在 Microsoft Entra ID 中計劃無密碼驗證部署
密碼是主要的攻擊媒介。 惡意執行者使用社交工程、網路釣魚和噴灑攻擊來破解密碼。 無密碼驗證策略可降低這些攻擊的風險。
Microsoft 提供下列五種無密碼驗證選項,可與 Microsoft Entra ID 整合:
Microsoft Authenticator - 可藉由允許使用者登入任何平台或瀏覽器,將任何 iOS 或 Android 手機轉換成強式無密碼認證。
符合 FIDO2 規範的安全性金鑰 - 適用於登入共用機器 (例如資訊亭) 的使用者、在手機使用受限的情況下,以及針對具高度特殊權限的身分識別的情況。
Windows Hello 企業版 - 最適用於位在專用 Windows 電腦上的使用者。
macOS 平台認證:此為 macOS 上的新功能,可使用 Microsoft Enterprise 單一登入擴充功能 (SSOe) 來啟用。
macOS 平台 SmartCard 單一登入:此為 macOS 上的新功能,使用 Microsoft Enterprise 單一登入擴充功能 (SSOe) 來啟用智慧卡型驗證。
注意
若要使用所有連結建立此計畫的離線版本,請使用您的瀏覽器的列印至 PDF 功能。
使用無密碼方法精靈
Microsoft Entra 系統管理中心有無密碼方法精靈,可協助您為每個物件選取適當的方法。 如果您尚未決定適當的方法,請參閱 https://aka.ms/passwordlesswizard,然後回到本文繼續規劃您選取的方法。 您需要系統管理員權限才能存取此精靈。
無密碼驗證案例
Microsoft 的無密碼驗證方法可啟用許多案例。 請考慮您的組織需求、必要條件,以及每個驗證方法的功能,以選取無密碼驗證策略。
下表列出裝置類型的無密碼驗證方法。 我們的建議以 粗體斜體 顯示。
| 裝置類型 | 無密碼驗證方法 |
|---|---|
| 專用非 Windows 裝置 | |
| 專用 Windows 10 電腦 (版本 1703 和更新版本) | |
| 專用 Windows 10 電腦 (版本 1703 之前) | |
| 共用裝置: 平板電腦和行動裝置 | |
| 資訊亭 (舊版) | |
| Kiosk 和共用電腦 (Windows 10) |
必要條件
開始無密碼部署之前,請確定您符合必要條件。
必要角色
以下是此部署所需的最低特殊權限角色:
| Microsoft Entra 角色 | 描述 |
|---|---|
| 使用者管理員 | 實作合併的註冊體驗。 |
| 驗證系統管理員 | 實作和管理驗證方法。 |
| User | 在裝置上設定 Authenticator 應用程式,或註冊 Web 或 Windows 10 登入的安全性金鑰裝置。 |
在此部署計畫中,我們建議為所有具特殊權限的帳戶啟用無密碼驗證。
Microsoft Authenticator 應用程式和安全性金鑰
必要條件取決於您選取的無密碼驗證方法。
| 必要條件 | Microsoft Authenticator | FIDO2 安全性金鑰 |
|---|---|---|
| 已啟用 Microsoft Entra 多重要素驗證和自助式密碼重設 (SSPR) 的合併註冊 | √ | √ |
| 使用者可以執行 Microsoft Entra 多重要素驗證 | √ | √ |
| 使用者已註冊 Microsoft Entra 多重要素驗證和 SSPR | √ | √ |
| 使用者已將其行動裝置註冊到 Microsoft Entra ID | √ | |
| Windows 10 版本 1809 或更高版本使用支援的瀏覽器,例如 Microsoft Edge 或 Mozilla Firefox (版本 67 或更高版本)。 Microsoft 建議版本 1903 或更新版本進行原生支援。 | √ | |
| 相容的安全性金鑰。 請確定您使用 Microsoft 測試且已驗證的 FIDO2 安全性金鑰,或其他相容的 FIDO2 安全性金鑰。 | √ |
Windows Hello 企業版
Windows Hello 企業版的必要條件和部署路徑高度取決於您要在內部部署、混合式或僅限雲端設定中進行部署。 它也取決於您的裝置加入策略。
選取 [Windows Hello 企業版] 並完成精靈,以確認您的組織適用的必要條件和部署。
精靈會使用您的輸入來製作逐步計劃,以供您遵循。
macOS 平台認證
若要啟用 macOS 平台認證;
- 您的 Mac 必須至少有 macOS 13 Ventura 的作業系統 (建議使用 macOS 14 Sonoma)
- 裝置必須註冊 MDM,並設定支援平台單一登入 (PSSO) 的 SSO 擴充功能承載,其中包括 UserSecureEnclaveKey。
注意
已知有一個問題,驗證強度刀鋒視窗目前將 macOS 平台認證和 Windows Hello 企業版都顯示為有相同的驗證方法名稱 Windows Hello 企業版。 相關作業正在進行中,以將 macOS 平台認證單獨顯示。 設定需要使用 macOS 平台認證的自訂驗證強度時,您可以使用「Windows Hello 企業版」,直到修正此問題為止。
啟用 macOS 平台認證作為通行金鑰
macOS 平台認證可作為網路釣魚防護通行金鑰,且僅適用於安全記憶體保護區已驗證方法的使用者。 下列瀏覽器提供啟用 macOS 平台認證作為通行金鑰的功能:
- Safari
- Google Chrome (需要公司入口網站 5.2404.0 版或更新版本和 Chrome 擴充功能)
啟用 macOS 平台認證作為通行金鑰是系統管理員和使用者必須完成的雙步驟程序。
- 將 macOS 平台認證設定為系統管理員時,請參閱為您的組織啟用通行金鑰 (FIDO2) 中的步驟。
- 身為終端使用者,您必須透過 Mac 上的 [設定] 應用程式來啟用此功能。 請參閱使用公司入口網站透過 Microsoft Entra ID 加入 Mac 裝置中的步驟。
macOS 平台 SmartCard 單一登入
若要使用啟用 macOS 平台 SmartCard 單一登入 (PSSO),您的 Mac 必須至少有 macOS 14 Sonoma 的作業系統,且設定步驟是透過 Microsoft Intune 系統管理中心完成。 系統管理員也需要使用 Microsoft Entra 系統管理中心的驗證方法原則,來設定和啟用憑證式驗證方法。 如需詳細資訊,請參閱如何設定 Microsoft Entra 憑證式驗證。
規劃專案
當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些問題,請確定您已包含適當的專案關係人,並且了解專案中的專案關係人角色。
規劃試驗
當您部署無密碼驗證時,應該先啟用一或多個試驗群組。 您可以特別為此建立群組。 將參與試驗的使用者新增至群組。 然後,為選取的群組啟用新的無密碼驗證方法。 請參閱試驗的最佳做法。
方案通訊
您對終端使用者的通訊應包含下列資訊:
Microsoft 為終端使用者提供通訊範本。 請下載驗證推出資料,以利製作初版的通訊內容。 推出材料包括可自訂的海報和電子郵件範本,可讓您用來通知使用者組織中即將推出的無密碼驗證選項。
規劃使用者註冊
使用者可經由 https://aka.ms/mysecurityinfo,在合併安全性資訊工作流程中註冊其無密碼方法。 Microsoft Entra 會記錄安全性金鑰和 Authenticator 應用程式的註冊,以及驗證方法的任何其他變更。
對於沒有密碼的初次使用者,系統管理員可以在 https://aka.ms/mysecurityinfo 提供臨時存取密碼來註冊其安全性資訊。 這是限時密碼,且符合增強式驗證需求。 臨時存取密碼是每個使用者的程序。
當使用者遺失或忘記其驗證要素,例如安全性金鑰或 Authenticator 應用程式,但需要登入以 註冊新的增強式驗證方法 時,也可以使用此方法輕鬆復原。
注意
如果您在某些案例中無法使用安全性金鑰或 Authenticator 應用程式,可以使用使用者名稱和密碼搭配另一個已註冊的方法,進行多重要素驗證,做為後援選項。
規劃和部署 Microsoft Authenticator
Microsoft Authenticator 會將任何 iOS 或 Android 手機變成強式無密碼認證。 這可免費從 Google Play 或 Apple App Store 下載。 請讓使用者下載 Microsoft Authenticator,並依照指示啟用手機登入。
技術考量
Active Directory 同盟服務 (AD FS) 整合 - 當使用者啟用 Authenticator 無密碼認證時,該使用者的驗證預設會傳送通知以進行核准。 混合式租用戶中的使用者無法導向 AD FS,以進行登入,除非他們選取 [改為使用密碼]。此程序也會略過任何內部部署條件式存取原則,以及傳遞驗證 (PTA) 流程。 不過,如果指定了 login_hint,則會將使用者轉送至 AD FS,並略過使用無密碼認證的選項。 針對使用 AD FS 進行驗證的非 Microsoft 365 應用程式,將不會套用 Microsoft Entra 條件式存取原則,且您必須在 AD FS 內設定存取控制原則。
MFA 伺服器 - 透過組織的內部部署 MFA 伺服器啟用多重要素驗證的終端使用者,可以建立並使用單一無密碼手機登入認證。 如果使用者嘗試使用認證升級 Authenticator 應用程式的多個安裝 (5 個以上),這項變更可能會導致錯誤。
重要
2022 年 9 月,Microsoft 宣佈淘汰 Azure MFA 伺服器。 自 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 的部署將不再為多重要素驗證 (MFA) 要求提供服務,這可能會導致您的組織驗證失敗。 若要確保驗證服務不中斷,並保持支援狀態,組織應該使用最新 Azure MFA 伺服器更新中包含的最新移轉公用程式,移轉使用者的驗證資料至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA 伺服器移轉。
裝置註冊 - 若要使用 Authenticator 應用程式進行無密碼驗證,裝置必須在 Microsoft Entra 租用戶中註冊,而且不能是共用裝置。 裝置只能在單一租用戶中註冊。 此限制表示只支援一個公司或學校帳戶使用 Authenticator 應用程式進行手機登入。
使用 Authenticator 應用程式部署手機登入
依照使用 Microsoft Authenticator 啟用無密碼登入一文中的步驟,啟用 Authenticator 應用程式作為組織中的無密碼驗證方法。
正在測試 Authenticator 應用程式
以下是使用 Authenticator 應用程式進行無密碼驗證的範例測試案例:
| 案例 | 預期結果 |
|---|---|
| 使用者可以註冊 Authenticator 應用程式。 | 使用者可以從 https://aka.ms/mysecurityinfo註冊應用程式。 |
| 使用者可以啟用手機登入 | 針對工作帳戶設定的手機登入。 |
| 使用者可以使用手機登入來存取應用程式。 | 使用者可通過手機登入流程,以使用應用程式。 |
| 在 Authenticator 應用程式中關閉無密碼登入,以測試復原手機登入註冊。 在 Microsoft Entra 系統管理中心的 [驗證方法] 畫面內執行此動作 | 先前啟用的使用者無法從 Authenticator 應用程式使用無密碼登入。 |
| 從 Authenticator 應用程式移除手機登入 | Authenticator 應用程式已不再提供工作帳戶。 |
疑難排解手機登入
| 狀況 | 解決方法 |
|---|---|
| 使用者無法執行合併註冊。 | 確定已啟用合併註冊。 |
| 使用者無法啟用手機登入驗證器應用程式。 | 確定使用者位於部署範圍內。 |
| 使用者不在無密碼驗證的範圍內,但會顯示無法完成的無密碼登入選項。 | 在建立原則之前,於使用者在應用程式中啟用手機登入時發生。 若要啟用登入,請將使用者新增至已啟用無密碼登入的使用者群組。 若要封鎖登入: 要求使用者從該應用程式移除其認證。 |
規劃和部署符合 FIDO2 規範的安全性金鑰
啟用相容的安全性金鑰。 以下列出 FIDO2 安全性金鑰提供者,提供已知與無密碼體驗相容的金鑰。
規劃安全性金鑰生命週期
準備並規劃金鑰生命週期。
金鑰散發 - 規劃如何將金鑰佈建到您的組織。 您可能會有集中式佈建程序,或允許使用者購買 FIDO 2.0 相容的金鑰。
金鑰啟用 - 使用者必須自行啟用安全性金鑰。 終端使用者會在 https://aka.ms/mysecurityinfo 註冊其安全性金鑰,並在第一次使用時啟用第二個要素 (PIN 或生物特徵辨識)。 針對初次使用者,他們可以使用 TAP 來註冊其安全性資訊。
停用金鑰 - 如果系統管理員想要移除與使用者帳戶相關聯的 FIDO2 金鑰,他們可以刪除使用者的驗證方法中的金鑰,如下所示。 如需詳細資訊,請參閱停用金鑰
發出新的金鑰:使用者可前往 https://aka.ms/mysecurityinfo 以註冊新的 FIDO2 金鑰
技術考量
有三種類型的無密碼登入部署可供安全性金鑰使用:
支援的瀏覽器上的 Microsoft Entra Web 應用程式
已加入 Microsoft Entra 的 Windows 10 裝置
混合式已加入 Microsoft Entra 的 Windows 10 裝置
- 提供雲端式和內部部署資源的存取權。 如需存取內部部署資源的詳細資訊,請參閱使用 FIDO2 金鑰對內部部署資源的 SSO
若為 Microsoft Entra Web 應用程式和使用 Microsoft Entra 加入的 Windows 裝置,請使用:
Windows 10 版本 1809 或更高版本使用支援的瀏覽器,例如 Microsoft Edge 或 Mozilla Firefox (版本 67 或更高版本)。
Windows 10 版本 1809 支援 FIDO2 登入,而且可能需要部署來自 FIDO2 金鑰製造商的軟體。 建議您使用 1903 版或更新版本。
若為混合式 Microsoft Entra 網域加入的裝置,請使用:
Windows 10 版本 2004 或更新版本。
執行 Windows Server 2016 或 2019 的完整修補網域伺服器。
最新版的 Microsoft Entra Connect。
啟用 Windows 10 支援
若要使用 FIDO2 安全性金鑰啟用 Windows 10 登入,您必須在 Windows 10 中啟用認證提供者功能。 選擇下列其中一項:
-
- 我們建議使用 Microsoft Intune 部署。
-
- 如果無法進行 Microsoft Intune 部署,系統管理員必須在每部電腦上都部署套件,才能啟用認證提供者功能。 套件安裝可以透過下列其中一個選項來執行:
- 群組原則或 Configuration Manager
- Windows 10 電腦上的本機安裝
- 如果無法進行 Microsoft Intune 部署,系統管理員必須在每部電腦上都部署套件,才能啟用認證提供者功能。 套件安裝可以透過下列其中一個選項來執行:
-
- 僅支援混合式已加入 Microsoft Entra 裝置。
啟用內部部署整合
依照啟用對內部部署資源的無密碼安全性金鑰登入 (預覽) 一文中的步驟操作。
重要
對於任何 Microsoft Entra 混合式聯結裝置,也必須完成這些步驟,才能使用 FIDO2 安全性金鑰進行 Windows 10 登入。
金鑰限制原則
當您部署安全性金鑰時,可以選擇性地將 FIDO2 金鑰的使用限制在貴組織核准的特定製造商。 限制金鑰需要 Authenticator Attestation GUID (AAGUID)。 有兩種方式可取得您的 AAGUID。
如果安全性金鑰受到限制,且使用者嘗試註冊 FIDO2 安全性金鑰,他們會收到下列錯誤:
如果在使用者註冊安全性金鑰之後才限制 AAGUID,則會顯示下列訊息:
*金鑰限制原則封鎖的 FIDO2 金鑰
部署 FIDO2 安全性金鑰登入
請遵循啟用無密碼安全性密鑰登入一文中的步驟,在組織中啟用 FIDO2 安全性金鑰作為無密碼驗證方法。
測試安全性金鑰
以下是使用安全性金鑰進行無密碼驗證的範例測試案例。
無密碼 FIDO 登入已加入 Microsoft Entra 的 Windows 10 裝置
| 案例 (Windows 組建) | 預期結果 |
|---|---|
| 使用者可以註冊 FIDO2 裝置 (1809) | 使用者可以使用 [設定] > [帳戶] >登入選項> [安全性金鑰] 來註冊 FIDO2 裝置 |
| 使用者可以重設 FIDO2 裝置 (1809) | 使用者可以使用製造商軟體重設 FIDO2 裝置 |
| 使用者可以使用 FIDO2 裝置 (1809) 登入 | 使用者可以從登入視窗中選取 [安全性金鑰],並成功登入。 |
| 使用者可以註冊 FIDO2 裝置 (1903) | 使用者可以於 [設定] > [帳戶] >登入選項> [安全性金鑰] 註冊 FIDO2 裝置 |
| 使用者可以重設 FIDO2 裝置 (1903) | 使用者可以於 [設定] > [帳戶] >登入選項> [安全性金鑰] 重設 FIDO2 裝置 |
| 使用者可以使用 FIDO2 裝置 (1903) 登入 | 使用者可以從登入視窗中選取 [安全性金鑰],並成功登入。 |
無密碼 FIDO 登入 Microsoft Entra Web 應用程式
| 案例 | 預期結果 |
|---|---|
| 使用者可以使用 Microsoft Edge 在 aka.ms/mysecurityinfo 註冊 FIDO2 裝置 | 註冊應成功 |
| 使用者可以使用 Firefox 在 aka.ms/mysecurityinfo 註冊 FIDO2 裝置 | 註冊應成功 |
| 使用者可以使用 Microsoft Edge 使用 FIDO2 裝置在線上登入 OneDrive | 登入應成功 |
| 使用者可以使用 Firefox 使用 FIDO2 裝置在線上登入 OneDrive | 登入應成功 |
| 在 Microsoft Entra 系統管理中心的 [驗證方法] 視窗中關閉 FIDO2 安全性金鑰,進行回復 FIDO2 裝置註冊的測試 | 使用者將: |
針對安全性金鑰登入進行疑難排解
| 狀況 | 解決方法 |
|---|---|
| 使用者無法執行合併註冊。 | 確定已啟用合併註冊。 |
| 使用者無法在其安全性設定中新增安全性金鑰。 | 確定已啟用安全性金鑰。 |
| 使用者無法在 Windows 10 登入選項中新增安全性金鑰。 | 確保用於 Windows 登入的安全性金鑰已啟用 |
| 錯誤訊息:我們偵測到此瀏覽器或作業系統不支援 FIDO2 安全性金鑰。 | 無密碼 FIDO2 安全性裝置只能在 Windows 10 1809 版或更高版本支援的瀏覽器(Microsoft Edge、Firefox 67 版) 中註冊。 |
| 錯誤訊息:您的公司原則要求您使用不同的方法登入。 | 確定已在租用戶中啟用安全性金鑰。 |
| 使用者無法在 Windows 10 版本 1809 上管理我的安全性金鑰 | 版本 1809 要求您使用 FIDO2 金鑰廠商所提供的安全性金鑰管理軟體。 請連絡廠商以取得支援。 |
| 我認為我的 FIDO2 安全性金鑰可能會有缺陷,我該如何加以測試。 | 瀏覽至 https://webauthntest.azurewebsites.net/,輸入測試帳戶的認證、插入可疑的安全性金鑰、選取畫面右上方的 [+] 按鈕、選取 [建立],然後完成建立流程。 如果此案例失敗,則您的裝置可能有缺陷。 |
管理無密碼驗證
若要在 Microsoft Entra 系統管理中心中管理使用者的無密碼驗證方法,請選取您的使用者帳戶,然後選取 [驗證方法]。
Microsoft Graph API
您也可以使用 Microsoft Graph 中的驗證方法 API 來管理無密碼驗證方法。 例如:
您可以擷取使用者的 FIDO2 安全性金鑰詳細資料,並在使用者遺失金鑰時將其刪除。
您可以擷取使用者的 Authenticator 應用程式註冊詳細資料,並在使用者遺失手機時將其刪除。
管理安全性金鑰和 uthenticator 應用程式的驗證方法原則。
如需關於可在 Microsoft Graph 中管理哪些驗證方法的詳細資訊,請參閱 Microsoft Entra 驗證方法 API 概觀。
復原
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
雖然無密碼驗證是一項輕量型功能,對終端使用者的影響不大,但可能需要復原。
復原時需由系統管理員登入 Microsoft Entra 系統管理中心、選取所需的強式驗證方法,並將啟用選項變更為 [否]。 此程序會為所有使用者關閉無密碼功能。
![Microsoft Entra 系統管理中心 [原則] 頁面的螢幕擷取畫面。](media/howto-authentication-passwordless-deployment/passwordless-rollback.png#lightbox)
已註冊 FIDO2 安全性裝置的使用者,會在下次登入時被系統提示使用安全性裝置,然後看到下列錯誤:
報告和監控
Microsoft Entra ID 具有提供技術和商業見解的報表。 請讓您的商務和技術應用程式擁有者根據您組織的需求擁有並取用這些報告。
下表提供常見報告案例的一些範例:
| 管理風險 | 提升生產力 | 治理和合規性 | 其他 |
|---|---|---|---|
| 報表類型 | 驗證方法 - 註冊了合併安全性註冊的使用者 | 驗證方法 – 註冊了應用程式通知的使用者 | 登入:檢查誰正在存取租用戶,及其存取情形 |
| 可能的動作 | 尚未註冊的目標使用者 | 推動採用 Authenticator 應用程式或安全性金鑰 | 為管理員撤銷存取權或強制執行額外的安全性原則 |
追蹤使用量和見解
Microsoft Entra ID 會在下列情況下將項目新增至稽核記錄:
管理員在 [驗證方法] 區段中進行變更。
使用者在 Microsoft Entra ID 內對其認證進行任何變更。
使用者在 Win 10 機器上啟用或停用其帳戶的安全性金鑰,或重設安全性金鑰的第二個要素。 請參閱事件識別碼:4670 和 5382。
Microsoft Entra ID 會將大部分的稽核資料保留 30 天,並使用 Microsoft Entra 系統管理中心或 API 讓資料可供您下載至分析系統。 如果您需要較長的保留期,請在 SIEM 工具 (例如 Microsoft Sentinel、Splunk 或 Sumo Logic) 中匯出和取用記錄。 建議您視情況針對稽核、趨勢分析及其他商業需求設定較長的保留期
[驗證方法活動] 儀表板中有兩個索引標籤 - [註冊] 和 [使用情形]。
註冊索引標籤會顯示能夠使用無密碼驗證以及其他驗證方法的使用者數目。 此索引標籤會顯示兩個圖形:
依驗證方法區分的已註冊使用者。
依驗證方法區分的近期註冊。
![可檢視驗證方法的 [註冊] 分頁](media/howto-authentication-passwordless-deployment/monitoring-registration-tab.png)
使用情形索引標籤會依驗證方法顯示登入。
![[活動] 頁面的螢幕擷取畫面,可檢視驗證方法。](media/howto-authentication-passwordless-deployment/monitoring-usage-tab.png#lightbox)
如需詳細資訊,請參閱追蹤整個 Microsoft Entra 組織已註冊的驗證方法和使用情形。
登入活動報表
使用登入活動報表,追蹤用來登入各種應用程式的驗證方法。
選取使用者資料列,然後選取 [驗證詳細資料] 索引標籤,以檢視各個登入活動所使用的驗證方法。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: