在 Microsoft Entra 識別碼中開始使用網路釣魚防護無密碼驗證部署
密碼是現代攻擊者的主要攻擊媒介,也是使用者和系統管理員的摩擦來源。 作為整體零信任安全性策略的一部分,Microsoft 建議在您的驗證解決方案中改用防網路釣魚無密碼。 本指南可協助您為組織選取、準備及部署正確的防網路釣魚無密碼認證。 使用本指南來規劃和執行防網路釣魚無密碼專案。
多重要素驗證 (MFA) 等功能是保護貴組織的絕佳方式。 然而,額外的安全性階層加上需要記住密碼,通常會讓使用者感到挫折。 防網路釣魚無密碼驗證方法更為方便。 例如,Microsoft 取用者帳戶的分析顯示,使用密碼登入平均可能需要 9 秒,但在大部分情況下,密鑰只需要大約 3 秒。 與傳統密碼和 MFA 登入相比,密鑰登入的速度和便利性更勝一籌。 密鑰使用者不需要記住其密碼,或等候手機簡訊。
注意
此資料以對 Microsoft 取用者帳戶登入的分析為基礎。
防網路釣魚無密碼方法也有額外的安全性。 他們會使用使用者擁有的專案自動計算為 MFA (實體裝置或安全性金鑰),以及使用者知道內容,例如生物特徵辨識或 PIN。 與傳統的 MFA 不同,防網路釣魚無密碼方法會使用無法輕易遭入侵的硬體支援認證,以抵禦針對使用者的網路釣魚攻擊。
Microsoft Entra ID 提供了下列防網路釣魚無密碼驗證選項:
- 密鑰 (FIDO2)
- Windows Hello 企業版
- macOS 平台認證 (預覽)
- Microsoft Authenticator 應用程式密鑰 (預覽)
- FIDO2 安全性金鑰
- 其他密鑰和提供者,例如 iCloud Keychain - 位於藍圖上
- 憑證式驗證/智慧型卡片
必要條件
在您啟動 Microsoft Entra 防網路釣魚無密碼部署專案之前,請先完成下列必要條件:
- 檢閱授權需求
- 檢閱執行特殊權限動作所需的角色
- 識別需要共同作業的利害關係人團隊
授權需求
使用 Microsoft Entra 註冊和無密碼登入並不需要授權,但我們建議至少使用 Microsoft Entra ID P1 授權,以取得與無密碼部署相關聯的一組完整功能。 例如,Microsoft Entra ID P1 授權可協助您透過條件式存取執行無密碼登入,並使用驗證方法活動報告來追蹤部署。 如有特定授權需求,請參閱本指南中所參考功能的授權需求指引。
整合應用程式與 Microsoft Entra ID
Microsoft Entra ID 是雲端式身分識別和存取權管理 (IAM) 服務,可與許多類型的應用程式整合,包括軟體即服務 (SaaS) 應用程式、企業營運 (LOB) 應用程式、內部部署應用程式等等。 您需要將應用程式與 Microsoft Entra ID 整合,以從對無密碼和防網路釣魚驗證的投資中獲得最大收益。 當您將更多應用程式與 Microsoft Entra ID 整合時,可以使用條件存取原則保護更多環境,強制使用防網路釣魚的驗證方法。 若要深入了解如何將應用程式與 Microsoft Entra ID 整合,請參閱將應用程式與 Microsoft Entra ID 整合的五個步驟。
當您開發自己的應用程式時,請遵循以支援無密碼和防網路釣魚驗證的開發人員指引。 如需詳細資訊,請參閱在開發的應用程式中使用 FIDO2 金鑰支援無密碼驗證。
必要角色
下表列出防網路釣魚無密碼部署的最低特殊權限角色需求。 建議您為所有特殊權限帳戶啟用防網路釣魚無密碼驗證。
| Microsoft Entra 角色 | 描述 |
|---|---|
| 使用者管理員 | 實作合併的註冊體驗 |
| 驗證管理員 | 實作和管理驗證方法 |
| 驗證原則管理員 | 實作和管理驗證方法原則 |
| User | 在裝置上設定 Authenticator 應用程式,或註冊 Web 或 Windows 10/11 登入的安全性金鑰裝置 |
客戶利害關係人團隊
為了確保成功,請確定您與適當的利害關係人互動,並在開始規劃和推出之前先了解其角色。 下表列出通常推薦的利害關係人團隊。
| 利害關係人團隊 | 描述 |
|---|---|
| Identity and Access Management (IAM) | 管理 IAM 系統的日常作業 |
| 資訊安全性架構 | 規劃及設計組織的資訊安全性做法 |
| 資訊安全性作業 | 執行和監視資訊安全性架構的資訊安全性做法 |
| 安全性保證和稽核 | 協助確保 IT 流程安全且符合規範。 他們會定期進行稽核、評估風險,並建議安全性措施,以減輕已識別的弱點,並增強整體安全性態勢。 |
| 支援人員和支援 | 協助在部署新技術和原則期間遇到問題或發生問題時的終端使用者 |
| 與終端使用者溝通 | 訊息變更給終端使用者,以準備協助推動面向使用者的技術推出 |