ใช้การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านใน Microsoft Entra ID

เสร็จสมบูรณ์เมื่อ

MFA ช่วยลดความเสี่ยงในการละเมิดที่ Contoso ได้อย่างมาก แต่การลงชื่อเข้าใช้ด้วยรหัสผ่านยังคงปล่อยให้ฟิชชิ่งเป็นเส้นทางการโจมตีที่เป็นไปได้ ขั้นตอนต่อไปคือการย้ายผู้ใช้ไปยัง การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน ซึ่งการลงชื่อเข้าใช้จะขึ้นอยู่กับการครอบครองอุปกรณ์ที่เชื่อถือได้และไบโอเมตริกซ์หรือ PIN ในเครื่องแทนที่จะเป็นความลับที่นํากลับมาใช้ใหม่ได้

ในทางปฏิบัติ Passwordless ช่วยปรับปรุงทั้งความปลอดภัยและประสบการณ์ของผู้ใช้ ทีมแหล่งความช่วยเหลือจะเห็นคําขอรีเซ็ตรหัสผ่านน้อยลง และทีมรักษาความปลอดภัยลดความเสี่ยงต่อการโจรกรรมข้อมูลประจําตัวและการโจมตีซ้ํา

จับคู่วิธีการแบบไม่ใช้รหัสผ่านกับบุคลิกของผู้ใช้

Microsoft Entra ID รองรับวิธีการแบบไม่ใช้รหัสผ่านหลายวิธี กลยุทธ์การปรับใช้ที่ดีที่สุดคือการกําหนดวิธีการตามบุคลิกแทนการบังคับใช้วิธีเดียวสําหรับทุกคน

บุคลิกเสมือน วิธีที่แนะนํา สำรอง
ผู้ดูแลระบบและผู้ใช้ที่ได้รับการควบคุม คีย์ความปลอดภัย FIDO2 Windows Hello สําหรับธุรกิจ
พนักงานออฟฟิศบนอุปกรณ์ Windows ขององค์กร Windows Hello สําหรับธุรกิจ รหัสผ่านใน Microsoft Authenticator
ผู้ใช้มือถือและข้ามแพลตฟอร์ม รหัสผ่านใน Microsoft Authenticator รหัสผ่านที่ซิงค์
บุคลากรหน้างานหรือบุคลากรที่ใช้อุปกรณ์ที่ใช้ร่วมกัน คีย์ความปลอดภัย FIDO2 รหัสผ่านใน Microsoft Authenticator
ผู้ใช้ BYOD พาสคีย์ที่ซิงค์หรือพาสคีย์ตัวยืนยันตัวตน คีย์ความปลอดภัย FIDO2

ไดอะแกรมโฟลว์การตัดสินใจที่แสดงเส้นทางการปรับใช้แบบไม่ใช้รหัสผ่าน: FIDO2 สําหรับอุปกรณ์ที่ใช้ร่วมกันและอุปกรณ์แนวหน้า, Windows Hello for Business สําหรับแล็ปท็อปขององค์กร, รหัสผ่าน Authenticator สําหรับผู้ใช้มือถือ และรหัสผ่านที่ซิงค์สําหรับสถานการณ์การนําอุปกรณ์ของคุณเอง

ที่ Contoso บทบาทที่มีสิทธิพิเศษซึ่งจัดการระบบที่ละเอียดอ่อนจะได้รับคีย์ความปลอดภัย FIDO2 ในขณะที่ผู้ปฏิบัติงานที่มีความรู้ส่วนใหญ่ใช้ Windows Hello for Business บนแล็ปท็อปที่มีการจัดการและรหัสผ่าน Authenticator บนมือถือ

ปรับใช้ Windows Hello for Business สําหรับอุปกรณ์ Windows ที่มีการจัดการ

Windows Hello for Business (WHfB) สร้างข้อมูลประจําตัวการเข้ารหัสลับที่ป้องกันโดยฮาร์ดแวร์ของอุปกรณ์ และปลดล็อกภายในเครื่องด้วย PIN หรือรูปแบบลายเส้นไบโอเมตริกซ์ เนื่องจากไม่มีการส่งรหัสผ่านระหว่างการลงชื่อเข้าใช้ การต้านทานฟิชชิงจึงดีขึ้นอย่างมาก

WHfB เหมาะที่สุดสําหรับอุปกรณ์ Windows ที่เข้าร่วมหรือเข้าร่วมแบบไฮบริดของ Microsoft Entra ที่จัดการโดย Intune หรือ Group Policy เพื่อความเข้ากันได้และประสบการณ์ที่ดีที่สุด ให้ตรวจสอบเวอร์ชัน Windows ที่รองรับและความพร้อมใช้งานของ TPM ก่อนการเปิดตัวในวงกว้าง

ใช้แนวทางการเปิดใช้งานแบบค่อยเป็นค่อยไป:

  1. เปิดใช้งานนโยบาย Windows Hello for Business สําหรับกลุ่มนําร่อง
  2. ตรวจสอบการตั้งค่าไบโอเมตริกซ์และ PIN บนฮาร์ดแวร์เป้าหมาย
  3. ขยายไปยังผู้ใช้ Windows ขององค์กรทั้งหมด
  4. ติดตามความสําเร็จในการลงชื่อเข้าใช้และแนวโน้มการสนับสนุนผู้ใช้

เปิดใช้งานรหัสผ่านใน Microsoft Authenticator สําหรับผู้ใช้มือถือและข้ามแพลตฟอร์ม

สําหรับผู้ใช้ที่ทํางานข้ามแพลตฟอร์ม รหัสผ่านใน Microsoft Authenticator จะให้ข้อมูลประจําตัวที่ป้องกันฟิชชิ่งแบบพกพา ข้อมูลประจําตัวได้รับการสนับสนุนจากฮาร์ดแวร์บนอุปกรณ์มือถือและปลดล็อกด้วยไบโอเมตริกซ์หรือ PIN ในเครื่อง

ในศูนย์การจัดการ Microsoft Entra ให้กําหนดค่านโยบายวิธีการรับรองความถูกต้อง Passkey (FIDO2) และกําหนดเป้าหมายกลุ่มผู้ใช้ที่เหมาะสม ผู้ใช้ลงทะเบียนจากหน้าข้อมูลความปลอดภัย

เคล็ดลับ

ใช้ Temporary Access Pass (TAP) เพื่อบูตสแตรปการลงทะเบียนแบบไม่ใช้รหัสผ่านครั้งแรกสําหรับพนักงานใหม่และสถานการณ์การกู้คืน

ออกคีย์ความปลอดภัย FIDO2 สําหรับสถานการณ์ที่มีการรับประกันสูง

คีย์ความปลอดภัย FIDO2 เหมาะอย่างยิ่งสําหรับผู้ดูแลระบบที่มีสิทธิพิเศษ ผู้ใช้ที่ได้รับการควบคุม และสภาพแวดล้อมเวิร์กสเตชันที่ใช้ร่วมกัน พวกเขาให้ความต้านทานฟิชชิ่งที่แข็งแกร่งและไม่ผูกติดอยู่กับแพลตฟอร์มอุปกรณ์เดียว

เมื่อกําหนดค่า FIDO2 ในนโยบาย:

  • กําหนดขอบเขตคีย์สําหรับประชากรที่มีความเสี่ยงสูงสุดก่อน
  • จํากัดเฉพาะคีย์ที่ได้รับอนุมัติหรือรับรองหากเป็นไปได้
  • ตรวจสอบตัวเลือกการจัดซื้อกับคําแนะนําความเข้ากันได้และการรับรองของ Microsoft

สําหรับ Contoso นี่เป็นวิธีการเริ่มต้นสําหรับผู้ดูแลระบบและทีมที่มุ่งเน้นการปฏิบัติตามกฎระเบียบที่เข้าถึงข้อมูลและพื้นผิวการจัดการที่มีความละเอียดอ่อนสูง

วางแผนสําหรับพาสคีย์ที่ซิงค์โดยให้ความสําคัญกับความสะดวก

พาสคีย์ที่ซิงค์ (สถานการณ์ที่รองรับการแสดงตัวอย่างอาจแตกต่างกันไป) สามารถปรับปรุงการนําไปใช้สําหรับผู้ใช้ที่มีอุปกรณ์ส่วนตัวหลายเครื่องได้ พวกเขาแลกเปลี่ยนลักษณะการควบคุมขององค์กรบางอย่างเพื่อความสะดวกและการสนับสนุนระบบนิเวศในวงกว้าง

ใช้พาสคีย์ที่ซิงค์สําหรับประชากรผู้ใช้ทั่วไปที่มีความเสี่ยงต่ํา ซึ่งความสามารถในการใช้งานเป็นตัวขับเคลื่อนการนําไปใช้หลัก ใช้ข้อมูลเข้าสู่ระบบที่ผูกกับฮาร์ดแวร์ (WHfB หรือ FIDO2) สําหรับผู้ใช้ที่มีสิทธิ์ต่อไป

ขยายกลยุทธ์แบบไร้รหัสผ่านไปยังแอปพลิเคชันและปริมาณงานบริการ

แอปพลิเคชันที่ทันสมัยส่วนใหญ่ที่ใช้ Microsoft Entra ID กับ OAuth 2.0/OpenID Connect สามารถใช้การลงชื่อเข้าใช้แบบไม่ใช้รหัสผ่านได้โดยไม่ต้องเปลี่ยนรหัสแอป ตรวจสอบการเดินทางของผู้ใช้สําหรับแต่ละแพลตฟอร์มไคลเอ็นต์เพื่อยืนยันพฤติกรรม

สําหรับข้อมูลประจําตัวที่ไม่ใช่มนุษย์และบริการแบ็กเอนด์:

  • ต้องการ ข้อมูลประจําตัวที่มีการจัดการ สําหรับปริมาณงานที่โฮสต์โดย Azure
  • ใช้ การรับรองความถูกต้องตามใบรับรอง แทนข้อมูลลับของไคลเอ็นต์ที่มีอายุการใช้งานยาวนานเมื่อข้อมูลประจําตัวที่มีการจัดการไม่พร้อมใช้งาน
  • ใช้การควบคุมข้อมูลประจําตัวปริมาณงานและการตรวจสอบกับบริการหลักที่มีสิทธิ์สูง

เปิดตัวเป็นระยะและวัดการนําไปใช้

การเปิดตัวแบบค่อยเป็นค่อยไปช่วยให้ Contoso ลดการหยุดชะงักในขณะที่ปรับปรุงผลลัพธ์ด้านความปลอดภัย

  1. นักบิน: ผู้ใช้งานด้านไอทีและความปลอดภัยในช่วงแรก
  2. บทบาทที่มีสิทธิพิเศษ: ผู้ดูแลระบบและผู้ใช้ที่มีผลกระทบสูง
  3. ทีมที่มีความสําคัญต่อธุรกิจ: เจ้าหน้าที่ด้านการดูแลสุขภาพและเจ้าหน้าที่ปฏิบัติการ
  4. พนักงานทั่วไป: การเปิดใช้งานในวงกว้างด้วยแคมเปญการลงทะเบียน
  5. การเพิ่มประสิทธิภาพ: ลดการพึ่งพารหัสผ่านหากเป็นไปได้

ติดตามความคืบหน้าด้วยชุดสัญญาณขนาดเล็กที่สม่ําเสมอ:

  • เปอร์เซ็นต์ของการลงชื่อเข้าใช้ที่เสร็จสมบูรณ์ด้วยวิธีการแบบไม่ใช้รหัสผ่าน
  • อัตราการลงทะเบียนเสร็จสมบูรณ์ตามกลุ่มผู้ใช้
  • แนวโน้มความล้มเหลวในการลงชื่อเข้าใช้ตามวิธีการ
  • ปริมาณตั๋วแผนกช่วยเหลือที่เชื่อมโยงกับการรับรองความถูกต้อง

ที่ Contoso ตัวชี้วัดเหล่านี้เป็นแนวทางในการปรับแต่งนโยบาย การสื่อสารของผู้ใช้ และความพร้อมในการสนับสนุน เพื่อให้การไร้รหัสผ่านยังคงปลอดภัยและใช้งานได้จริง ด้วยวิธีการแบบไร้รหัสผ่านที่แมปกับบุคลิกและปรับใช้เป็นระยะ Contoso อยู่ในตําแหน่งที่ลดความเสี่ยงของฟิชชิ่งในขณะที่ให้ผู้ใช้เข้าถึงได้เร็วขึ้นและแรงเสียดทานต่ํา