Jelszó nélküli hitelesítési lehetőségek a Microsoft Entra-azonosítóhoz

  • Cikk

Az olyan funkciók, mint a többtényezős hitelesítés (MFA) nagyszerű módot jelentenek a szervezet védelmére, de a felhasználókat gyakran frusztrálja a plusz biztonsági réteg a jelszavak megjegyzése mellett. A jelszó nélküli hitelesítési módszerek kényelmesebbek, mert a rendszer eltávolítja és lecseréli a jelszót valamire, amit ön vagy tud.

Hitelesítés Valami, ami az Öné Valami, amit ismer vagy ismer
Jelszó nélküli Windows 10 Eszköz, telefon vagy biztonsági kulcs Biometrikus vagy PIN-kód

A hitelesítéshez minden szervezetnek más-más igényei vannak. A Microsoft Azure és az Azure Government az alábbi négy jelszó nélküli hitelesítési lehetőséget kínálja, amelyek integrálhatók a Microsoft Entra-azonosítóval:

  • Vállalati Windows Hello
  • Microsoft Authenticator
  • Hozzáférési kulcsok (FIDO2)
  • Tanúsítványalapú hitelesítés

Hitelesítés: Biztonság és kényelem

Vállalati Windows Hello

Vállalati Windows Hello ideális azoknak az információs dolgozóknak, akik saját windowsos számítógéppel rendelkeznek. A biometrikus és PIN-kód hitelesítő adatai közvetlenül a felhasználó számítógépéhez vannak kötve, ami megakadályozza a hozzáférést a tulajdonoson kívül bárkitől. A nyilvános kulcsú infrastruktúra (PKI) integrációjával és az egyszeri bejelentkezés (SSO) beépített támogatásával a Vállalati Windows Hello kényelmes módszert kínál a helyszíni és a felhőbeli vállalati erőforrások zökkenőmentes eléréséhez.

Példa egy felhasználói bejelentkezésre Vállalati Windows Hello.

Az alábbi lépések bemutatják, hogyan működik a bejelentkezési folyamat a Microsoft Entra-azonosítóval:

A felhasználói bejelentkezés lépéseit felvázoló diagram Vállalati Windows Hello

  1. A felhasználó biometrikus vagy PIN-kód kézmozdulattal jelentkezik be a Windowsba. A kézmozdulat feloldja a Vállalati Windows Hello titkos kulcs zárolását, és a rendszer elküldi a Cloud Authentication biztonsági támogatási szolgáltatójának, más néven a Cloud AP-szolgáltatónak.
  2. A felhőbeli AP-szolgáltató a Microsoft Entra-azonosítóból kér egy nem kötelező számot (egy véletlenszerű tetszőleges számot, amely egyszer használható).
  3. A Microsoft Entra-azonosító egy 5 percig érvényes érvénytelen értéket ad vissza.
  4. A cloud AP-szolgáltató a felhasználó titkos kulcsával írja alá a nonce-t, és visszaadja az aláírt nem elemet a Microsoft Entra-azonosítónak.
  5. A Microsoft Entra ID a felhasználó biztonságosan regisztrált nyilvános kulcsával ellenőrzi az aláírt nem kódot a nem hitelesített aláírással szemben. A Microsoft Entra ID ellenőrzi az aláírást, majd ellenőrzi a visszaadott aláírást. A nem érvényesség ellenőrzésekor a Microsoft Entra ID létrehoz egy elsődleges frissítési jogkivonatot (PRT) az eszköz átviteli kulcsára titkosított munkamenet-kulccsal, és visszaadja azt a felhőbeli AP-szolgáltatónak.
  6. A cloud AP-szolgáltató munkamenet-kulccsal fogadja a titkosított PRT-t. A felhőalapú AP-szolgáltató az eszköz privát átviteli kulcsával fejti vissza a munkamenetkulcsot, és az eszköz megbízható platformmoduljával (TPM) védi a munkamenetkulcsot.
  7. A felhőbeli AP-szolgáltató sikeres hitelesítési választ ad vissza a Windowsnak. A felhasználó ezután anélkül érheti el a Windows és a felhőbeli és helyszíni alkalmazásokat, hogy újra hitelesítésre (SSO) van szüksége.

A Vállalati Windows Hello tervezési útmutatója segítséget nyújt a Vállalati Windows Hello üzembe helyezés típusával és a megfontolandó lehetőségekkel kapcsolatos döntések meghozatalában.

Microsoft Authenticator

Azt is engedélyezheti, hogy az alkalmazott telefonja jelszó nélküli hitelesítési módszer legyen. Az Authenticator alkalmazást már használhatja kényelmes többtényezős hitelesítési lehetőségként a jelszó mellett. Az Authenticator alkalmazást jelszó nélküli beállításként is használhatja.

Bejelentkezés a Microsoft Edge-be a Microsoft Authenticator használatával

Az Authenticator alkalmazás minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokká alakít. A felhasználók bármilyen platformra vagy böngészőbe bejelentkezhetnek úgy, hogy értesítést kapnak a telefonjukra, amely megfelel a képernyőn megjelenő számnak a telefonjukon lévő számnak. Ezután a biometrikus (érintéses vagy arcos) vagy PIN-kóddal ellenőrizhetik. A telepítés részleteiért tekintse meg a Microsoft Authenticator letöltését és telepítését.

Az Authenticator alkalmazással történő jelszó nélküli hitelesítés ugyanazt az alapszintű mintát követi, mint Vállalati Windows Hello. Ez egy kicsit bonyolultabb, mivel a felhasználót azonosítani kell, hogy a Microsoft Entra-azonosító megtalálja a használt Authenticator alkalmazásverziót:

A Microsoft Authenticator alkalmazással való felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó megadja a felhasználónevét.
  2. A Microsoft Entra ID észleli, hogy a felhasználó erős hitelesítő adatokkal rendelkezik, és elindítja az erős hitelesítőadat-folyamatot.
  3. A rendszer értesítést küld az alkalmazásnak iOS-eszközökön az Apple Push Notification Service (APNS) vagy a Firebase Cloud Messaging (FCM) szolgáltatáson keresztül Android-eszközökön.
  4. A felhasználó megkapja a leküldéses értesítést, és megnyitja az alkalmazást.
  5. Az alkalmazás meghívja a Microsoft Entra-azonosítót, és jelenléti igazolási kihívást kap, és nem érkezik meg.
  6. A felhasználó a személyes kulcs zárolásának feloldásához meg kell adnia a biometrikus vagy PIN-kódját.
  7. A nonce a titkos kulccsal van aláírva, és vissza lesz küldve a Microsoft Entra-azonosítóra.
  8. A Microsoft Entra ID nyilvános/titkos kulcsok érvényesítését hajtja végre, és egy jogkivonatot ad vissza.

A jelszó nélküli bejelentkezés megkezdéséhez végezze el az alábbi útmutatót:

Jelszó nélküli aláírás engedélyezése az Authenticator alkalmazással

Hozzáférési kulcsok (FIDO2)

A FIDO (Fast IDentity Online) Alliance segít előléptetni a nyílt hitelesítési szabványokat, és csökkenteni a jelszavak hitelesítés formájában való használatát. A FIDO2 a legújabb szabvány, amely magában foglalja a webes hitelesítés (WebAuthn) szabványt.

A FIDO2 biztonsági kulcsok a szabványokon alapuló, jelszó nélküli hitelesítési módszerek, amelyek bármilyen formában felhasználhatók. A Fast Identity Online (FIDO) egy nyílt szabvány a jelszó nélküli hitelesítéshez. A FIDO lehetővé teszi, hogy a felhasználók és a szervezetek a szabványt alkalmazva felhasználónév vagy jelszó nélkül jelentkezzenek be az erőforrásaikba egy külső biztonsági kulcs vagy egy eszközbe épített platformkulcs használatával.

A felhasználók regisztrálhatnak, majd kiválaszthatnak egy FIDO2 biztonsági kulcsot a bejelentkezési felületen a hitelesítés fő eszközeként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de bluetooth vagy NFC is használható. A hitelesítést kezelő hardvereszközökkel a fiók biztonsága megnő, mivel nincs olyan jelszó, amely közzétehető vagy kitalálható lenne.

A FIDO2 biztonsági kulcsokkal bejelentkezhet a Microsoft Entra-azonosítójukra vagy a Microsoft Entra hibrid csatlakoztatott Windows 10-eszközökre, és egyszeri bejelentkezést kaphatnak a felhőbeli és helyszíni erőforrásaikra. A felhasználók a támogatott böngészőkbe is bejelentkezhetnek. A FIDO2 biztonsági kulcsok nagyszerű lehetőséget jelentenek az olyan vállalatok számára, amelyek nagyon biztonsági szempontból érzékenyek, vagy olyan forgatókönyvekkel vagy alkalmazottakkal rendelkeznek, akik nem hajlandók vagy nem tudják használni a telefonjukat második tényezőként.

A referenciadokumentumot itt találja: FIDO2-hitelesítés támogatása a Microsoft Entra-azonosítóval. A fejlesztői ajánlott eljárásokért tekintse meg a FIDO2 hitelesítésének támogatását az általuk fejlesztett alkalmazásokban.

Bejelentkezés a Microsoft Edge-be egy biztonsági kulccsal

A rendszer a következő folyamatot használja, amikor egy felhasználó FIDO2 biztonsági kulccsal jelentkezik be:

FiDO2 biztonsági kulccsal történő felhasználói bejelentkezés lépéseit bemutató ábra

  1. A felhasználó csatlakoztatja a FIDO2 biztonsági kulcsot a számítógépéhez.
  2. A Windows észleli a FIDO2 biztonsági kulcsot.
  3. A Windows hitelesítési kérelmet küld.
  4. A Microsoft Entra ID nem ikszet küld vissza.
  5. A felhasználó végrehajtja a kézmozdulatot a FIDO2 biztonsági kulcs biztonságos enklávéjában tárolt titkos kulcs feloldásához.
  6. A FIDO2 biztonsági kulcs a titkos kulccsal aláírja a nonce-t.
  7. Az elsődleges frissítési jogkivonatra (PRT) vonatkozó, aláírt nem aláírt jogkivonat-kérést a Rendszer elküldi a Microsoft Entra-azonosítónak.
  8. A Microsoft Entra ID a FIDO2 nyilvános kulccsal ellenőrzi az aláírt nem elemet.
  9. A Microsoft Entra ID prT-t ad vissza a helyszíni erőforrásokhoz való hozzáférés engedélyezéséhez.

FIDO2 biztonságikulcs-szolgáltatók

Az alábbi szolgáltatók különböző formátumú FIDO2 biztonsági kulcsokat kínálnak, amelyekről ismert, hogy kompatibilisek a jelszó nélküli felülettel. Javasoljuk, hogy értékelje ki ezeknek a kulcsoknak a biztonsági tulajdonságait a szállítóval és a FIDO Szövetséggel kapcsolatba lépve.

Szolgáltató Biometrikus USB NFC BLE
AuthenTrend y y y y
ACS n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Ensurity y y n n
Excelsecu y y y y
Feitian y y y y
Negyvenesek n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
HID n y y n
HID Enterprise kiadás Z n y y y
Hypersecu n y n n
Hypr y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
Kensington y y n n
KONA I y n y y
NeoWave n y y n
Nymi y n y n
Oktatco y y n n
OneSpan Inc. n y n y
PONE biometriai adatok y n n y
Precíziós biometriai n y n n
RSA n y n n
Sentry n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales-csoport y y y n
Thetis y y y y
Token2 Svájc y y y n
Jogkivonat gyűrűje y n y n
TrustKey-megoldások y y n n
VinCSS n y n n
Wi Standard kiadás CURE Technologies n y n n
Yubico y y y n

Feljegyzés

Ha NFC-alapú biztonsági kulcsokat vásárol és tervez használni, a biztonsági kulcshoz egy támogatott NFC-olvasó szükséges. Az NFC-olvasó nem Azure-követelmény vagy korlátozás. A támogatott NFC-olvasók listájához forduljon az NFC-alapú biztonsági kulcs szállítójához.

Ha Ön szállító, és fel szeretné venni az eszközét a támogatott eszközök listájára, tekintse meg a Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válással kapcsolatos útmutatónkat.

A FIDO2 biztonsági kulcsok használatának megkezdéséhez végezze el az alábbi útmutatót:

Jelszó nélküli aláírás engedélyezése FIDO2 biztonsági kulcsokkal

Tanúsítványalapú hitelesítés

A Microsoft Entra tanúsítványalapú hitelesítés (CBA) lehetővé teszi az ügyfelek számára, hogy közvetlenül X.509-tanúsítványokkal hitelesítsék magukat a Microsoft Entra-azonosítójukon az alkalmazásokhoz és a böngészőbe való bejelentkezéshez. A CBA lehetővé teszi az ügyfelek számára, hogy adathalászatnak ellenálló hitelesítést alkalmazzanak, és X.509-tanúsítvánnyal jelentkezzenek be a nyilvános kulcsú infrastruktúrájuk (PKI) ellen.

A Microsoft Entra tanúsítványalapú hitelesítésének ábrája.

A Microsoft Entra CBA használatának főbb előnyei

Juttatások Leírás
Nagyszerű felhasználói élmény – A tanúsítványalapú hitelesítést igénylő felhasználók mostantól közvetlenül hitelesíthetik magukat a Microsoft Entra-azonosítóval, és nem kell összevont AD FS-be fektetniük.
– A portál felhasználói felülete lehetővé teszi a felhasználók számára, hogy egyszerűen konfigurálják, hogyan képezhetik le a tanúsítványmezőket egy felhasználói objektumattribútumra, hogy megkeresse a felhasználót a bérlőben (tanúsítványnév-kötések)
– A portál felhasználói felülete hitelesítési szabályzatok konfigurálásához, amelyek segítenek meghatározni, hogy mely tanúsítványok egytényezősek és többtényezősek.
Egyszerűen üzembe helyezhető és felügyelhető – A Microsoft Entra CBA egy ingyenes funkció, és a használatához nincs szükség a Microsoft Entra ID fizetős kiadásaira.
- Nincs szükség összetett helyszíni üzembe helyezésre vagy hálózati konfigurációra.
– Közvetlen hitelesítés a Microsoft Entra-azonosítón.
Biztonságossá tétel – A helyszíni jelszavakat semmilyen formában nem kell a felhőben tárolni.
– A Felhasználói fiókok védelme a Microsoft Entra feltételes hozzáférési szabályzataival való zökkenőmentes munkával, beleértve az adathalászatnak ellenálló többtényezős hitelesítést (az MFA licenccel rendelkező kiadást igényel), és blokkolja az örökölt hitelesítést.
- Erős hitelesítési támogatás, ahol a felhasználók hitelesítési szabályzatokat határozhatnak meg a tanúsítványmezőkön keresztül, például a kiállító vagy a szabályzat OID (objektumazonosítók) segítségével annak meghatározásához, hogy mely tanúsítványok minősülnek egytényezősnek a többtényezős helyett.
– A funkció zökkenőmentesen működik a feltételes hozzáférési funkciókkal és a hitelesítés erősségével, hogy kényszerítse az MFA-t a felhasználók védelme érdekében.

Támogatott esetek

A következő forgatókönyvek támogatottak:

  • A felhasználók minden platformon bejelentkeznek böngészőalapú alkalmazásokba.
  • A felhasználók bejelentkeznek az Office-mobilalkalmazásokba iOS-/Android-platformokon és natív Office-alkalmazásokban a Windowsban, beleértve az Outlookot, a OneDrive-ot stb.
  • Felhasználói bejelentkezések mobil natív böngészőkben.
  • A többtényezős hitelesítés részletes hitelesítési szabályainak támogatása a tanúsítványkibocsátó tulajdonosának és szabályzatazonosítóinak használatával.
  • Tanúsítvány-felhasználói fiók kötéseinek konfigurálása a tanúsítványmezők bármelyikével:
    • Tulajdonos alternatív neve (SAN) PrincipalName és SAN RFC822Nare
    • Tárgykulcs-azonosító (SKI) és SHA1PublicKey
  • Tanúsítvány-felhasználó fiók kötéseinek konfigurálása a felhasználói objektum bármely attribútumának használatával:
    • Felhasználó egyszerű neve
    • onPremisesUserPrincipalName
    • CertificateUserIds

Támogatott esetek

A következő szempontokat kell figyelembe venni:

  • Rendszergazda istratorok engedélyezhetik a jelszó nélküli hitelesítési módszereket a bérlőjük számára.
  • Rendszergazda istratorok minden felhasználót megcélzhatnak, vagy kiválaszthatnak felhasználókat/biztonsági csoportokat a bérlőjükön belül minden metódushoz.
  • A felhasználók regisztrálhatják és kezelhetik ezeket a jelszó nélküli hitelesítési módszereket a fiókportáljukon.
  • A felhasználók a következő jelszó nélküli hitelesítési módszerekkel jelentkezhetnek be:
    • Authenticator alkalmazás: Olyan helyzetekben működik, ahol a Microsoft Entra-hitelesítést használják, beleértve az összes böngészőt, a Windows 10 telepítése során, valamint az integrált mobilalkalmazásokat bármely operációs rendszeren.
    • Biztonsági kulcsok: A Windows 10 és az internet zárolási képernyőjén dolgozhat olyan támogatott böngészőkben, mint a Microsoft Edge (örökölt és új Edge).
  • A felhasználók jelszó nélküli hitelesítő adatokkal férhetnek hozzá az erőforrásokhoz azon bérlőkben, ahol vendégként vannak, de továbbra is szükség lehet az MFA végrehajtására az adott erőforrás-bérlőben. További információ: Lehetséges kettős többtényezős hitelesítés.
  • A felhasználók nem regisztrálhatnak jelszó nélküli hitelesítő adatokat egy olyan bérlőn belül, ahol vendégként vannak, ugyanúgy, mintha nem rendelkeznének jelszóval az adott bérlőben.

Nem támogatott forgatókönyvek

Javasoljuk, hogy egy felhasználói fiókhoz ne több mint 20 kulcskészletet használjon minden jelszó nélküli metódushoz. A további kulcsok hozzáadásakor a felhasználói objektum mérete nő, és egyes műveleteknél romlást tapasztalhat. Ebben az esetben távolítsa el a szükségtelen kulcsokat. További információkért és a kulcsok lekérdezéséhez és eltávolításához használt PowerShell-parancsmagokkal kapcsolatban lásd: WHfBTools PowerShell-modul az árva Vállalati Windows Hello kulcsok eltávolításához. A /UserPrincipalName opcionális paraméterrel csak egy adott felhasználó kulcsait kérdezheti le. A szükséges engedélyek rendszergazdaként vagy a megadott felhasználóként futnak.

Ha a PowerShell használatával hoz létre egy CSV-fájlt az összes meglévő kulcssal, gondosan azonosítsa a megtartani kívánt kulcsokat, és távolítsa el ezeket a sorokat a CSV-ből. Ezután a módosított CSV és a PowerShell használatával törölje a fennmaradó kulcsokat, hogy a fiókkulcsok száma a korlát alá kerüljön.

A CSV-ben az "Árva"="True" néven jelentett kulcsok biztonságosan törölhetők. Az árva kulcs olyan eszközökhöz használható, amelyek már nincsenek regisztrálva a Microsoft Entra-azonosítóban. Ha az összes árva eltávolítása még mindig nem éri el a felhasználói fiókot a korlát alatt, meg kell vizsgálnia a DeviceId és a CreationTime oszlopokat, hogy megállapíthassa, mely kulcsokat szeretné törölni. Ügyeljen arra, hogy távolítsa el a CSV-ben a megtartani kívánt kulcsok sorait. A felhasználó által aktívan használt eszközöknek megfelelő DeviceID-kulcsokat a törlési lépés előtt el kell távolítani a CSV-ből.

Jelszó nélküli metódus kiválasztása

A három jelszó nélküli beállítás közötti választás a vállalat biztonsági, platform- és alkalmazáskövetelményeitől függ.

Az alábbiakban néhány tényezőt érdemes figyelembe venni a Microsoft jelszó nélküli technológiájának kiválasztásakor:

Vállalati Windows Hello Jelszó nélküli bejelentkezés az Authenticator alkalmazással FIDO2 biztonsági kulcsok
Előfeltétel Windows 10, 1809-es vagy újabb verzió
Microsoft Entra ID		 Hitelesítő alkalmazás
Telefon (iOS- és Android-eszközök)		 Windows 10, 1903-es vagy újabb verzió
Microsoft Entra ID
Mód Platform Szoftver Hardver
Rendszerek és eszközök Számítógép beépített megbízható platformmodullal (TPM)
PIN-kód és biometrikus adatok felismerése		 PIN-kód és biometrikus adatok felismerése telefonon Microsoft-kompatibilis FIDO2 biztonsági eszközök
Felhasználó felület Jelentkezzen be PIN-kóddal vagy biometrikus felismeréssel (arc, írisz vagy ujjlenyomat) Windows-eszközökkel.
A Windows Hello-hitelesítés az eszközhöz van kötve; a felhasználónak szüksége van az eszközre és egy bejelentkezési összetevőre is, például PIN-kódra vagy biometrikus tényezőre a vállalati erőforrások eléréséhez.		 Jelentkezzen be mobiltelefonnal ujjlenyomat-vizsgálattal, arc- vagy íriszfelismeréssel vagy PIN-kóddal.
A felhasználók pc-ről vagy mobiltelefonról jelentkeznek be munkahelyi vagy személyes fiókba.		 Bejelentkezés FIDO2 biztonsági eszközzel (biometrikus adatok, PIN-kód és NFC)
A felhasználó hozzáférhet az eszközhöz a szervezeti vezérlők alapján, és PIN-kód, biometrikus adatok, például USB biztonsági kulcsok és NFC-kompatibilis intelligens kártyák, kulcsok vagy hordható eszközök alapján végezhet hitelesítést.
Engedélyezett forgatókönyvek Jelszó nélküli felhasználói élmény a Windows-eszközökkel.
Dedikált munkahelyi pc-hez használható, amely képes egyszeri bejelentkezést végezni az eszközre és az alkalmazásokra.		 Jelszó nélküli megoldás mobiltelefonnal.
Munkahelyi vagy személyes alkalmazások webes elérésére használható bármilyen eszközről.		 Jelszó nélküli felhasználói élmény a biometrikus adatokat, PIN-kódot és NFC-t használó dolgozók számára.
A megosztott számítógépekre alkalmazható, és ha a mobiltelefon nem járható út (például ügyfélszolgálati személyzet, nyilvános kioszk vagy kórházi csapat)

Az alábbi táblázat segítségével kiválaszthatja, hogy melyik metódus támogatja a követelményeket és a felhasználókat.

Persona Eset Környezet Jelszó nélküli technológia
Rendszergazda Biztonságos hozzáférés egy eszközhöz felügyeleti feladatokhoz Hozzárendelt Windows 10-eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Rendszergazda Felügyeleti feladatok nem Windows rendszerű eszközökön Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Információs feldolgozó Termelékenységi munka Hozzárendelt Windows 10-eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Információs feldolgozó Termelékenységi munka Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Frontline worker Kioszkok egy gyárban, üzemben, kiskereskedelemben vagy adatbevitelben Megosztott Windows 10-eszközök FIDO2 biztonsági kulcsok

Következő lépések

A jelszó nélküli Microsoft Entra-azonosító használatának megkezdéséhez végezze el az alábbi útmutatók egyikét: