減少用戶可見的密碼介面區
問卷測試使用者工作流程的密碼使用量
現在是深入了解目標工作角色的時間。 您應該會有其使用的應用程式清單,但您不知道其使用方式、原因、時機和頻率。 當您繼續進行步驟 2 時,這項資訊很重要。 測試使用者會建立與目標工作角色相關聯的工作流程。 其初始目標是執行一個簡單的工作:文件密碼使用方式。 這份清單並不完整,但可讓您瞭解您想要的信息類型。 目標是要瞭解該工作角色遇到密碼的所有案例。 一個不錯的方法是詢問自己下列一組問題:
| 問題 | |
|---|---|
| 🔲 | 要求輸入密碼的應用程式名稱為何? |
| 🔲 | 為什麼他們會使用要求密碼的應用程式? 例如,是否有多個應用程式可以執行相同的動作? |
| 🔲 | 其工作流程的哪個部分可讓他們使用應用程式? 請盡可能地嘗試特定。 例如,“I use application x to issue credit card refunds for amounts over y.” |
| 🔲 | 您在指定的一天或一周中使用應用程式的頻率為何? |
| 🔲 | 您在應用程式中輸入的密碼,是否與您用來登入 Windows 的密碼相同? |
有些組織可讓使用者撰寫這項資訊,而有些組織可能會想要讓IT部門的成員遮蔽他們。 目標查看器可能會注意到使用者因為記憶體不足而忽略的密碼提示。 如先前所述,這項資訊非常重要。 您可能會錯過一個可能會延遲轉換為無密碼的密碼提示。
識別密碼使用方式,並規劃、開發及部署密碼防護功能
您的測試使用者提供您寶貴的信息,說明他們使用密碼的使用方式、用途、原因和時機。 現在,您的小組可以識別每個密碼使用案例,並瞭解用戶必須使用密碼的原因。
建立案例清單。 每個案例都應該有清楚的問題陳述。 使用問題語句的單句摘要來命名案例。 在案例中包含小組調查的結果,以了解為何要求使用者提供密碼。 包含相關但精確的詳細數據。 如果案例是原則或程序驅動,則請包含原則的名稱和區段,以指定工作流程使用密碼的原因。
您的測試使用者不會發現所有案例,因此您必須強制執行一些不常見的案例。 請記得包含下列專案:
- 使用未知密碼布建新使用者
- 當強式認證無法使用時,忘記 PIN 或其他補救流程的使用者
接下來,檢閱您的案例清單。 您可以從程式或原則所指定的工作流程開始,也可以從需要技術解決方案的工作流程開始,這兩者中的任何一個都比較容易或更快速。 此選擇會依組織而有所不同。
根據目標角色的工作流程開始降低密碼使用量。 記錄風險降低作為案例的解決方案。 別擔心解決方案的實作詳細數據。 減少密碼使用量所需的變更概觀是您需要的一切。 如果需要進行技術變更,可能是基礎結構或程式代碼變更,則項目檔中可能包含確切的詳細數據。 不過,您的組織會追蹤專案,在該系統中建立新的專案。 將您的案例與該專案建立關聯,並啟動取得該項目資金所需的程式。
降低應用程式的密碼使用量是無密碼旅程中更具挑戰性的障礙之一。 如果您的組織開發應用程式,則您會更妥善地 (COTS) 的通用現成軟體。
針對提示使用者輸入密碼的應用程式,理想的緩和措施是讓這些應用程式使用現有的已驗證身分識別,例如 Microsoft Entra ID 或 Active Directory。 請與應用程式廠商合作,讓他們新增 Microsoft Entra 身分識別的支援。 針對內部部署應用程式,請讓應用程式使用 Windows 整合式驗證。 用戶的目標應該是順暢的單一登錄體驗,其中每個使用者在登入 Windows 時都會驗證一次。 針對將自己的身分識別儲存在自己的資料庫中的應用程式,請使用此相同的策略。
您清單上的每個案例現在都應該有問題陳述、密碼使用原因的調查,以及如何讓密碼使用量消失的風險降低計劃。 利用此數據,逐一關閉使用者可見密碼的間距。 視需要變更原則和程式,盡可能變更基礎結構。 轉換內部應用程式以整合 Microsoft Entra ID 租使用者、使用同盟身分識別,或使用 Windows 整合式驗證。 與非 Microsoft 軟體發行者合作,更新其軟體以整合 Microsoft Entra ID、支援同盟身分識別,或使用 Windows 整合式驗證。
重複執行,直到降低所有用戶密碼使用量
部分或所有風險降低措施都已就緒。 您必須驗證您的解決方案是否已解決其問題語句。 此階段是您依賴測試使用者的位置。 您想要保留第一個測試使用者中的一小部分,但此時是取代或新增一些使用者的好機會。 問卷測試用戶的密碼使用量工作流程。 如果一切順利,您會關閉大部分或所有的間距。 有幾個可能會保留下來。 評估您的解決方案和發生錯誤的情況,視需要變更您的解決方案,直到您觸達解決方案來移除使用者輸入密碼的需求為止。 如果您停滯,其他人可能也會遇到問題。 使用來自各種來源或 IT 同事網路的論壇來描述您的問題,並查看其他人如何解決問題。 如果您沒有選項,請連絡 Microsoft 以尋求協助。
從 Windows 移除密碼功能
您認為您已降低目標工作角色的所有密碼使用量。 現在會出現真正的測試:設定 Windows,讓使用者無法使用密碼。
Windows 提供三個主要選項來減少或消除密碼介面區:
- Windows 無密碼體驗
- 排除密碼認證提供者
- 需要 Windows Hello 企業版 或智慧卡
Windows 無密碼體驗
Windows 無密碼體驗是一種安全策略,可隱藏使用 Windows Hello 或 FIDO2 安全性密鑰登入之使用者帳戶的密碼認證提供者。 建議使用 Windows 無密碼體驗,但只能在已加入 Microsoft Entra 裝置上使用。 下圖顯示啟用 Windows 無密碼體驗時的 Windows 鎖定畫面。 註冊 Windows Hello 企業版 的用戶沒有使用密碼登入的選項:
若要深入瞭解,請參閱 Windows 無密碼體驗
排除密碼認證提供者
[排除認證提供者] 原則設定可用來停用密碼認證提供者。 設定時,Windows 會停用所有 帳戶使用密碼的可能性,包括本機帳戶。 它也會防止在 RDP 和執行 身 分驗證案例中使用密碼。 此原則設定可能會影響支援案例,例如當使用者需要使用本機帳戶登入以針對問題進行疑難解答時。 基於這個理由,請先仔細評估所有案例,再啟用設定。
- GPO:計算機設定>系統管理範>本系統>登入>排除認證提供者
- CSP:
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/ExcludedCredentialProviders
要在原則輸入以隱藏密碼認證提供者的值為 {60b78e88-ead8-445c-9cfd-0b87f74ea6cd}。
需要 Windows Hello 企業版 或智慧卡
[需要 Windows Hello 企業版 或智慧卡原則設定可用來要求 Windows Hello 企業版 或智慧卡以進行互動式登錄。 啟用時,Windows 會防止使用者使用密碼登入或解除鎖定。 使用者仍可看見密碼認證提供者。 如果用戶嘗試使用密碼,Windows 會通知用戶必須使用 Windows Hello 企業版 或智慧卡。 啟用此原則設定之前,用戶必須先註冊 Windows Hello 企業版 或擁有智慧卡。 因此,實作此原則需要仔細規劃和協調。
- GPO:計算機設定>Windows 設定安全性>>設定本機原則>安全性選項>互動式登錄:需要 Windows Hello 企業版 或智慧卡
- CSP:無法使用
驗證所有工作流程都不需要密碼
此階段是重要時刻。 您已識別密碼使用量、開發解決方案以降低密碼使用量,以及從 Windows 移除或停用密碼使用量。 在這裡設定中,您的使用者無法使用密碼。 如果任何工作流程向使用者要求密碼,則會封鎖使用者。 在理想情況下,您的測試用戶應該能夠完成目標工作角色的所有工作流程,而不需要任何密碼使用。 別忘了那些低百分比的工作流程,例如布建新使用者或忘記 PIN 或無法使用其強式認證的使用者。 請確定這些案例也經過驗證。
後續步驟
您已準備好將組織的一或多個部分轉換成無密碼部署。 您已驗證目標工作角色已準備好前往使用者不再需要知道或使用其密碼的位置。 您只需要幾個步驟即可宣告成功。