無密碼策略概觀
本文說明 Microsoft 的無密碼策略,以及 Windows 安全性功能如何協助實作它。
密碼自由的四個步驟
Microsoft 正致力於建立不再需要密碼的世界。 這是 Microsoft 如何構想結束組織密碼紀元的四個步驟方法:
部署密碼取代選項
離開密碼之前,您需要用一些專案來取代密碼。 Windows Hello 企業版 和 FIDO2 安全性金鑰提供強式硬體保護的雙因素認證,可讓單一登錄 Microsoft Entra ID 和 Active Directory。
部署 Windows Hello 企業版 或 FIDO2 安全性金鑰是邁向無密碼環境的第一步。 使用者可能會因為其便利性而使用這些功能,尤其是在與生物特徵辨識結合時。 不過,某些工作流程和應用程式可能仍然需要密碼。 這個早期階段是關於實作密碼的替代解決方案,並讓用戶習慣它。
減少用戶可見的密碼介面區
使用密碼取代選項和密碼並存於環境中,下一個步驟是減少密碼介面區。 環境和工作流程必須停止要求密碼。 此步驟的目標是要達到使用者知道他們有密碼, 但永遠不會使用密碼的狀態。 此狀態可協助譯碼使用者不在計算機上顯示密碼提示時提供密碼。 此行為是密碼的網路釣魚方式。 很少使用密碼的使用者不太可能提供密碼。 密碼提示已不再是標準。
轉換成無密碼部署
一旦消除使用者可見的密碼介面,您的組織就可以開始將用戶轉換成無密碼環境。 在此階段中,用戶永遠不會輸入、變更或甚至知道其密碼。
使用者使用 Windows Hello 企業版 或 FIDO2 安全性金鑰登入 Windows,並享有單一登錄來 Microsoft Entra ID 和 Active Directory 資源。 如果強制使用者進行驗證,其驗證會使用 Windows Hello 企業版 或 FIDO2 安全性密鑰。
從身分識別目錄中排除密碼
無密碼旅程的最後一個步驟是密碼不存在。 在這個階段,身分識別目錄不會儲存任何形式的密碼。
準備無密碼旅程
無密碼的征程是一段旅程。 每個組織的旅程持續時間各不相同。 IT 決策者必須了解影響該旅程長度的準則。
最直覺的答案是組織大小,但確切定義大小的項目為何? 我們可以查看下列因素,以取得組織大小的摘要:
| 大小因素 | 詳細資料 |
|---|---|
| 部門數目 | 組織內的部門數目會有所不同。 大部分的組織都有一組常見的部門,例如 主管領導、 人力資源、 會計、 銷售和 行銷。 小型組織可能不會明確分割其部門,而較大型的組織則可能。 此外,也可能有子元件,以及這些子元件的子元件。 您必須知道組織內的所有部門,而且您必須知道哪些部門使用計算機,哪些部門不使用計算機。 如果部門不使用計算機 (可能很罕見,但可接受) ,則沒關係。 這種情況表示您需要考慮的部門少一個。 不過,請確定此部門位於您的清單中,且不適用。 您的部門計數必須完整且精確,以及瞭解那些部門的項目關係人,讓您和您的員工能夠自由存取密碼。 實際上,我們中的許多人看不到組織結構,以及其如何隨著時間成長或縮減。 此實現就是您需要清查所有專案的原因。 此外,別忘了包含外部部門,例如廠商或同盟合作夥伴。 如果您的組織無密碼,但您的合作夥伴繼續使用密碼來存取您的公司資源,您應該知道這一點,並將其納入您的無密碼策略中。 |
| 組織或部門階層 | 組織和部門階層是部門或整個組織內的管理層級。 裝置的使用方式、應用程式及其使用方式,很可能在每個部門之間不同,但也在部門的結構內不同。 若要判斷正確的無密碼策略,您必須知道整個組織的這些差異。 與銷售部門的中間管理成員相比,執行主管可能會以不同的方式使用其裝置。 這兩個使用者案例可能與客戶服務部門中的個別參與者使用其裝置的方式不同。 |
| 應用程式和服務的數目和類型 | 大部分的組織都有許多應用程式,而且很少會有一個準確的集中式清單。 應用程式和服務是您無密碼評量中最重要的專案。 應用程式和服務需要花費大量心力來移至不同類型的驗證。 變更原則和程式可能是一項令人望而卻步的工作。 請考慮更新標準作業程式和安全策略之間的取捨,相較於在內部開發CRM應用程式的關鍵路徑中變更100行 (或更多的驗證程式碼) 。 一旦您有部門、其階層及其項目關係人,擷取使用的應用程式數目會比較容易。 在此方法中,每個部門和階層都應該有組織清單。 您現在可以將每個部門內所有層級所使用的應用程式建立關聯。 您也想要記錄應用程式是以內部開發方式開發,還是以現成方式可供商業使用。 如果是後者,請記錄製造商和版本。 此外,清查應用程式時,別忘了 Web 應用程式或服務。 |
| 工作角色數目 | 工作角色是前三個工作交集之處。 您知道部門、每個部門內的組織層級、每個部門使用的應用程式數目,以及應用程式的類型。 在此資訊中,您想要建立工作角色。 工作角色會將使用者、職稱或角色類別分類 (個別參與者、經理、中間管理員等 ) ,在特定部門內分類為所使用應用程式集合的類別。 您極有可能有許多工作角色。 這些工作角色將會成為工作單位,而您會在檔和會議中加以參考。 您必須為其命名。 為您的角色提供簡單且直覺的名稱,例如 Amanda - Accounting、 Mark - Marketing 或 對 Sales。 如果組織層級是跨部門通用的,則決定代表部門中通用層級的名字。 例如, Amanda 可以是任何指定部門中個人參與者的名字,而名字 則是,因為第一個名字是,在 任何指定部門中,Amanda 可以代表來自中間管理的人員。 此外,您可以使用後綴 (例如 I、II、Senior 等 ) 進一步定義給定角色的部門結構。 最後,建立不需要項目關係人和合作夥伴讀取一長串數據表或秘密譯碼器通道的命名慣例。 此外,如果可能的話,請嘗試將參考保留為人員的名稱。 畢竟,您說的是該部門中的人員,以及使用該特定軟體的人員。 |
| 組織的IT結構 | IT 部門結構可能與組織不同。 有些 IT 部門是集中式的,有些則是分散式的。 此外,密碼自由的路由可能會讓您與 客戶端驗證 小組、 部署 小組、 安全 性小組、 PKI 小組、 身分識別 小組、 雲 端小組等互動。這些小組大多是您在密碼自由旅程上的合作夥伴。 請確定每個小組都有無密碼的項目關係人,並瞭解並投入心力。 |
評估您的組織
現在您可以了解為什麼這是一段旅程,而不是快速的工作。 您必須調查每個工作角色的使用者可見密碼介面。 一旦您識別出密碼介面,就必須減輕這些問題。 解決某些密碼介面很簡單,這表示解決方案已存在於環境中,而只是將使用者移至該解決方案。 某些密碼表面的解析可能存在,但不會部署在您的環境中。 該解析會產生必須規劃、測試,然後部署的專案。 該專案可能會跨越具有多人的多個IT部門,以及一或多個分散式系統。 這些類型的專案需要一些時間,而且需要專用迴圈。 內部軟體開發也是如此。 即使使用敏捷式開發方法,變更某人向應用程式驗證的方式也很重要。 如果沒有適當的規劃和測試,可能會嚴重影響生產力。
完成無密碼旅程的時間會根據組織對無密碼策略的一致性而有所不同。 由上而下同意,無密碼環境是組織的目標,可讓交談變得更容易。 更輕鬆的交談表示花費較少時間來鼓勵人們,而花費更多時間來達成目標。 自上而下合約是其他進行中 IT 專案排名中的優先順序,可協助每個人瞭解如何排定現有專案的優先順序。 就優先順序達成一致應該減少並減少主管和主管層級的提升。 在這些組織討論之後,會使用新式專案管理技術來繼續無密碼的工作。 組織會在同意策略) 之後,根據優先順序 (來配置資源。 這些資源將會:
- 透過工作角色工作
- 組織和部署使用者驗收測試
- 評估使用者可見密碼介面的使用者驗收測試結果
- 與項目關係人合作,以建立可降低使用者可見密碼介面的解決方案
- 將方案新增至專案待辦專案,並針對其他專案設定優先順序
- 部署解決方案
- 執行使用者驗收測試,以確認解決方案可降低使用者可見的密碼介面
- 視需要重複測試
貴組織的密碼自由旅程可能需要一些時間。 計算工作角色數目和應用程式數目是投資的良好指標。 希望您的組織正在成長,這表示角色清單和應用程式清單不太可能縮小。 如果今天要進行無密碼的工作是 n,則明天可能無密碼是 n x 2 或更多, n x n。 請勿讓專案的大小或持續時間受到干擾。 當您逐步執行每個工作角色時,您和項目關係人的動作和工作會變得更熟悉。 將專案的範圍設定為可重設大小、實際階段、挑選正確的工作角色,而且您很快就會看到組織中的某些部分轉換成無密碼狀態。
取得密碼自由旅程的最佳指引為何? 您想要儘快向您的管理顯示概念證明。 在理想情況下,您想要在無密碼旅程的每個步驟中顯示它。 請將無密碼策略放在心上並顯示一致的進度,讓每個人都能專注在心。
工作角色
您會從工作角色開始。 這些是您準備程式的一部分。 其具有個人名稱,例如 Amanda - Accounting II,或貴組織所定義的任何其他命名慣例。 該工作角色包含 Amanda 用來在會計部門中執行其指派職責的所有應用程式清單。 若要開始,您必須挑選工作角色。 這是您為完成旅程所啟用的目標工作角色。
提示
避免使用IT部門的任何工作角色。 這個方法可能是開始無密碼旅程的最差方式。 IT 角色非常困難且耗時。 IT 工作者通常會有多個認證、執行許多腳本和自定義應用程式,而且密碼使用狀況最差。 最好是將這些工作角色儲存在旅程的中間或結尾。
檢閱您的工作角色集合。 在無密碼旅程初期,請找出應用程式最少的人員。 這些工作角色可以代表整個部門或兩個部門。 這些角色是概念證明 (POC) 或試驗的最佳工作角色。
大部分的組織都會在測試實驗室或環境中裝載其POC。 如果您使用無密碼策略進行該測試,則可能更具挑戰性,而且需要更多時間。 若要在實驗室中測試,您必須先複製目標角色的環境。 視目標工作角色的複雜度而定,此程式可能需要數天或數周的時間。
您想要平衡實驗室測試與快速提供結果給管理。 繼續顯示密碼自由旅程的前進進度永遠是一件不錯的事。 如果有方法可在低風險或無風險的情況下於生產環境中進行測試,則可能對您的時程表有利。
密碼自由的旅程是讓每個工作角色完成程式的每個步驟。 一開始,我們鼓勵您一次使用一個角色,以確保小組成員和項目關係人熟悉此程式。 一旦熟悉此程式,您就可以平行涵蓋資源允許的工作角色數目。 此程式看起來像這樣:
- 識別代表目標工作角色的測試使用者
- 部署 Windows Hello 企業版 以測試使用者
- 驗證密碼和 Windows Hello 企業版 運作
- 問卷測試使用者工作流程的密碼使用量
- 識別密碼使用方式,並規劃、開發及部署密碼防護功能
- 重複執行,直到降低所有用戶密碼使用量
- 從 Windows 移除密碼功能
- 驗證 所有工作流程都 不需要密碼
- 認知活動和使用者教育
- 包含符合工作角色的其餘使用者
- 驗證工作角色 的使用者都不需要 密碼
- 設定用戶帳戶以防止密碼驗證
成功將工作角色移至密碼自由之後,您可以排定其餘工作角色的優先順序,並重複此程式。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應