减少用户可见的密码外围应用

调查密码使用测试用户工作流

现在是时候了解有关目标工作角色的详细信息了。 你应该有一个应用程序列表,他们使用的应用程序,但你不知道什么、原因、时间和频率。 在进一步完成步骤 2 时,此信息非常重要。 测试用户创建与目标工作角色关联的工作流。 他们最初的目标是执行一个简单的任务:记录密码使用情况。 此列表并不全面,但它可让你了解所需的信息类型。 目标是了解该工作角色遇到密码的所有方案。 一个很好的方法是问自己以下问题集:

问题
🔲 要求提供密码的应用程序的名称是什么?
🔲 他们为什么使用要求提供密码的应用程序? 例如,是否有多个应用程序可以执行相同操作?
🔲 他们的工作流的哪个部分使他们使用应用程序? 尽量具体。 例如,“我使用应用程序 x 为超过 y 的金额发放信用卡退款。
🔲 在给定的一天或一周内多久使用一次应用程序?
🔲 在应用程序中键入的密码是否与用于登录到 Windows 的密码相同?

一些组织授权其用户编写此信息,而一些组织可能坚持让 IT 部门成员支持他们。 目标查看器可能会注意到用户仅仅因为肌肉记忆而忽略的密码提示。 如前所述,此信息至关重要。 你可能会错过一个密码提示,这可能会延迟转换为无密码。

确定密码使用情况,并规划、开发和部署密码缓解措施

测试用户为你提供了有价值的信息,这些信息描述了他们如何使用密码的方式、内容、原因以及何时使用密码。 现在,你的团队可以识别每个密码用例,并了解用户为何必须使用密码。
创建方案列表。 每个方案都应有一个明确的问题陈述。 使用问题陈述的一个句子摘要来命名方案。 在方案中包括团队的调查结果,说明为何要求用户提供密码。 包括相关但准确的详细信息。 如果方案是策略或过程驱动的,则包括策略的名称和部分,用于指示工作流为何使用密码。

测试用户不会发现所有方案,因此你必须强制他们执行一些不常见的方案。 请记得包括以下内容:

  • 为新用户预配未知密码
  • 在强凭据不可用时忘记 PIN 或其他修正的用户会流

接下来,查看方案列表。 可以从流程或策略规定的工作流开始,也可以从需要技术解决方案的工作流开始,以两者中的哪一个更轻松或更快为准。 此选项因组织而异。

根据目标角色的工作流开始缓解密码使用量。 将缓解措施记录为方案的解决方案。 不要担心解决方案的实现详细信息。 只需概述减少密码使用量所需的更改。 如果需要技术更改(基础结构或代码更改),项目文档中可能会包含确切的详细信息。 但是,组织会跟踪项目,请在该系统中创建一个新项目。 将方案关联到该项目,并启动获得该项目资金所需的流程。

减少应用程序使用密码是无密码旅程中更具挑战性的障碍之一。 如果你的组织开发应用程序,那么你可以更好地塑造现成的通用软件 (COTS) 。

提示用户输入密码的应用程序的理想缓解措施是允许这些应用程序使用现有的经过身份验证的标识,例如 Microsoft Entra ID 或 Active Directory。 与应用程序供应商合作,让他们添加对Microsoft Entra标识的支持。 对于本地应用程序,请让应用程序使用 Windows 集成身份验证。 用户的目标应该是无缝单一登录体验,其中每个用户在登录到 Windows 时都会进行身份验证一次。 对于将自己的标识存储在自己的数据库中的应用程序,请使用相同的策略。

列表上的每个方案现在都应该有一个问题陈述,调查使用密码的原因,以及如何使密码使用缓解计划消失。 使用这些数据,逐个缩小用户可见密码的差距。 根据需要更改策略和过程,尽可能更改基础结构。 将内部应用程序转换为集成到Microsoft Entra ID租户中、使用联合标识或使用 Windows 集成身份验证。 与非 Microsoft 软件发布者协作,更新其软件以集成到Microsoft Entra ID、支持联合标识或使用 Windows 集成身份验证。

重复此操作,直到所有用户密码使用都得到缓解

部分或全部缓解措施已到位。 需要验证解决方案是否已解决其问题陈述。 在此阶段,你依赖于测试用户。 你希望保留第一批测试用户的很大一部分,但这一点是替换或添加一些用户的好机会。 调查测试用户密码使用情况的工作流。 如果一切顺利,你将缩小大部分或全部差距。 少数人可能会留下来。 评估你的解决方案以及出现的问题,根据需要更改解决方案,直到到达一个解决方案,该解决方案消除了用户键入密码的需要。 如果你陷入困境,其他人也可能。 使用来自各种来源或 IT 同事网络的论坛来描述你的问题,并了解其他人如何解决该问题。 如果选项不足,请联系 Microsoft 寻求帮助。

从 Windows 中删除密码功能

你认为你已减少目标工作角色的所有密码使用。 现在来了真正的测试:配置 Windows,以便用户无法使用密码。
Windows 提供三个main选项来减少或消除密码外围应用:

  • Windows 无密码体验
  • 排除密码凭据提供程序
  • 需要Windows Hello 企业版或智能卡

Windows 无密码体验

Windows 无密码体验是一种安全策略,它为使用Windows Hello或 FIDO2 安全密钥登录的用户帐户隐藏密码凭据提供程序。 建议使用 Windows 无密码体验,但它仅在已加入Microsoft Entra设备上可用。 下图显示了启用 Windows 无密码体验时 Windows 锁屏界面。 Windows Hello 企业版注册的用户无法选择使用密码登录:

已启用无密码体验的 Windows 锁屏界面的屏幕截图。

若要了解详细信息,请参阅 Windows 无密码体验

排除密码凭据提供程序

排除凭据提供程序” 策略设置可用于禁用密码凭据提供程序。 配置后,Windows 将禁用 对所有帐户(包括本地帐户)使用密码的可能性。 它还可防止在 RDP 和 运行方式 身份验证方案中使用密码。 此策略设置可能会影响支持方案,例如用户需要使用本地帐户登录以解决问题时。 因此,在启用设置之前,请仔细评估所有方案。

  • GPO: 计算机配置>管理模板>系统>登录>排除凭据提供程序
  • CSP: ./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/ExcludedCredentialProviders

要在策略中输入以隐藏密码凭据提供程序的值是 {60b78e88-ead8-445c-9cfd-0b87f74ea6cd}

需要Windows Hello 企业版或智能卡

“需要Windows Hello 企业版或智能卡策略设置可用于要求Windows Hello 企业版或智能卡进行交互式登录。 启用后,Windows 会阻止用户使用密码登录或解锁。 密码凭据提供程序仍对用户可见。 如果用户尝试使用密码,Windows 会通知用户他们必须使用Windows Hello 企业版或智能卡。 在启用此策略设置之前,用户必须注册Windows Hello 企业版或具有智能卡。 因此,实施此策略需要仔细规划和协调。

  • GPO:计算机配置>Windows 设置>安全设置>本地策略>安全选项>交互式登录:需要Windows Hello 企业版或智能卡
  • CSP:不可用

验证任何工作流是否都不需要密码

这个阶段是重要的时刻。 你确定了密码使用情况,开发了减少密码使用的解决方案,并从 Windows 中删除或禁用了密码使用。 在此配置中,用户无法使用密码。 如果用户的任何工作流要求其输入密码,则用户将被阻止。 理想情况下,测试用户应该能够完成目标工作角色的所有工作流,而无需使用任何密码。 不要忘记那些低百分比工作流,例如预配新用户或忘记其 PIN 或无法使用其强凭据的用户。 确保这些方案也经过验证。

后续步骤

你已准备好将组织的一个或多个部分转换为无密码部署。 你已验证目标工作角色已准备好转到用户不再需要知道或使用其密码的位置。 离声明成功只有几步之遥。

步骤 3:过渡到无密码部署 >