ใช้การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านใน Microsoft Entra ID
MFA ช่วยลดความเสี่ยงในการละเมิดที่ Contoso ได้อย่างมาก แต่การลงชื่อเข้าใช้ด้วยรหัสผ่านยังคงปล่อยให้ฟิชชิ่งเป็นเส้นทางการโจมตีที่เป็นไปได้ ขั้นตอนต่อไปคือการย้ายผู้ใช้ไปยัง การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน ซึ่งการลงชื่อเข้าใช้จะขึ้นอยู่กับการครอบครองอุปกรณ์ที่เชื่อถือได้และไบโอเมตริกซ์หรือ PIN ในเครื่องแทนที่จะเป็นความลับที่นํากลับมาใช้ใหม่ได้
ในทางปฏิบัติ Passwordless ช่วยปรับปรุงทั้งความปลอดภัยและประสบการณ์ของผู้ใช้ ทีมแหล่งความช่วยเหลือจะเห็นคําขอรีเซ็ตรหัสผ่านน้อยลง และทีมรักษาความปลอดภัยลดความเสี่ยงต่อการโจรกรรมข้อมูลประจําตัวและการโจมตีซ้ํา
จับคู่วิธีการแบบไม่ใช้รหัสผ่านกับบุคลิกของผู้ใช้
Microsoft Entra ID รองรับวิธีการแบบไม่ใช้รหัสผ่านหลายวิธี กลยุทธ์การปรับใช้ที่ดีที่สุดคือการกําหนดวิธีการตามบุคลิกแทนการบังคับใช้วิธีเดียวสําหรับทุกคน
| บุคลิกเสมือน | วิธีที่แนะนํา | สำรอง |
|---|---|---|
| ผู้ดูแลระบบและผู้ใช้ที่ได้รับการควบคุม | คีย์ความปลอดภัย FIDO2 | Windows Hello สําหรับธุรกิจ |
| พนักงานออฟฟิศบนอุปกรณ์ Windows ขององค์กร | Windows Hello สําหรับธุรกิจ | รหัสผ่านใน Microsoft Authenticator |
| ผู้ใช้มือถือและข้ามแพลตฟอร์ม | รหัสผ่านใน Microsoft Authenticator | รหัสผ่านที่ซิงค์ |
| บุคลากรหน้างานหรือบุคลากรที่ใช้อุปกรณ์ที่ใช้ร่วมกัน | คีย์ความปลอดภัย FIDO2 | รหัสผ่านใน Microsoft Authenticator |
| ผู้ใช้ BYOD | พาสคีย์ที่ซิงค์หรือพาสคีย์ตัวยืนยันตัวตน | คีย์ความปลอดภัย FIDO2 |
ที่ Contoso บทบาทที่มีสิทธิพิเศษซึ่งจัดการระบบที่ละเอียดอ่อนจะได้รับคีย์ความปลอดภัย FIDO2 ในขณะที่ผู้ปฏิบัติงานที่มีความรู้ส่วนใหญ่ใช้ Windows Hello for Business บนแล็ปท็อปที่มีการจัดการและรหัสผ่าน Authenticator บนมือถือ
ปรับใช้ Windows Hello for Business สําหรับอุปกรณ์ Windows ที่มีการจัดการ
Windows Hello for Business (WHfB) สร้างข้อมูลประจําตัวการเข้ารหัสลับที่ป้องกันโดยฮาร์ดแวร์ของอุปกรณ์ และปลดล็อกภายในเครื่องด้วย PIN หรือรูปแบบลายเส้นไบโอเมตริกซ์ เนื่องจากไม่มีการส่งรหัสผ่านระหว่างการลงชื่อเข้าใช้ การต้านทานฟิชชิงจึงดีขึ้นอย่างมาก
WHfB เหมาะที่สุดสําหรับอุปกรณ์ Windows ที่เข้าร่วมหรือเข้าร่วมแบบไฮบริดของ Microsoft Entra ที่จัดการโดย Intune หรือ Group Policy เพื่อความเข้ากันได้และประสบการณ์ที่ดีที่สุด ให้ตรวจสอบเวอร์ชัน Windows ที่รองรับและความพร้อมใช้งานของ TPM ก่อนการเปิดตัวในวงกว้าง
ใช้แนวทางการเปิดใช้งานแบบค่อยเป็นค่อยไป:
- เปิดใช้งานนโยบาย Windows Hello for Business สําหรับกลุ่มนําร่อง
- ตรวจสอบการตั้งค่าไบโอเมตริกซ์และ PIN บนฮาร์ดแวร์เป้าหมาย
- ขยายไปยังผู้ใช้ Windows ขององค์กรทั้งหมด
- ติดตามความสําเร็จในการลงชื่อเข้าใช้และแนวโน้มการสนับสนุนผู้ใช้
เปิดใช้งานรหัสผ่านใน Microsoft Authenticator สําหรับผู้ใช้มือถือและข้ามแพลตฟอร์ม
สําหรับผู้ใช้ที่ทํางานข้ามแพลตฟอร์ม รหัสผ่านใน Microsoft Authenticator จะให้ข้อมูลประจําตัวที่ป้องกันฟิชชิ่งแบบพกพา ข้อมูลประจําตัวได้รับการสนับสนุนจากฮาร์ดแวร์บนอุปกรณ์มือถือและปลดล็อกด้วยไบโอเมตริกซ์หรือ PIN ในเครื่อง
ในศูนย์การจัดการ Microsoft Entra ให้กําหนดค่านโยบายวิธีการรับรองความถูกต้อง Passkey (FIDO2) และกําหนดเป้าหมายกลุ่มผู้ใช้ที่เหมาะสม ผู้ใช้ลงทะเบียนจากหน้าข้อมูลความปลอดภัย
เคล็ดลับ
ใช้ Temporary Access Pass (TAP) เพื่อบูตสแตรปการลงทะเบียนแบบไม่ใช้รหัสผ่านครั้งแรกสําหรับพนักงานใหม่และสถานการณ์การกู้คืน
ออกคีย์ความปลอดภัย FIDO2 สําหรับสถานการณ์ที่มีการรับประกันสูง
คีย์ความปลอดภัย FIDO2 เหมาะอย่างยิ่งสําหรับผู้ดูแลระบบที่มีสิทธิพิเศษ ผู้ใช้ที่ได้รับการควบคุม และสภาพแวดล้อมเวิร์กสเตชันที่ใช้ร่วมกัน พวกเขาให้ความต้านทานฟิชชิ่งที่แข็งแกร่งและไม่ผูกติดอยู่กับแพลตฟอร์มอุปกรณ์เดียว
เมื่อกําหนดค่า FIDO2 ในนโยบาย:
- กําหนดขอบเขตคีย์สําหรับประชากรที่มีความเสี่ยงสูงสุดก่อน
- จํากัดเฉพาะคีย์ที่ได้รับอนุมัติหรือรับรองหากเป็นไปได้
- ตรวจสอบตัวเลือกการจัดซื้อกับคําแนะนําความเข้ากันได้และการรับรองของ Microsoft
สําหรับ Contoso นี่เป็นวิธีการเริ่มต้นสําหรับผู้ดูแลระบบและทีมที่มุ่งเน้นการปฏิบัติตามกฎระเบียบที่เข้าถึงข้อมูลและพื้นผิวการจัดการที่มีความละเอียดอ่อนสูง
วางแผนสําหรับพาสคีย์ที่ซิงค์โดยให้ความสําคัญกับความสะดวก
พาสคีย์ที่ซิงค์ (สถานการณ์ที่รองรับการแสดงตัวอย่างอาจแตกต่างกันไป) สามารถปรับปรุงการนําไปใช้สําหรับผู้ใช้ที่มีอุปกรณ์ส่วนตัวหลายเครื่องได้ พวกเขาแลกเปลี่ยนลักษณะการควบคุมขององค์กรบางอย่างเพื่อความสะดวกและการสนับสนุนระบบนิเวศในวงกว้าง
ใช้พาสคีย์ที่ซิงค์สําหรับประชากรผู้ใช้ทั่วไปที่มีความเสี่ยงต่ํา ซึ่งความสามารถในการใช้งานเป็นตัวขับเคลื่อนการนําไปใช้หลัก ใช้ข้อมูลเข้าสู่ระบบที่ผูกกับฮาร์ดแวร์ (WHfB หรือ FIDO2) สําหรับผู้ใช้ที่มีสิทธิ์ต่อไป
ขยายกลยุทธ์แบบไร้รหัสผ่านไปยังแอปพลิเคชันและปริมาณงานบริการ
แอปพลิเคชันที่ทันสมัยส่วนใหญ่ที่ใช้ Microsoft Entra ID กับ OAuth 2.0/OpenID Connect สามารถใช้การลงชื่อเข้าใช้แบบไม่ใช้รหัสผ่านได้โดยไม่ต้องเปลี่ยนรหัสแอป ตรวจสอบการเดินทางของผู้ใช้สําหรับแต่ละแพลตฟอร์มไคลเอ็นต์เพื่อยืนยันพฤติกรรม
สําหรับข้อมูลประจําตัวที่ไม่ใช่มนุษย์และบริการแบ็กเอนด์:
- ต้องการ ข้อมูลประจําตัวที่มีการจัดการ สําหรับปริมาณงานที่โฮสต์โดย Azure
- ใช้ การรับรองความถูกต้องตามใบรับรอง แทนข้อมูลลับของไคลเอ็นต์ที่มีอายุการใช้งานยาวนานเมื่อข้อมูลประจําตัวที่มีการจัดการไม่พร้อมใช้งาน
- ใช้การควบคุมข้อมูลประจําตัวปริมาณงานและการตรวจสอบกับบริการหลักที่มีสิทธิ์สูง
เปิดตัวเป็นระยะและวัดการนําไปใช้
การเปิดตัวแบบค่อยเป็นค่อยไปช่วยให้ Contoso ลดการหยุดชะงักในขณะที่ปรับปรุงผลลัพธ์ด้านความปลอดภัย
- นักบิน: ผู้ใช้งานด้านไอทีและความปลอดภัยในช่วงแรก
- บทบาทที่มีสิทธิพิเศษ: ผู้ดูแลระบบและผู้ใช้ที่มีผลกระทบสูง
- ทีมที่มีความสําคัญต่อธุรกิจ: เจ้าหน้าที่ด้านการดูแลสุขภาพและเจ้าหน้าที่ปฏิบัติการ
- พนักงานทั่วไป: การเปิดใช้งานในวงกว้างด้วยแคมเปญการลงทะเบียน
- การเพิ่มประสิทธิภาพ: ลดการพึ่งพารหัสผ่านหากเป็นไปได้
ติดตามความคืบหน้าด้วยชุดสัญญาณขนาดเล็กที่สม่ําเสมอ:
- เปอร์เซ็นต์ของการลงชื่อเข้าใช้ที่เสร็จสมบูรณ์ด้วยวิธีการแบบไม่ใช้รหัสผ่าน
- อัตราการลงทะเบียนเสร็จสมบูรณ์ตามกลุ่มผู้ใช้
- แนวโน้มความล้มเหลวในการลงชื่อเข้าใช้ตามวิธีการ
- ปริมาณตั๋วแผนกช่วยเหลือที่เชื่อมโยงกับการรับรองความถูกต้อง
ที่ Contoso ตัวชี้วัดเหล่านี้เป็นแนวทางในการปรับแต่งนโยบาย การสื่อสารของผู้ใช้ และความพร้อมในการสนับสนุน เพื่อให้การไร้รหัสผ่านยังคงปลอดภัยและใช้งานได้จริง ด้วยวิธีการแบบไร้รหัสผ่านที่แมปกับบุคลิกและปรับใช้เป็นระยะ Contoso อยู่ในตําแหน่งที่ลดความเสี่ยงของฟิชชิ่งในขณะที่ให้ผู้ใช้เข้าถึงได้เร็วขึ้นและแรงเสียดทานต่ํา