Implementarea autentificării fără parolă în Microsoft Entra ID

Finalizat

MFA reduce semnificativ riscul de breșă la Contoso, dar autentificarea bazată pe parolă lasă în continuare phishing-ul ca o posibilă cale de atac. Următorul pas este trecerea utilizatorilor la autentificarea fără parolă, unde autentificarea se bazează pe deținerea unui dispozitiv de încredere și a unui biometric local sau PIN, nu pe un secret reutilizabil.

În termeni practici, fără parole îmbunătățește atât securitatea, cât și experiența utilizatorului. Utilizatorii finalizează autentificarea mai repede, echipele de help desk văd mai puține cereri de resetare a parolei, iar echipele de securitate reduc expunerea la furtul de acreditări și atacurile de reluare.

Potrivește metodele fără parolă cu persoanele utilizatorilor

Microsoft Entra ID suportă mai multe metode fără parolă. Cea mai bună strategie de implementare este să atribui metode după persona în loc să impui o singură metodă pentru fiecare.

Personalitate Metoda recomandată Alternativă
Administratori și utilizatori reglementați Cheie de securitate FIDO2 Windows Hello pentru business
Angajați de birou pe dispozitive corporative cu Windows Windows Hello pentru business Passkey în Microsoft Authenticator
Utilizatori mobili și cross-platform Passkey în Microsoft Authenticator Cheia de acces sincronizată
Lucrători de primă linie sau dispozitive partajate Cheie de securitate FIDO2 Passkey în Microsoft Authenticator
Utilizatori BYOD Cheia de acces sincronizată sau cheia de acces Authenticator Cheie de securitate FIDO2

Diagramă a fluxului decizional care arată căile de implementare fără parole: FIDO2 pentru dispozitive partajate și de primă linie, Windows Hello for Business pentru laptopuri corporative, chei de acces Authenticator pentru utilizatorii mobili și chei de acces sincronizate pentru scenarii de tip bring-your-own-device.

La Contoso, rolurile privilegiate care gestionează sisteme sensibile primesc chei de securitate FIDO2, în timp ce majoritatea lucrătorilor din domeniul cunoașterii folosesc Windows Hello for Business pe laptopuri gestionate și cheile de acces Authenticator pe mobil.

Implementează Windows Hello for Business pentru dispozitive Windows gestionate

Windows Hello for Business (WHfB) creează o acreditare criptografică protejată de hardware-ul dispozitivului și deblocată local printr-un PIN sau un gest biometric. Deoarece nu se trimite nicio parolă în timpul autentificării, rezistența la phishing este semnificativ îmbunătățită.

WHfB este cel mai potrivit pentru dispozitive Windows Microsoft Entra joined sau hybrid joined gestionate de Intune sau Group Policy. Pentru cea mai bună compatibilitate și experiență, validați versiunile suportate de Windows și disponibilitatea TPM-ului înainte de implementarea pe scară largă.

Folosește o abordare de activare etapizată:

  1. Activează politica Windows Hello for Business pentru un grup pilot.
  2. Validează configurarea biometrică și PIN-ul pe hardware-ul țintă.
  3. Extindeți la toți utilizatorii corporativi de Windows.
  4. Urmărește succesul la autentificare și tendințele de suport pentru utilizatori.

Activează cheile de acces în Microsoft Authenticator pentru utilizatorii mobili și multiplatformă

Pentru utilizatorii care lucrează pe mai multe platforme, Passkey în Microsoft Authenticator oferă o acreditare portabilă rezistentă la phishing. Acreditarea este susținută hardware pe dispozitivul mobil și deblocată cu biometrie locală sau PIN.

În centrul de administrare Microsoft Entra, configurați politica metodei de autentificare Passkey (FIDO2 ) și vizați grupurile de utilizatori potrivite. Utilizatorii se înregistrează de pe pagina lor cu informații de securitate .

Sfat

Folosește Permisul de Acces Temporar (TAP) pentru a porni înregistrarea fără parolă pentru noii angajați și scenarii de recuperare.

Emiterea cheilor de securitate FIDO2 pentru scenarii de înaltă asigurare

Cheile de securitate FIDO2 sunt ideale pentru administratorii privilegiați, utilizatorii reglementați și mediile de stații de lucru partajate. Acestea oferă o rezistență puternică la phishing și nu sunt legate de o singură platformă de dispozitiv.

Când configurezi FIDO2 în politică:

  • Cheile de scop pentru populațiile cu cel mai mare risc mai întâi.
  • Restricționați la chei aprobate sau atestate acolo unde este posibil.
  • Validează alegerile de achiziții în raport cu ghidurile de compatibilitate și atestare ale Microsoft.

Pentru Contoso, aceasta este metoda implicită pentru administratori și echipele axate pe conformitate care accesează date și suprafețe de management extrem de sensibile.

Planifică pentru chei de acces sincronizate unde comoditatea este o prioritate

Cheile de acces sincronizate (scenariile de suport pentru previzualizare pot varia) pot îmbunătăți adoptarea de către utilizatorii cu mai multe dispozitive personale. Ei schimbă unele caracteristici de control al întreprinderilor pentru comoditate și suport larg al ecosistemului.

Folosiți chei de acces sincronizate pentru populații cu risc mai scăzut, de utilizatori generali, unde utilizabilitatea este principalul factor de adopție. Continuați să folosiți acreditări hardware (WHfB sau FIDO2) pentru utilizatorii privilegiați.

Extinderea strategiei fără parolă către aplicații și sarcini de lucru de servicii

Majoritatea aplicațiilor moderne care folosesc Microsoft Entra ID cu OAuth 2.0/OpenID Connect pot folosi autentificări fără parolă fără modificări ale codului aplicației. Validează parcursul utilizatorilor pentru fiecare platformă client pentru a confirma comportamentul.

Pentru identități non-umane și servicii backend:

  • Prefer identități gestionate pentru sarcini de lucru găzduite pe Azure.
  • Folosește autentificarea bazată pe certificate în locul secretelor cliente de lungă durată atunci când identitatea gestionată nu este disponibilă.
  • Aplică controale de identitate a încărcăturii de lucru și monitorizarea principalilor de servicii cu privilegii ridicate.

Implementarea în etape și măsurarea adopției

O implementare etapizată ajută Contoso să reducă perturbările, îmbunătățind în același timp rezultatele de securitate.

  1. Pilot: Adoptatori timpurii IT și securitate.
  2. Roluri privilegiate: Administratori și utilizatori cu impact ridicat.
  3. Echipe critice pentru afaceri: Personal din domeniul sănătății și operațiunilor.
  4. Forță de muncă generală: Facilitare largă prin campanii de înregistrare.
  5. Optimizare: Reducerea dependenței de parole acolo unde este posibil.

Monitorizează progresul cu un set mic și constant de semnale:

  • Procent de autentificări realizate cu metode fără parolă.
  • Rata de finalizare a înregistrărilor pe grupul de utilizatori.
  • Tendințele de eșec la autentificare pe metode.
  • Volumul tichetelor de la help desk este legat de autentificare.

La Contoso, aceste metrici ghidează ajustarea politicilor, comunicarea cu utilizatorii și pregătirea suportului, astfel încât sistemul fără parolă să rămână atât sigur, cât și practic. Cu metodele fără parolă mapate pe personas și implementate în etape, Contoso este poziționat să reducă riscul de phishing, oferind utilizatorilor acces mai rapid și cu mai puțină fricțiune.