Jelszó nélküli hitelesítési lehetőségek a Microsoft Entra-azonosítóhoz

Az olyan funkciók, mint a többtényezős hitelesítés (MFA) nagyszerű módja a szervezet biztonságának, de a felhasználókat gyakran frusztrálja a további biztonsági réteg a jelszavak megjegyzése mellett. A jelszó nélküli hitelesítési módszerek kényelmesebbek, mert a rendszer eltávolítja és lecseréli a jelszót valamire, amit használ, valamint valamit, amit ön vagy amit tud.

Hitelesítés Valami, ami az Öné Valami, amit ismer vagy ismer
Jelszó nélküli Windows 10 Eszköz, telefon vagy biztonsági kulcs Biometrikus vagy PIN-kód

A hitelesítéshez minden szervezetnek más-más igényei vannak. A Microsoft Azure és az Azure Government az alábbi négy jelszó nélküli hitelesítési lehetőséget kínálja, amelyek integrálhatók a Microsoft Entra-azonosítóval:

  • Vállalati Windows Hello
  • Microsoft Authenticator
  • FIDO2 biztonsági kulcsok
  • Tanúsítványalapú hitelesítés

Authentication: Security versus convenience

Vállalati Windows Hello

Vállalati Windows Hello ideális azoknak az információs dolgozóknak, akik saját windowsos számítógéppel rendelkeznek. A biometrikus és PIN-kód hitelesítő adatai közvetlenül a felhasználó számítógépéhez vannak kötve, ami megakadályozza a hozzáférést a tulajdonoson kívül bárkitől. A nyilvános kulcsú infrastruktúra (PKI) integrációjával és az egyszeri bejelentkezés (SSO) beépített támogatásával a Vállalati Windows Hello kényelmes módszert kínál a helyszíni és a felhőbeli vállalati erőforrások zökkenőmentes eléréséhez.

Example of a user sign-in with Windows Hello for Business

Az alábbi lépések bemutatják, hogyan működik a bejelentkezési folyamat a Microsoft Entra-azonosítóval:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. A felhasználó biometrikus vagy PIN-kód kézmozdulattal jelentkezik be a Windowsba. A kézmozdulat feloldja a Vállalati Windows Hello titkos kulcs zárolását, és a rendszer elküldi a Cloud Authentication biztonsági támogatási szolgáltatójának, más néven a Cloud AP-szolgáltatónak.
  2. A felhőbeli AP-szolgáltató a Microsoft Entra-azonosítóból kér egy nem szándékos számot (egy véletlenszerű tetszőleges számot, amelyet csak egyszer lehet használni).
  3. A Microsoft Entra-azonosító egy 5 percig érvényes érvénytelen értéket ad vissza.
  4. A cloud AP-szolgáltató a felhasználó titkos kulcsával írja alá a nonce-t, és visszaadja az aláírt nem elemet a Microsoft Entra-azonosítónak.
  5. A Microsoft Entra ID a felhasználó biztonságosan regisztrált nyilvános kulcsával ellenőrzi az aláírt nem kódot a nem hitelesített aláírással szemben. A Microsoft Entra ID ellenőrzi az aláírást, majd ellenőrzi a visszaadott aláírást. A nem érvényesség ellenőrzésekor a Microsoft Entra ID létrehoz egy elsődleges frissítési jogkivonatot (PRT) az eszköz átviteli kulcsára titkosított munkamenet-kulccsal, és visszaadja azt a felhőbeli AP-szolgáltatónak.
  6. A cloud AP-szolgáltató munkamenet-kulccsal fogadja a titkosított PRT-t. A felhőalapú AP-szolgáltató az eszköz privát átviteli kulcsával fejti vissza a munkamenetkulcsot, és az eszköz megbízható platformmoduljával (TPM) védi a munkamenetkulcsot.
  7. A felhőbeli AP-szolgáltató sikeres hitelesítési választ ad vissza a Windowsnak. A felhasználó ezután anélkül érheti el a Windows, valamint a felhőbeli és helyszíni alkalmazásokat, hogy újra hitelesítésre (SSO) van szüksége.

A Vállalati Windows Hello tervezési útmutatója segítséget nyújt a Vállalati Windows Hello üzembe helyezés típusával és a megfontolandó lehetőségekkel kapcsolatos döntések meghozatalában.

Microsoft Authenticator

Azt is engedélyezheti, hogy az alkalmazott telefonja jelszó nélküli hitelesítési módszer legyen. Előfordulhat, hogy a jelszó mellett az Authenticator alkalmazást is kényelmes többtényezős hitelesítési lehetőségként használja. Az Authenticator alkalmazást jelszó nélküli beállításként is használhatja.

Sign in to Microsoft Edge with the Microsoft Authenticator

Az Authenticator alkalmazás minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokká alakít. A felhasználók bármilyen platformra vagy böngészőbe bejelentkezhetnek úgy, hogy értesítést kapnak a telefonjukról, egyeztetik a képernyőn megjelenő számot a telefonjukon lévő számmal, majd biometrikus (érintéssel vagy arccal) vagy PIN-kóddal megerősítik. A telepítés részleteiért tekintse meg a Microsoft Authenticator letöltését és telepítését.

Az Authenticator alkalmazással történő jelszó nélküli hitelesítés ugyanazt az alapszintű mintát követi, mint Vállalati Windows Hello. Ez egy kicsit bonyolultabb, mivel a felhasználót azonosítani kell, hogy a Microsoft Entra-azonosító megtalálja a használt Authenticator alkalmazásverziót:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. A felhasználó megadja a felhasználónevét.
  2. A Microsoft Entra ID észleli, hogy a felhasználó erős hitelesítő adatokkal rendelkezik, és elindítja az erős hitelesítőadat-folyamatot.
  3. A rendszer értesítést küld az alkalmazásnak iOS-eszközökön az Apple Push Notification Service (APNS) vagy a Firebase Cloud Messaging (FCM) szolgáltatáson keresztül Android-eszközökön.
  4. A felhasználó megkapja a leküldéses értesítést, és megnyitja az alkalmazást.
  5. Az alkalmazás meghívja a Microsoft Entra-azonosítót, és jelenléti igazolási kihívást kap, és nem érkezik meg.
  6. A felhasználó a személyes kulcs zárolásának feloldásához meg kell adnia a biometrikus vagy PIN-kódját.
  7. A nonce a titkos kulccsal van aláírva, és vissza lesz küldve a Microsoft Entra-azonosítóra.
  8. A Microsoft Entra ID nyilvános/titkos kulcsok érvényesítését hajtja végre, és egy jogkivonatot ad vissza.

A jelszó nélküli bejelentkezés megkezdéséhez végezze el az alábbi útmutatót:

FIDO2 biztonsági kulcsok

A FIDO (Fast IDentity Online) Alliance segít előléptetni a nyílt hitelesítési szabványokat, és csökkenteni a jelszavak hitelesítés formájában való használatát. A FIDO2 a legújabb szabvány, amely magában foglalja a webes hitelesítés (WebAuthn) szabványt.

A FIDO2 biztonsági kulcsok a szabványokon alapuló, jelszó nélküli hitelesítési módszerek, amelyek bármilyen formában felhasználhatók. A Fast Identity Online (FIDO) egy nyílt szabvány a jelszó nélküli hitelesítéshez. A FIDO lehetővé teszi a felhasználók és szervezetek számára, hogy a standard használatával felhasználónév vagy jelszó nélkül jelentkezzenek be az erőforrásaikba egy külső biztonsági kulcs vagy egy eszközbe beépített platformkulcs használatával.

A felhasználók regisztrálhatnak, majd kiválaszthatnak egy FIDO2 biztonsági kulcsot a bejelentkezési felületen a hitelesítés fő eszközeként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de bluetooth vagy NFC is használható. A hitelesítést kezelő hardvereszközökkel a fiók biztonsága megnő, mivel nincs olyan jelszó, amely közzétehető vagy kitalálható lenne.

A FIDO2 biztonsági kulcsokkal bejelentkezhet a Microsoft Entra-azonosítójukra vagy a Microsoft Entra hibrid csatlakoztatott Windows 10-eszközökre, és egyszeri bejelentkezést kaphatnak a felhőbeli és helyszíni erőforrásaikra. A felhasználók a támogatott böngészőkbe is bejelentkezhetnek. A FIDO2 biztonsági kulcsok nagyszerű lehetőséget jelentenek az olyan vállalatok számára, amelyek nagyon biztonsági szempontból érzékenyek, vagy olyan forgatókönyvekkel vagy alkalmazottakkal rendelkeznek, akik nem hajlandók vagy nem tudják használni a telefonjukat második tényezőként.

Van egy referenciadokumentumunk, amelyhez a böngészők támogatják a FIDO2-hitelesítést a Microsoft Entra-azonosítóval, és ajánlott eljárásokat kínálunk azoknak a fejlesztőknek, amelyek támogatni szeretnék a FIDO2 hitelesítést az általuk fejlesztett alkalmazásokban.

Sign in to Microsoft Edge with a security key

A rendszer a következő folyamatot használja, amikor egy felhasználó FIDO2 biztonsági kulccsal jelentkezik be:

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. A felhasználó csatlakoztatja a FIDO2 biztonsági kulcsot a számítógépéhez.
  2. A Windows észleli a FIDO2 biztonsági kulcsot.
  3. A Windows hitelesítési kérelmet küld.
  4. A Microsoft Entra ID nem ikszet küld vissza.
  5. A felhasználó végrehajtja a kézmozdulatot a FIDO2 biztonsági kulcs biztonságos enklávéjában tárolt titkos kulcs feloldásához.
  6. A FIDO2 biztonsági kulcs a titkos kulccsal aláírja a nonce-t.
  7. Az elsődleges frissítési jogkivonatra (PRT) vonatkozó, aláírt nem aláírt jogkivonat-kérést a Rendszer elküldi a Microsoft Entra-azonosítónak.
  8. A Microsoft Entra ID a FIDO2 nyilvános kulccsal ellenőrzi az aláírt nem elemet.
  9. A Microsoft Entra ID prT-t ad vissza a helyszíni erőforrásokhoz való hozzáférés engedélyezéséhez.

FIDO2 biztonságikulcs-szolgáltatók

Az alábbi szolgáltatók különböző formátumú FIDO2 biztonsági kulcsokat kínálnak, amelyekről ismert, hogy kompatibilisek a jelszó nélküli felülettel. Javasoljuk, hogy értékelje a kulcsok biztonsági tulajdonságait a szállítóval és a FIDO Szövetséggel való kapcsolatfelvétel útján.

Szolgáltató Biometrikus USB NFC BLE
AuthenTrend y y y y
ACS n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Ensurity y y n n
Excelsecu y y y y
Feitian y y y y
Negyvenesek n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
HID n y y n
HID Enterprise kiadás Z n y y y
Hypersecu n y n n
Hypr y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
Kensington y y n n
KONA I y n y y
NeoWave n y y n
Nymi y n y n
Oktatco y y n n
OneSpan Inc. n y n y
PONE biometriai adatok y n n y
Precíziós biometriai n y n n
RSA n y n n
Sentry n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales-csoport y y y n
Thetis y y y y
Token2 Svájc y y y n
Jogkivonat gyűrűje y n y n
TrustKey-megoldások y y n n
VinCSS n y n n
Wi Standard kiadás CURE Technologies n y n n
Yubico y y y n

Feljegyzés

Ha NFC-alapú biztonsági kulcsokat vásárol és tervez használni, a biztonsági kulcshoz egy támogatott NFC-olvasó szükséges. Az NFC-olvasó nem Azure-követelmény vagy korlátozás. A támogatott NFC-olvasók listájához forduljon az NFC-alapú biztonsági kulcs szállítójához.

Ha Ön szállító, és fel szeretné venni az eszközét a támogatott eszközök listájára, tekintse meg a Microsoft-kompatibilis FIDO2 biztonságikulcs-szállítóvá válással kapcsolatos útmutatónkat.

A FIDO2 biztonsági kulcsok használatának megkezdéséhez végezze el az alábbi útmutatót:

Tanúsítványalapú hitelesítés

A Microsoft Entra tanúsítványalapú hitelesítés (CBA) lehetővé teszi az ügyfelek számára, hogy közvetlenül X.509-tanúsítványokkal hitelesítsék magukat a Microsoft Entra-azonosítójukon az alkalmazásokhoz és a böngészőbe való bejelentkezéshez. A CBA lehetővé teszi az ügyfelek számára, hogy adathalászatnak ellenálló hitelesítést alkalmazzanak, és X.509-tanúsítvánnyal jelentkezzenek be a nyilvános kulcsú infrastruktúrájuk (PKI) ellen.

Diagram of Microsoft Entra certificate-based authentication.

A Microsoft Entra CBA használatának főbb előnyei

Előnyök Leírás
Nagyszerű felhasználói élmény – A tanúsítványalapú hitelesítést igénylő felhasználók mostantól közvetlenül hitelesíthetik magukat a Microsoft Entra-azonosítóval, és nem kell összevont AD FS-be fektetniük.
– A portál felhasználói felülete lehetővé teszi a felhasználók számára, hogy egyszerűen konfigurálják, hogyan képezhetik le a tanúsítványmezőket egy felhasználói objektumattribútumra, hogy megkeresse a felhasználót a bérlőben (tanúsítványnév-kötések)
– A portál felhasználói felülete hitelesítési szabályzatok konfigurálásához, amelyek segítenek meghatározni, hogy mely tanúsítványok egytényezősek és többtényezősek.
Egyszerűen üzembe helyezhető és felügyelhető – A Microsoft Entra CBA egy ingyenes funkció, és a használatához nincs szükség a Microsoft Entra ID fizetős kiadásaira.
- Nincs szükség összetett helyszíni üzembe helyezésre vagy hálózati konfigurációra.
– Közvetlen hitelesítés a Microsoft Entra-azonosítón.
Biztonságossá tétel – A helyszíni jelszavakat semmilyen formában nem kell a felhőben tárolni.
– A Felhasználói fiókok védelme a Microsoft Entra feltételes hozzáférési szabályzataival való zökkenőmentes munkával, beleértve az adathalászatnak ellenálló többtényezős hitelesítést (az MFA licenccel rendelkező kiadást igényel), és blokkolja az örökölt hitelesítést.
- Erős hitelesítési támogatás, ahol a felhasználók hitelesítési szabályzatokat határozhatnak meg a tanúsítványmezőkön keresztül, például a kiállító vagy a szabályzat OID (objektumazonosítók) segítségével annak meghatározásához, hogy mely tanúsítványok minősülnek egytényezősnek a többtényezős helyett.
– A funkció zökkenőmentesen működik a feltételes hozzáférési funkciókkal és a hitelesítés erősségével, hogy kényszerítse az MFA-t a felhasználók védelme érdekében.

Támogatott esetek

A következő forgatókönyvek támogatottak:

  • A felhasználók minden platformon bejelentkeznek böngészőalapú alkalmazásokba.
  • A felhasználók bejelentkeznek az Office-mobilalkalmazásokba iOS-/Android-platformokon, valamint a Windows office natív alkalmazásaiba, például az Outlookba, a OneDrive-ba stb.
  • Felhasználói bejelentkezések mobil natív böngészőkben.
  • A többtényezős hitelesítés részletes hitelesítési szabályainak támogatása a tanúsítványkibocsátó tulajdonosának és szabályzatazonosítóinak használatával.
  • Tanúsítvány-felhasználói fiók kötéseinek konfigurálása a tanúsítványmezők bármelyikével:
    • Tulajdonos másodlagos neve (SAN) PrincipalName és SAN RFC822Name
    • Tárgykulcs-azonosító (SKI) és SHA1PublicKey
  • Tanúsítvány-felhasználó fiók kötéseinek konfigurálása a felhasználói objektum bármely attribútumának használatával:
    • Felhasználó egyszerű neve
    • onPremisesUserPrincipalName
    • CertificateUserIds

Támogatott esetek

A következő szempontokat kell figyelembe venni:

  • Rendszergazda istratorok engedélyezhetik a jelszó nélküli hitelesítési módszereket a bérlőjük számára.
  • Rendszergazda istratorok minden felhasználót megcélzhatnak, vagy kiválaszthatnak felhasználókat/biztonsági csoportokat a bérlőjükön belül minden metódushoz.
  • A felhasználók regisztrálhatják és kezelhetik ezeket a jelszó nélküli hitelesítési módszereket a fiókportáljukon.
  • A felhasználók a következő jelszó nélküli hitelesítési módszerekkel jelentkezhetnek be:
    • Authenticator alkalmazás: Olyan helyzetekben működik, ahol a Microsoft Entra-hitelesítést használják, beleértve az összes böngészőt, a Windows 10 telepítése során, valamint az integrált mobilalkalmazásokat bármely operációs rendszeren.
    • Biztonsági kulcsok: A Windows 10 és az internet zárolási képernyőjén dolgozhat olyan támogatott böngészőkben, mint a Microsoft Edge (örökölt és új Edge).
  • A felhasználók jelszó nélküli hitelesítő adatokkal férhetnek hozzá az erőforrásokhoz azokban a bérlőkben, ahol vendégként szerepelnek, de előfordulhat, hogy továbbra is szükség van az MFA végrehajtására az adott erőforrás-bérlőben. További információ: Lehetséges kettős többtényezős hitelesítés.
  • A felhasználók nem regisztrálhatnak jelszó nélküli hitelesítő adatokat egy olyan bérlőn belül, ahol vendégként szerepelnek, ugyanúgy, mint ahogyan az adott bérlőben nincs jelszó kezelve.

Nem támogatott forgatókönyvek

Javasoljuk, hogy egy felhasználói fiókhoz ne több mint 20 kulcskészletet használjon minden jelszó nélküli metódushoz. A további kulcsok hozzáadásakor a felhasználói objektum mérete nő, és bizonyos műveleteknél romlást tapasztalhat. Ebben az esetben távolítsa el a szükségtelen kulcsokat. További információkért és a kulcsok lekérdezéséhez és eltávolításához használt PowerShell-parancsmagokkal kapcsolatban lásd: WHfBTools PowerShell-modul az árva Vállalati Windows Hello kulcsok eltávolításához. A témakör a /UserPrincipalName opcionális paraméterrel kérdez le csak egy adott felhasználó kulcsait. A szükséges engedélyek rendszergazdaként vagy a megadott felhasználóként futnak.

Ha a PowerShell használatával hoz létre egy CSV-fájlt az összes meglévő kulcssal, gondosan azonosítsa a megtartani kívánt kulcsokat, és távolítsa el ezeket a sorokat a CSV-ből. Ezután a módosított CSV és a PowerShell használatával törölje a fennmaradó kulcsokat, hogy a fiókkulcsok száma a korlát alá kerüljön.

A CSV-ben az "Árva"="True" néven jelentett kulcsok biztonságosan törölhetők. Az árva kulcs egy olyan eszközhöz tartozik, amely már nincs regisztrálva az Entra-azonosítóban. Ha az összes Árva eltávolítása még mindig nem hozza a felhasználói fiókot a korlát alá, meg kell vizsgálnia a "DeviceId" és a "CreationTime" oszlopot, hogy megállapítsa, mely kulcsokat kell törölni. Ügyeljen arra, hogy távolítsa el a CSV-ben a megtartani kívánt kulcsok sorait. A felhasználó által aktívan használt eszközöknek megfelelő DeviceID-kulcsokat a törlési lépés előtt el kell távolítani a CSV-ből.

Jelszó nélküli metódus kiválasztása

A három jelszó nélküli beállítás közötti választás a vállalat biztonsági, platform- és alkalmazáskövetelményeitől függ.

Az alábbiakban néhány tényezőt érdemes figyelembe venni a Microsoft jelszó nélküli technológiájának kiválasztásakor:

Vállalati Windows Hello Jelszó nélküli bejelentkezés az Authenticator alkalmazással FIDO2 biztonsági kulcsok
Előfeltétel Windows 10, 1809-es vagy újabb verzió
Microsoft Entra-azonosító
Hitelesítő alkalmazás
Telefon (iOS- és Android-eszközök)
Windows 10, 1903-es vagy újabb verzió
Microsoft Entra-azonosító
Mód Platform Szoftver Hardver
Rendszerek és eszközök Számítógép beépített megbízható platformmodullal (TPM)
PIN-kód és biometrikus adatok felismerése
PIN-kód és biometrikus adatok felismerése telefonon Microsoft-kompatibilis FIDO2 biztonsági eszközök
Felhasználó felület Jelentkezzen be PIN-kóddal vagy biometrikus felismeréssel (arc, írisz vagy ujjlenyomat) Windows-eszközökkel.
A Windows Hello-hitelesítés az eszközhöz van kötve; a felhasználónak szüksége van az eszközre és egy bejelentkezési összetevőre is, például PIN-kódra vagy biometrikus tényezőre a vállalati erőforrások eléréséhez.
Jelentkezzen be mobiltelefonnal ujjlenyomat-vizsgálattal, arc- vagy íriszfelismeréssel vagy PIN-kóddal.
A felhasználók pc-ről vagy mobiltelefonról jelentkeznek be munkahelyi vagy személyes fiókba.
Bejelentkezés FIDO2 biztonsági eszközzel (biometrikus adatok, PIN-kód és NFC)
A felhasználó hozzáférhet az eszközhöz a szervezeti vezérlők alapján, és PIN-kód, biometrikus adatok, például USB biztonsági kulcsok és NFC-kompatibilis intelligens kártyák, kulcsok vagy hordható eszközök alapján végezhet hitelesítést.
Engedélyezett forgatókönyvek Jelszó nélküli felhasználói élmény a Windows-eszközökkel.
Dedikált munkahelyi pc-hez használható, amely képes egyszeri bejelentkezést végezni az eszközre és az alkalmazásokra.
Jelszó nélküli megoldás mobiltelefonnal.
Munkahelyi vagy személyes alkalmazások webes elérésére használható bármilyen eszközről.
Jelszó nélküli felhasználói élmény a biometrikus adatokat, PIN-kódot és NFC-t használó dolgozók számára.
A megosztott számítógépekre alkalmazható, és ha a mobiltelefon nem járható út (például ügyfélszolgálati személyzet, nyilvános kioszk vagy kórházi csapat)

Az alábbi táblázat segítségével kiválaszthatja, hogy melyik metódus támogatja a követelményeket és a felhasználókat.

Persona Eset Környezet Jelszó nélküli technológia
Rendszergazda Biztonságos hozzáférés egy eszközhöz felügyeleti feladatokhoz Hozzárendelt Windows 10-eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Rendszergazda Felügyeleti feladatok nem Windows rendszerű eszközökön Mobil vagy nem windowsos eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Információs feldolgozó Termelékenységi munka Hozzárendelt Windows 10-eszköz Vállalati Windows Hello és/vagy FIDO2 biztonsági kulcs
Információs feldolgozó Termelékenységi munka Mobil vagy nem windowsos eszköz Jelszó nélküli bejelentkezés az Authenticator alkalmazással
Frontline worker Kioszkok egy gyárban, üzemben, kiskereskedelemben vagy adatbevitelben Megosztott Windows 10-eszközök FIDO2 biztonsági kulcsok

Következő lépések

A jelszó nélküli Microsoft Entra-azonosító használatának megkezdéséhez végezze el az alábbi útmutatók egyikét: