara dator kan också registrera en nyckel i Microsoft Authenticator på sin telefon. Om en enhet går förlorad fungerar den andra metoden fortfarande.
• Hantering av autentiseringsuppgifter med självbetjäning: Användare kan hantera sina autentiseringsmetoder i Min säkerhetsinformation. I kombination med TAP-baserad återställning minskar den här metoden supportavdelningens beroende för återställning av autentiseringsuppgifter.
• Total återställning av förlust med Verifierat ID: För scenarier där en användare förlorar alla registrerade autentiseringsuppgifter och enheter tillhandahåller Microsoft Entra kontoåterställning med Verifierat ID en identitetsverifierad återställningssökväg som inte förlitar sig på lösenord eller autentiseringsuppgifter som utfärdats av supportavdelningen.

Det är viktigt att du planerar för återställning innan du framtvingar lösenordsfri. En distribution som blockerar lösenord utan en återställningssökväg skapar den typ av utelåsningsscenarier som urholkar administratörens och användarnas förtroende för övergången.

Lära sig mer

• Hantera konton för nödåtkomst i Microsoft Entra ID
• Kontoåterställning med Microsoft Entra – verifierat ID

Efterlevnads- och enhetsberedskap

Lösenordsfri beror ofta på att enheten är i rätt tillstånd innan användarna kan lita på upplevelsen. Beredskap omfattar vanligtvis:

• Enhetsplattformar och versioner som stöds
• Enhetsregistrering eller registrering
• Obligatoriska appar och asynkrona meddelandeköer
• Metodspecifika konfigurationsprofiler och identitetskrav

Verifiering och pågående åtgärder

För att verifiera en lösenordslös distribution omfattar vanliga kontrollpunkter:

• Microsoft Entra inloggningsloggar
• Microsoft Intune enhets- och principrapportering
• Plattformsspecifika verifieringsupplevelser för den lösenordslösa metod som du distribuerar.

Användarinförande och kommunikation

Teknisk beredskap är bara en del av en lösenordsfri distribution. Användare som är vana vid lösenord kan uppleva förvirring eller motstånd när inloggningsflöden ändras. Planering för användarkommunikation och support kan göra skillnaden mellan en smidig övergång och omfattande eskalering av supportavdelningen.

Tänk på följande metoder:

• Kommunicera ändringen tidigt: Informera användarna om att deras inloggningsupplevelse förändras, varför den ändras och vad de kan förvänta sig. Fokusera på fördelarna – färre lösenord att komma ihåg, snabbare inloggning och starkare säkerhet.
• Ge plattformsspecifik vägledning: Den lösenordslösa upplevelsen skiljer sig åt i Windows (Hello biometric or PIN), macOS (Touch ID with Platform SSO), iOS (Authenticator or passkeys) och Android (Authenticator broker). Skräddarsy kommunikationen till de plattformar som användarna har.
• Identifiera pilotgrupper: Börja med en grupp användare som kan testa upplevelsen och ge feedback innan du framtvingar lösenordsfri i hela organisationen. IT-personal, tidiga användare och säkerhetsmedvetna team är ofta bra kandidater.
• Förbered supportpersonalen: Se till att supportteamet vet hur de utfärdar ett tillfälligt åtkomstpass för återställning, hur de vägleder användarna genom registrering av autentiseringsuppgifter och var du kan kontrollera inloggningsloggar när problem uppstår.

Lära sig mer

• Microsoft Entra mallar och material för slutanvändardistribution
• Aktivitet för autentiseringsmetoder

Relaterade artiklar

• Alternativ för lösenordsfri autentisering för Microsoft Entra ID
• Distribuera nätfiskeresistent lösenordsfri autentisering i Microsoft Entra ID
• Windows Hello för företag översikt
• Guide för lösenordsfri strategi för organisationer
• Microsoft Enterprise SSO-plugin-program och plattforms-SSO för Apple-enheter
• Använda ett tillfälligt åtkomstkort
• Använda certifikat för autentisering i Microsoft Intune
• Översikt över Microsoft Cloud PKI
• Översikt över Windows Autopilot
• Skapa en princip för villkorsstyrd åtkomst
• Vad är Nolltillit?
• Vanliga säkerhetsprinciper för Microsoft 365-organisationer
• Lösenordsfri för studenter