在 Microsoft Entra ID 中規劃無密碼驗證部署
密碼是主要的攻擊媒介。 惡意執行者使用社交工程、網路釣魚和噴灑攻擊來破解密碼。 無密碼驗證策略可降低這些攻擊的風險。
Microsoft 提供下列 三個與 Microsoft Entra ID 整合的無密碼驗證選項 :
Microsoft Authenticator - 允許使用者登入任何平臺或瀏覽器,將任何 iOS 或 Android 手機轉換成強式無密碼認證。
符合 FIDO2 規範的安全性密鑰 - 適用於登入 kiosk 等共用電腦的使用者、在電話使用受限的情況下,以及針對高許可權身分識別。
注意
若要使用所有連結建立此方案的離線版本,請使用您的瀏覽器列印至 pdf 功能。
使用無密碼方法精靈
Microsoft Entra 系統管理中心有無密碼方法精靈,可協助您為每個物件選取適當的方法。 如果您尚未判斷適當的方法,請參閱 https://aka.ms/passwordlesswizard,然後返回本文以繼續規劃您選取的方法。 您需要系統管理員許可權才能存取此精靈。
無密碼驗證案例
Microsoft 的無密碼驗證方法可啟用許多案例。 請考慮您的組織需求、必要條件,以及每個驗證方法的功能,以選取無密碼驗證策略。
下表列出裝置類型的無密碼驗證方法。 我們的建議是 粗體斜體。
裝置類型 | 無密碼驗證方法 |
---|---|
專用的非 Windows 裝置 | |
專用 Windows 10 電腦 (版本 1703 和更新版本) | |
專用 Windows 10 電腦(版本 1703 之前) | |
共用裝置:平板電腦和行動裝置 | |
Kiosk(舊版) | Microsoft Authenticator |
Kiosk 與共享電腦 (Windows 10) |
必要條件
開始無密碼部署之前,請確定您符合必要條件。
所需角色
以下是此部署所需的最低特殊許可權角色:
Microsoft Entra 角色 | 描述 |
---|---|
使用者管理員或全域管理員 | 實作合併的註冊體驗。 |
驗證系統管理員 | 實作和管理驗證方法。 |
User | 若要在裝置上設定 Authenticator 應用程式,或註冊 Web 或 Windows 10 登入的安全性密鑰裝置。 |
在此部署計劃中,我們建議為所有 特殊許可權帳戶啟用無密碼驗證。
Microsoft Authenticator 應用程式和安全性密鑰
必要條件取決於您選取的無密碼驗證方法。
必要條件 | Microsoft 驗證器 | FIDO2 安全性金鑰 |
---|---|---|
已啟用 Microsoft Entra 多重要素驗證和自助式密碼重設 (SSPR) 的合併註冊 | √ | √ |
用戶可以執行 Microsoft Entra 多重要素驗證 | √ | √ |
用戶已註冊 Microsoft Entra 多重要素驗證和 SSPR | √ | √ |
用戶已將其行動裝置註冊到 Microsoft Entra 識別碼 | √ | |
Windows 10 版本 1809 或更高版本使用支援的瀏覽器,例如 Microsoft Edge 或 Mozilla Firefox(版本 67 或更高版本)。 Microsoft 建議 1903 版或更新版本進行原生支援。 | √ | |
相容的安全性金鑰。 請確定您使用 Microsoft 測試且已驗證的 FIDO2 安全性密鑰,或其他相容的 FIDO2 安全性金鑰。 | √ |
Windows Hello 企業版
Windows Hello 企業版 的必要條件和部署路徑高度相依於您要在內部部署、混合式或僅限雲端設定中部署。 它也取決於您的裝置加入策略。
選取 Windows Hello 企業版 並完成精靈,以判斷適合您組織的必要條件和部署。
精靈會使用您的輸入來製作逐步計劃,以供您遵循。
規劃專案
當技術項目失敗時,通常是因為對影響、結果和責任的預期不相符。 若要避免這些陷阱, 請確定您參與正確的項目關係人 ,以及專案中的項目關係人角色已充分瞭解。
規劃試驗
當您部署無密碼驗證時,應該先啟用一或多個試驗群組。 您可以特別為此建立群組。 將參與試驗的使用者新增至群組。 然後,為選取的群組啟用新的無密碼驗證方法。 請參閱 試驗的最佳做法。
方案通訊
您對終端使用者的通訊應包含下列資訊:
Microsoft 為終端使用者提供通訊範本。 下載驗證推出數據,以協助起草您的通訊。 推出數據包括可自定義的海報和電子郵件範本,可讓您用來通知用戶組織中即將推出的無密碼驗證選項。
規劃用戶註冊
使用者在的合併安全性資訊工作流程https://aka.ms/mysecurityinfo中註冊其無密碼方法。 Microsoft Entra 會記錄安全性密鑰和 Authenticator 應用程式的註冊,以及驗證方法的任何其他變更。
對於沒有密碼的第一次使用者,系統管理員可以提供 暫時存取密碼 ,以在 中 https://aka.ms/mysecurityinfo 註冊其安全性資訊。 這是限時密碼,且符合強身份驗證需求。 暫時存取傳遞是每個用戶的程式。
當使用者遺失或忘記其驗證要素,例如安全性密鑰或 Authenticator 應用程式,但需要登入以註冊新的強式驗證方法時,也可以使用此方法輕鬆復原。
注意
如果您在某些案例中無法使用安全性密鑰或 Authenticator 應用程式,可以使用使用者名稱和密碼搭配另一個已註冊的方法進行多重要素驗證,做為後援選項。
規劃和部署 Microsoft Authenticator
Microsoft Authenticator 會將任何 iOS 或 Android 手機變成強式無密碼認證。 這是從Google Play或Apple App Store 免費下載。 讓用戶下載 Microsoft Authenticator 並遵循指示來啟用手機登入。
技術考量
Active Directory 同盟服務 (AD FS) 整合 - 當使用者啟用 Authenticator 無密碼認證時,該使用者的驗證預設會傳送通知以供核准。 混合式租使用者中的使用者無法導向 AD FS 進行登入,除非他們選取 [改為使用密碼]。此程式也會略過任何內部部署條件式存取原則,以及傳遞驗證 (PTA) 流程。 不過,如果指定了login_hint,則會將用戶轉送至 AD FS,並略過使用無密碼認證的選項。 對於使用AD FS 進行驗證的非 Microsoft 365 應用程式,將不會套用 Microsoft Entra 條件式存取原則,您必須在 AD FS 內設定存取控制原則。
MFA 伺服器 - 透過組織的內部部署 MFA 伺服器啟用多重要素驗證的終端使用者,可以建立並使用單一無密碼手機登入認證。 如果用戶嘗試使用認證升級驗證器應用程式的多個安裝(5 個以上),這項變更可能會導致錯誤。
重要
在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該使用最新 Azure MFA Server 更新中包含的最新移轉公用程式,將其使用者的驗證數據遷移至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA 伺服器移轉。
裝置註冊 - 若要使用 Authenticator 應用程式進行無密碼驗證,裝置必須在 Microsoft Entra 租使用者中註冊,而且不能是共用裝置。 裝置只能在單一租用戶中註冊。 此限制表示只有一個公司或學校帳戶支援使用 Authenticator 應用程式進行電話登入。
使用 Authenticator 應用程式部署手機登入
請遵循使用 Microsoft Authenticator 啟用無密碼登入一文 中的步驟,在組織中將 Authenticator 應用程式啟用為無密碼驗證方法。
測試驗證器應用程式
以下是使用 Authenticator 應用程式進行無密碼驗證的範例測試案例:
案例 | 預期的結果 |
---|---|
用戶可以註冊 Authenticator 應用程式。 | 用戶可以從 https://aka.ms/mysecurityinfo註冊應用程式。 |
用戶可以啟用手機登入 | 電話 為工作帳戶設定的登入。 |
使用者可以使用手機登入來存取應用程式。 | 用戶通過電話登入流程並到達應用程式。 |
在 Authenticator 應用程式中關閉無密碼登入,以測試回復手機登入註冊。 在 Microsoft Entra 系統管理中心的 [驗證方法] 畫面內執行此動作 | 先前啟用的用戶無法從 Authenticator 應用程式使用無密碼登入。 |
從 Authenticator 應用程式移除手機登入 | Authenticator 應用程式已不再提供工作帳戶。 |
針對手機登入進行疑難解答
狀況 | 解決方法 |
---|---|
用戶無法執行合併註冊。 | 確定 已啟用合併註冊 。 |
使用者無法啟用手機登入驗證器應用程式。 | 確定用戶位於部署範圍內。 |
使用者不在無密碼驗證的範圍內,但會顯示無法完成的無密碼登入選項。 | 在建立原則之前,使用者已在應用程式中啟用手機登入時發生。 若要啟用登入,請將使用者新增至已啟用無密碼登入的使用者群組。 若要封鎖登入:讓使用者從該應用程式移除其認證。 |
規劃和部署符合 FIDO2 規範的安全性金鑰
啟用相容的安全性金鑰。 以下是 FIDO2 安全性金鑰提供者的清單,提供已知與無密碼體驗相容的密鑰。
規劃安全性金鑰生命週期
準備並規劃金鑰生命週期。
密鑰散發 - 規劃如何將金鑰佈建到您的組織。 您可能會有集中式佈建程式,或允許使用者購買 FIDO 2.0 相容的密鑰。
金鑰啟用 - 用戶必須自行啟用安全性金鑰。 終端使用者會在 註冊 https://aka.ms/mysecurityinfo 其安全性密鑰,並在第一次使用時啟用第二個因素(PIN 或生物特徵辨識)。 對於第一次使用者,他們可以使用 TAP 來註冊其安全性資訊。
停用金鑰 - 如果系統管理員想要移除與使用者帳戶相關聯的 FIDO2 金鑰,他們可以刪除使用者的驗證方法中的金鑰,如下所示。 如需詳細資訊,請參閱 停用密鑰
發出新的金鑰:用戶可以前往 來註冊新的 FIDO2 金鑰 https://aka.ms/mysecurityinfo
技術考量
有三種類型的無密碼登入部署可供安全性密鑰使用:
支援的瀏覽器上的 Microsoft Entra Web 應用程式
已加入 Microsoft Entra 的 Windows 10 裝置
已加入 Microsoft Entra 混合式 Windows 10 裝置
- 提供雲端式和內部部署資源的存取權。 如需存取內部部署資源的詳細資訊,請參閱 使用 FIDO2 金鑰對內部部署資源的 SSO
針對 Microsoft Entra Web 應用程式和已加入 Microsoft Entra 的 Windows 裝置,請使用:
Windows 10 版本 1809 或更高版本使用支援的瀏覽器,例如 Microsoft Edge 或 Mozilla Firefox(版本 67 或更高版本)。
Windows 10 版本 1809 支援 FIDO2 登入,而且可能需要部署來自 FIDO2 金鑰製造商的軟體。 建議您使用 1903 版或更新版本。
針對已加入混合式 Microsoft Entra 網域的裝置,請使用:
Windows 10 版本 2004 或更新版本。
執行 Windows Server 2016 或 2019 的完整修補網域伺服器。
最新版本的 Microsoft Entra 連線。
啟用 Windows 10 支援
若要使用 FIDO2 安全性金鑰啟用 Windows 10 登入,您必須在 Windows 10 中啟用認證提供者功能。 選擇下列其中一項:
-
- 我們建議使用 Microsoft Intune 部署。
-
- 如果無法進行 Microsoft Intune 部署,系統管理員必須在每部計算機上部署套件,才能啟用認證提供者功能。 套件安裝可以透過下列其中一個選項來執行:
- 組策略或 Configuration Manager
- Windows 10 電腦上的本機安裝
- 如果無法進行 Microsoft Intune 部署,系統管理員必須在每部計算機上部署套件,才能啟用認證提供者功能。 套件安裝可以透過下列其中一個選項來執行:
-
- 僅支援 Microsoft Entra 混合式已加入裝置。
啟用內部部署整合
請遵循啟用無密碼安全性密鑰登入內部部署資源一文中的步驟(預覽版)。
重要
所有已加入 Microsoft Entra 混合式裝置的這些步驟也必須完成,才能使用適用於 Windows 10 登入的 FIDO2 安全性密鑰。
密鑰限制原則
當您部署安全性密鑰時,可以選擇性地將 FIDO2 金鑰的使用限制在貴組織核准的特定製造商。 限制金鑰需要驗證器證明 GUID (AAGUID)。 有兩種方式可以取得您的AAGUID。
如果安全性金鑰受到限制,且用戶嘗試註冊 FIDO2 安全性金鑰,他們會收到下列錯誤:
如果使用者註冊安全性密鑰之後,AAGUID 受到限制,他們會看到下列訊息:
*金鑰限制原則封鎖的 FIDO2 金鑰
部署 FIDO2 安全性金鑰登入
請遵循啟用無密碼安全性密鑰登入一文中的步驟,在組織中啟用 FIDO2 安全性金鑰作為無密碼驗證方法。
測試安全性金鑰
以下是使用安全性金鑰進行無密碼驗證的範例測試案例。
無密碼 FIDO 登入已加入 Microsoft Entra 的 Windows 10 裝置
案例 (Windows 組建) | 預期的結果 |
---|---|
使用者可以註冊 FIDO2 裝置 (1809) | 用戶可以使用 設定 > 帳戶>登入選項>安全性密鑰來註冊 FIDO2 裝置 |
使用者可以重設 FIDO2 裝置 (1809) | 使用者可以使用製造商軟體重設 FIDO2 裝置 |
使用者可以使用 FIDO2 裝置登入 (1809) | 用戶可以從登入視窗中選取 [安全性密鑰],並成功登入。 |
使用者可以註冊 FIDO2 裝置 (1903) | 用戶可以在 設定 > 帳戶>登入選項 > [安全性金鑰] 註冊 FIDO2 裝置 |
使用者可以重設 FIDO2 裝置 (1903) | 用戶可以在 設定 > 帳戶>登入選項 > [安全性金鑰] 重設 FIDO2 裝置 |
使用者可以使用 FIDO2 裝置登入 (1903) | 用戶可以從登入視窗中選取 [安全性密鑰],並成功登入。 |
無密碼 FIDO 登入 Microsoft Entra Web 應用程式
案例 | 預期的結果 |
---|---|
用戶可以使用 Microsoft Edge 在 aka.ms/mysecurityinfo 註冊 FIDO2 裝置 | 註冊應該成功 |
用戶可以使用 Firefox 在 aka.ms/mysecurityinfo 註冊 FIDO2 裝置 | 註冊應該成功 |
用戶可以使用 Microsoft Edge 使用 FIDO2 裝置在線登入 OneDrive | 登入應該成功 |
用戶可以使用 Firefox 使用 FIDO2 裝置在線登入 OneDrive | 登入應該成功 |
在 Microsoft Entra 系統管理中心的 [驗證方法] 視窗中 關閉 FIDO2 安全性密鑰,以測試回復 FIDO2 裝置註冊 | 使用者會: |
針對安全性金鑰登入進行疑難解答
狀況 | 解決方法 |
---|---|
用戶無法執行合併註冊。 | 確定 已啟用合併註冊 。 |
用戶無法在其 安全性設定中新增安全性密鑰。 | 確定 已啟用安全性金鑰 。 |
用戶無法在 Windows 10 登入選項中新增安全性密鑰。 | 確定已啟用 Windows 登入 的安全性金鑰 |
錯誤訊息:我們偵測到此瀏覽器或OS不支援FIDO2安全性密鑰。 | 無密碼 FIDO2 安全性裝置只能在 Windows 10 1809 版或更高版本的支持瀏覽器(Microsoft Edge、Firefox 第 67 版)中註冊。 |
錯誤訊息:您的公司原則要求您使用不同的方法來登入。 | 確定租使用者中已啟用安全性密鑰。 |
用戶無法在 Windows 10 版本 1809 上管理我的安全性密鑰 | 版本 1809 要求您使用 FIDO2 金鑰廠商所提供的安全性密鑰管理軟體。 請連絡廠商以取得支援。 |
我認為我的 FIDO2 安全性密鑰可能會有缺陷,我該如何測試它。 | 流覽至 https://webauthntest.azurewebsites.net/,輸入測試帳戶的認證、插入可疑的安全性密鑰、選取畫面右上方的 [+] 按鈕、選取 [建立],然後完成建立程式。 如果此案例失敗,您的裝置可能會有缺陷。 |
管理無密碼驗證
若要在 Microsoft Entra 系統管理中心管理使用者的無密碼驗證方法,請選取您的使用者帳戶,然後選取 [驗證方法]。
Microsoft Graph API
您也可以使用 Microsoft Graph 中的驗證方法 API 來管理無密碼驗證方法。 例如:
您可以擷取使用者 FIDO2 安全性金鑰的詳細數據,並在使用者遺失密鑰時將其刪除。
您可以擷取使用者 Authenticator 應用程式註冊的詳細數據,並在用戶遺失手機時將其刪除。
管理安全性金鑰和 Authenticator 應用程式的驗證方法原則。
如需哪些驗證方法可在 Microsoft Graph 中管理的詳細資訊,請參閱 Microsoft Entra 驗證方法 API 概觀。
復原
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
雖然無密碼驗證是輕量型功能,對終端使用者的影響最小,但可能需要復原。
回復需要系統管理員登入 Microsoft Entra 系統管理中心、選取所需的強式驗證方法,並將 [啟用] 選項變更為 [否]。 此程式會關閉所有使用者的無密碼功能。
已註冊 FIDO2 安全性裝置的使用者會在下次登入時提示使用安全性裝置,然後看到下列錯誤:
報告和監視
Microsoft Entra ID 有提供技術和商務見解的報告。 讓您的企業和技術應用程式擁有者假設擁有權,並根據貴組織的需求取用這些報告。
下表提供一些一般報告案例的範例:
管理風險 | 提升生產力 | 治理和合規性 | 其他 |
---|---|---|---|
報表類型 | 驗證方法 - 已註冊合併安全性註冊的使用者 | 驗證方法 – 已註冊應用程式通知的使用者 | 登入:檢閱誰正在存取租使用者以及如何存取 |
潛在動作 | 尚未註冊的目標使用者 | 推動採用 Authenticator 應用程式或安全性密鑰 | 撤銷系統管理員的存取權或強制執行其他安全策略 |
追蹤使用量和深入解析
當下列情況時,Microsoft Entra ID 會將專案新增至稽核記錄:
系統管理員會在 [驗證方法] 區段中進行變更。
使用者在 Microsoft Entra ID 內對其認證進行任何變更。
使用者在安全性金鑰上啟用或停用其帳戶,或重設其 Win 10 計算機上安全性金鑰的第二個因素。 請參閱事件標識碼:4670 和 5382。
Microsoft Entra ID 會保留大部分稽核數據 30 天,並使用 Microsoft Entra 系統管理中心或 API 提供數據,讓您下載到分析系統。 如果您需要較長的保留期,請在 SIEM 工具中匯出和取用記錄,例如 Microsoft Sentinel、Splunk 或 Sumo Logic。 建議您保留較長的保留期,以符合稽核、趨勢分析和其他商務需求
驗證方法活動儀錶板中有兩個索引標籤 - 註冊和使用方式。
[註冊] 索引標籤會顯示能夠進行無密碼驗證的用戶數目,以及其他驗證方法。 此索引標籤會顯示兩個圖表:
由驗證方法註冊的使用者。
以驗證方法最近的註冊。
[使用方式] 索引標籤會依驗證方法顯示登入。
如需詳細資訊,請參閱 追蹤整個 Microsoft Entra 組織的已註冊驗證方法和使用方式。
登入活動報告
使用登入活動報告來追蹤用來登入各種應用程式的驗證方法。
選取使用者數據列,然後選取 [驗證詳細數據 ] 索引卷標,以檢視用於哪一個登入活動的驗證方法。