Jelszó nélküli hitelesítés üzembe helyezésének megtervezése a Microsoft Entra-azonosítóban
A jelszavak elsődleges támadási vektorok. A rosszindulatú felhasználók társadalmi manipulációt, adathalászatot és szórásos támadásokat használnak a jelszavak feltöréséhez. A jelszó nélküli hitelesítési stratégia csökkenti az ilyen támadások kockázatát.
A Microsoft az alábbi három jelszó nélküli hitelesítési lehetőséget kínálja, amelyek integrálhatók a Microsoft Entra-azonosítóval:
Microsoft Authenticator – bármely iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokká alakít, lehetővé téve a felhasználók számára, hogy bármilyen platformra vagy böngészőbe bejelentkezhessenek.
FIDO2-kompatibilis biztonsági kulcsok – olyan felhasználók számára hasznos, akik bejelentkeznek a megosztott gépekre, például a kioszkokra, olyan helyzetekben, amikor a telefonok használata korlátozott, és magas jogosultsági szintű identitások esetén.
Vállalati Windows Hello – a legjobb a dedikált Windows rendszerű számítógépek felhasználói számára.
Feljegyzés
Ha minden hivatkozással szeretne offline verziót létrehozni ennek a csomagnak, használja a böngészők nyomtatását pdf-funkcióra.
A jelszó nélküli metódusok varázsló használata
A Microsoft Entra felügyeleti központ egy jelszó nélküli metódusokat tartalmazó varázslóval rendelkezik, amely segít kiválasztani a megfelelő metódust az egyes célközönségek számára. Ha még nem határozta meg a megfelelő metódusokat, tekintse meg https://aka.ms/passwordlesswizard, majd térjen vissza ehhez a cikkhez, és folytassa a kijelölt metódusok tervezését. A varázsló eléréséhez rendszergazdai jogosultságra van szüksége.
Jelszó nélküli hitelesítési forgatókönyvek
A Microsoft jelszó nélküli hitelesítési módszerei számos forgatókönyvet tesznek lehetővé. Vegye figyelembe a szervezeti igényeket, az előfeltételeket és az egyes hitelesítési módszerek képességeit a jelszó nélküli hitelesítési stratégia kiválasztásához.
Az alábbi táblázat a jelszó nélküli hitelesítési módszereket sorolja fel eszköztípusok szerint. Javaslataink félkövér dőlt.
Eszköztípusok | Jelszó nélküli hitelesítési módszer |
---|---|
Dedikált, nem windowsos eszközök | |
Dedikált Windows 10 rendszerű számítógépek (1703-es és újabb verziók) | |
Dedikált Windows 10 rendszerű számítógépek (az 1703-es verzió előtt) | |
Megosztott eszközök: táblagépek és mobileszközök | |
Kioszkok (örökölt) | Microsoft Authenticator |
Kioszkok és megosztott számítógépek (Windows 10) |
Előfeltételek
A jelszó nélküli üzembe helyezés megkezdése előtt győződjön meg arról, hogy megfelel az előfeltételeknek.
Kötelező szerepkörök
Az alábbiakban a legkevésbé kiemelt szerepkörökre van szükség az üzembe helyezéshez:
Microsoft Entra szerepkör | Leírás |
---|---|
Felhasználói rendszergazda vagy globális adminisztrátor | A kombinált regisztrációs folyamat implementálása. |
Hitelesítési rendszergazda | A hitelesítési módszerek implementálása és kezelése. |
User | Az Authenticator alkalmazás konfigurálása az eszközön, vagy a webes vagy Windows 10-bejelentkezés biztonsági kulcsú eszközének regisztrálása. |
Ennek az üzembe helyezési tervnek a részeként javasoljuk, hogy minden kiemelt fiókhoz engedélyezze a jelszó nélküli hitelesítést.
Microsoft Authenticator alkalmazás és biztonsági kulcsok
Az előfeltételeket a kiválasztott jelszó nélküli hitelesítési módszerek határozzák meg.
Előfeltétel | Microsoft Authenticator | FIDO2 biztonsági kulcsok |
---|---|---|
A Microsoft Entra többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítás (SSPR) együttes regisztrációja engedélyezve van | √ | √ |
A felhasználók többtényezős Microsoft Entra-hitelesítést végezhetnek | √ | √ |
A felhasználók regisztráltak a Microsoft Entra többtényezős hitelesítésére és SSPR-re | √ | √ |
A felhasználók regisztrálták mobileszközeiket a Microsoft Entra-azonosítóra | √ | |
Windows 10 1809-es vagy újabb verzió támogatott böngészővel, például Microsoft Edge vagy Mozilla Firefox (67-es vagy újabb verzió). A Microsoft a natív támogatáshoz az 1903-es vagy újabb verziót javasolja. | √ | |
Kompatibilis biztonsági kulcsok. Győződjön meg arról, hogy Microsoft által tesztelt és ellenőrzött FIDO2 biztonsági kulcsot vagy más kompatibilis FIDO2 biztonsági kulcsot használ. | √ |
Vállalati Windows Hello
A Vállalati Windows Hello előfeltételei és üzembehelyezési útvonalai nagymértékben függnek attól, hogy helyszíni, hibrid vagy csak felhőalapú konfigurációban helyezi-e üzembe. Az eszköz csatlakoztatási stratégiájától is függ.
Válassza Vállalati Windows Hello, és végezze el a varázslót a szervezet számára megfelelő előfeltételek és üzembe helyezés meghatározásához.
A varázsló a bemenetekkel készít egy lépésenkénti tervet, amelyet követni fog.
A projekt megtervezése
Ha a technológiai projektek meghiúsulnak, az általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt történik. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek.
Próbaüzem megtervezása
Jelszó nélküli hitelesítés telepítésekor először engedélyeznie kell egy vagy több próbacsoportot. Kifejezetten erre a célra hozhat létre csoportokat. Adja hozzá a próbaüzemben részt vevő felhasználókat a csoportokhoz. Ezután engedélyezze az új jelszó nélküli hitelesítési módszereket a kijelölt csoportok számára. Tekintse meg a próbaüzem ajánlott eljárásait.
Kommunikáció tervezése
A végfelhasználóknak folytatott kommunikációnak a következő információkat kell tartalmaznia:
A Microsoft kommunikációs sablonokat biztosít a végfelhasználók számára. Töltse le a hitelesítési bevezetési anyagot , hogy megkönnyítse a kommunikáció kidolgozását. A bevezetési anyagok testreszabható plakátokat és e-mail-sablonokat tartalmaznak, amelyekkel tájékoztathatja a felhasználókat a közelgő jelszó nélküli hitelesítési lehetőségekről a szervezetben.
Felhasználói regisztráció megtervezve
A felhasználók a jelszó nélküli metódust a kombinált biztonsági információs munkafolyamat részeként regisztrálják a következő helyenhttps://aka.ms/mysecurityinfo: . A Microsoft Entra naplózza a biztonsági kulcsok és az Authenticator alkalmazás regisztrációját, valamint a hitelesítési módszerek egyéb módosításait.
Az első olyan felhasználó számára, aki nem rendelkezik jelszóval, a rendszergazdák megadhatnak egy ideiglenes hozzáférési pin-kódot a biztonsági adataik regisztrálásához.https://aka.ms/mysecurityinfo Ez egy időkorlátos pin-kód, és megfelel az erős hitelesítési követelményeknek. Az ideiglenes hozzáférési jogosultság felhasználónkénti folyamat.
Ez a módszer akkor is használható a könnyű helyreállításhoz, ha a felhasználó elvesztette vagy elfelejtette a hitelesítési tényezőt, például a biztonsági kulcsot vagy az Authenticator alkalmazást, de be kell jelentkeznie egy új erős hitelesítési módszer regisztrálásához.
Feljegyzés
Ha bizonyos helyzetekben nem tudja használni a biztonsági kulcsot vagy az Authenticator alkalmazást, a többtényezős hitelesítés felhasználónévvel és jelszóval, valamint egy másik regisztrált módszerrel tartalék lehetőségként használható.
A Microsoft Authenticator tervezése és üzembe helyezése
A Microsoft Authenticator minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokká alakít. Ingyenesen letölthető a Google Play áruházból vagy az Apple App Store-ból. A felhasználók töltsék le a Microsoft Authenticatort , és kövessék az utasításokat a telefonos bejelentkezés engedélyezéséhez.
Technikai szempontok
Active Directory összevonási szolgáltatások (AD FS) (AD FS) integrációja – Ha egy felhasználó engedélyezi az Authenticator jelszó nélküli hitelesítő adatait, az adott felhasználó hitelesítése alapértelmezés szerint értesítést küld jóváhagyásra. A hibrid bérlőben lévő felhasználók nem irányíthatók az AD FS-be bejelentkezés céljából, kivéve, ha a "Jelszó használata" lehetőséget választják. Ez a folyamat a helyszíni feltételes hozzáférési szabályzatokat és a PTA-folyamatokat is átadja. Ha azonban meg van adva egy login_hint, a rendszer továbbítja a felhasználót az AD FS-nek, és átadja a jelszó nélküli hitelesítő adatok használatára vonatkozó lehetőséget. Az AD FS-t hitelesítéshez használó nem Microsoft 365-alkalmazások esetében a Microsoft Entra feltételes hozzáférési szabályzatai nem lesznek alkalmazva, és hozzáférés-vezérlési szabályzatokat kell beállítania az AD FS-ben.
MFA-kiszolgáló – A szervezet helyszíni MFA-kiszolgálóján keresztül többtényezős hitelesítésre engedélyezett végfelhasználók egyetlen jelszó nélküli telefonos bejelentkezési hitelesítő adatot hozhatnak létre és használhatnak. Ha a felhasználó megkísérli frissíteni az Authenticator alkalmazás több telepítését (5 vagy több) a hitelesítő adatokkal, ez a módosítás hibát okozhat.
Fontos
2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure MFA szolgáltatásba az Azure MFA-kiszolgáló legújabb frissítésében szereplő legújabb Migration Utility használatával. További információ: Azure MFA Server Migration.
Eszközregisztráció – Az Authenticator alkalmazás jelszó nélküli hitelesítéshez való használatához az eszközt regisztrálni kell a Microsoft Entra-bérlőben, és nem lehet megosztott eszköz. Az eszköz csak egyetlen bérlőben regisztrálható. Ez a korlát azt jelenti, hogy az Authenticator alkalmazással való telefonos bejelentkezéshez csak egy munkahelyi vagy iskolai fiók támogatott.
Telefonos bejelentkezés üzembe helyezése az Authenticator alkalmazással
Kövesse a cikk lépéseit: Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával az Authenticator alkalmazás jelszó nélküli hitelesítési módszerként való engedélyezéséhez a szervezetben.
Az Authenticator alkalmazás tesztelése
A hitelesítő alkalmazással történő jelszó nélküli hitelesítéshez az alábbi mintatesztes esetek tartoznak:
Eset | Várt eredmények |
---|---|
A felhasználó regisztrálhatja az Authenticator alkalmazást. | A felhasználó regisztrálhatja az alkalmazást a https://aka.ms/mysecurityinfo. |
A felhasználó engedélyezheti a telefonos bejelentkezést | Telefon munkahelyi fiókhoz konfigurált bejelentkezés. |
A felhasználó hozzáférhet egy alkalmazáshoz telefonos bejelentkezéssel. | A felhasználó végighalad a telefonos bejelentkezési folyamaton, és eléri az alkalmazást. |
Tesztelje a telefonos bejelentkezési regisztráció visszaállítását a jelszó nélküli bejelentkezés kikapcsolásával az Authenticator alkalmazásban. Ezt a Microsoft Entra Felügyeleti központban, a Hitelesítési módszerek képernyőn teheti meg | A korábban engedélyezett felhasználók nem tudják használni a jelszó nélküli bejelentkezést az Authenticator alkalmazásból. |
Telefonos bejelentkezés eltávolítása az Authenticator alkalmazásból | A munkahelyi fiók már nem érhető el az Authenticator alkalmazásban. |
Telefonos bejelentkezés hibaelhárítása
Eset | Megoldás |
---|---|
A felhasználó nem végezhet kombinált regisztrációt. | Győződjön meg arról, hogy a kombinált regisztráció engedélyezve van. |
A felhasználó nem tudja engedélyezni a telefonos bejelentkezési hitelesítő alkalmazást. | Győződjön meg arról, hogy a felhasználó rendelkezik az üzembe helyezés hatókörével. |
A felhasználó nem rendelkezik jelszó nélküli hitelesítés hatókörrel, de jelszó nélküli bejelentkezési lehetőség jelenik meg, amelyet nem tud végrehajtani. | Akkor fordul elő, ha a felhasználó engedélyezte a telefonos bejelentkezést az alkalmazásban a szabályzat létrehozása előtt. A bejelentkezés engedélyezéséhez adja hozzá a felhasználót a jelszó nélküli bejelentkezéshez engedélyezett felhasználói csoporthoz. A bejelentkezés letiltása: a felhasználó távolítsa el a hitelesítő adatait az alkalmazásból. |
FIDO2-kompatibilis biztonsági kulcsok tervezése és üzembe helyezése
Kompatibilis biztonsági kulcsok engedélyezése. Íme a FIDO2 biztonságikulcs-szolgáltatók listája, amelyek olyan kulcsokat biztosítanak, amelyekről ismert, hogy kompatibilisek a jelszó nélküli felülettel.
Biztonsági kulcs életciklusának megtervezése
Készítse elő és tervezze meg a kulcs életciklusát.
Kulcsterjesztés – Tervezze meg, hogyan építhet ki kulcsokat a szervezet számára. Előfordulhat, hogy központi kiépítési folyamat áll rendelkezésre, vagy lehetővé teszi a végfelhasználók számára a FIDO 2.0-kompatibilis kulcsok megvásárlását.
Kulcsaktiválás – A végfelhasználóknak önalá kell aktiválni a biztonsági kulcsot. A végfelhasználók első használatkor regisztrálják a biztonsági kulcsokat https://aka.ms/mysecurityinfo , és engedélyezik a második tényezőt (PIN-kód vagy biometrikus). Az első felhasználók a TAP használatával regisztrálhatják biztonsági adataikat.
Kulcs letiltása – Ha a rendszergazda el szeretné távolítani a felhasználói fiókhoz társított FIDO2-kulcsot, ezt úgy teheti meg, hogy törli a kulcsot a felhasználó hitelesítési módszeréből az alább látható módon. További információ: Kulcs letiltása
Új kulcs kiadása: A felhasználó regisztrálhatja az új FIDO2-kulcsot a következő lépéssel: https://aka.ms/mysecurityinfo
Technikai szempontok
A biztonsági kulcsokkal háromféle jelszó nélküli bejelentkezési üzembe helyezés érhető el:
Microsoft Entra-webalkalmazások támogatott böngészőben
Microsoft Entra csatlakoztatott Windows 10-eszközök
Microsoft Entra hibrid csatlakoztatott Windows 10-eszközök
- Hozzáférést biztosít a felhőalapú és a helyszíni erőforrásokhoz is. A helyszíni erőforrásokhoz való hozzáféréssel kapcsolatos további információkért tekintse meg a helyszíni erőforrások egyszeri bejelentkezését FIDO2-kulcsokkal
A Microsoft Entra webalkalmazások és a Microsoft Entra-hoz csatlakoztatott Windows-eszközök esetén használja a következőt:
Windows 10 1809-es vagy újabb verzió támogatott böngészővel, például Microsoft Edge vagy Mozilla Firefox (67-es vagy újabb verzió).
A Windows 10 1809-es verziója támogatja a FIDO2-bejelentkezést, és szükség lehet a FIDO2 kulcs gyártójának szoftvereinek üzembe helyezésére. Javasoljuk, hogy az 1903-es vagy újabb verziót használja.
Hibrid Microsoft Entra tartományhoz csatlakoztatott eszközök esetén használja a következőt:
Windows 10 2004-es vagy újabb verzió.
Windows Server 2016-ot vagy 2019-et futtató teljes körűen javított tartománykiszolgálók.
A Microsoft Entra Csatlakozás legújabb verziója.
A Windows 10 támogatásának engedélyezése
A Windows 10 FIDO2 biztonsági kulcsokkal való bejelentkezésének engedélyezéséhez engedélyeznie kell a hitelesítőadat-szolgáltató működését a Windows 10-ben. A következők közül választhat:
Hitelesítőadat-szolgáltató engedélyezése a Microsoft Intune-nal
- A Microsoft Intune üzembe helyezését javasoljuk.
Hitelesítőadat-szolgáltató engedélyezése kiépítési csomaggal
- Ha a Microsoft Intune üzembe helyezése nem lehetséges, a rendszergazdáknak minden gépen telepítenie kell egy csomagot a hitelesítőadat-szolgáltató működésének engedélyezéséhez. A csomag telepítése az alábbi lehetőségek egyikével végezhető el:
- Csoportházirend vagy Configuration Manager
- Helyi telepítés Windows 10 rendszerű gépen
- Ha a Microsoft Intune üzembe helyezése nem lehetséges, a rendszergazdáknak minden gépen telepítenie kell egy csomagot a hitelesítőadat-szolgáltató működésének engedélyezéséhez. A csomag telepítése az alábbi lehetőségek egyikével végezhető el:
Hitelesítőadat-szolgáltató engedélyezése csoportházirenddel
- Csak a Microsoft Entra hibrid csatlakoztatott eszközök esetén támogatott.
Helyszíni integráció engedélyezése
Kövesse a cikk lépéseit: Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése a helyszíni erőforrásokba (előzetes verzió)
Fontos
Ezeket a lépéseket minden Hibrid Microsoft Entra-eszköz esetében is végre kell hajtani a FIDO2 biztonsági kulcsok Windows 10-bejelentkezéshez való használatához.
Kulcskorlátozási szabályzat
A biztonsági kulcs telepítésekor a FIDO2-kulcsok használatát opcionálisan csak a szervezet által jóváhagyott gyártókra korlátozhatja. A kulcsok korlátozásához az Authenticator Attestation GUID (AAGUID) szükséges. Az AAGUID kétféleképpen szerezhető be.
Ha a biztonsági kulcs korlátozott, és a felhasználó megpróbálja regisztrálni a FIDO2 biztonsági kulcsot, a következő hibaüzenet jelenik meg:
Ha az AAGUID korlátozott, miután a felhasználó regisztrálta a biztonsági kulcsot, a következő üzenet jelenik meg:
*A FIDO2 kulcsot letiltotta a kulcskorlátozási szabályzat
FIDO2 biztonsági kulcs bejelentkezésének üzembe helyezése
A fido2 biztonsági kulcs jelszó nélküli hitelesítési módszerként való engedélyezéséhez kövesse a cikkben leírt lépéseket.
Biztonsági kulcsok tesztelése
Íme a biztonsági kulcsokkal rendelkező jelszó nélküli hitelesítés mintatesztes esetei.
Jelszó nélküli FIDO-bejelentkezés a Microsoft Entra-hoz csatlakoztatott Windows 10-eszközökre
Forgatókönyv (Windows build) | Várt eredmények |
---|---|
A felhasználó regisztrálhatja a FIDO2-eszközt (1809) | A felhasználó regisztrálhatja a FIDO2-eszközt a Gépház-fiókok >> bejelentkezési beállításainak > biztonsági kulcsával |
A felhasználó alaphelyzetbe állíthatja a FIDO2-eszközt (1809) | A felhasználó gyári szoftverrel alaphelyzetbe állíthatja a FIDO2-eszközt |
A felhasználó bejelentkezhet a FIDO2 eszközzel (1809) | A felhasználó kiválaszthatja a biztonsági kulcsot a bejelentkezési ablakban, és sikeresen bejelentkezhet. |
A felhasználó regisztrálhatja a FIDO2-eszközt (1903) | A felhasználó regisztrálhatja a FIDO2-eszközt Gépház-fiókok >> bejelentkezési beállításainál > biztonsági kulcs |
A felhasználó alaphelyzetbe állíthatja a FIDO2-eszközt (1903) | A felhasználó alaphelyzetbe állíthatja a FIDO2-eszközt Gépház > Fiókok > bejelentkezési beállításai > biztonsági kulcs |
A felhasználó bejelentkezhet a FIDO2-eszközzel (1903) | A felhasználó kiválaszthatja a biztonsági kulcsot a bejelentkezési ablakban, és sikeresen bejelentkezhet. |
Jelszó nélküli FIDO-bejelentkezés a Microsoft Entra-webalkalmazásokba
Biztonsági kulcs bejelentkezésének hibaelhárítása
Eset | Megoldás |
---|---|
A felhasználó nem végezhet kombinált regisztrációt. | Győződjön meg arról, hogy a kombinált regisztráció engedélyezve van. |
A felhasználó nem adhat hozzá biztonsági kulcsot a biztonsági beállításaikhoz. | Győződjön meg arról, hogy a biztonsági kulcsok engedélyezve vannak. |
A felhasználó nem tud biztonsági kulcsot hozzáadni a Windows 10 bejelentkezési beállításaihoz. | Győződjön meg arról, hogy a Windows bejelentkezési biztonsági kulcsai engedélyezve vannak |
Hibaüzenet: Azt észleltük, hogy ez a böngésző vagy operációs rendszer nem támogatja a FIDO2 biztonsági kulcsokat. | A jelszó nélküli FIDO2 biztonsági eszközök csak támogatott böngészőkben (Microsoft Edge, Firefox 67-es verzió) regisztrálhatók a Windows 10 1809-es vagy újabb verziójában. |
Hibaüzenet: A vállalati szabályzat megköveteli, hogy más módszerrel jelentkezzen be. | Győződjön meg arról, hogy a biztonsági kulcsok engedélyezve vannak a bérlőben. |
A felhasználó nem tudja kezelni a biztonsági kulcsomat a Windows 10 1809-es verziójában | Az 1809-es verzióhoz a FIDO2 kulcs szállítója által biztosított biztonságikulcs-kezelő szoftvert kell használnia. Forduljon a szállítóhoz a támogatásért. |
Azt hiszem, a FIDO2 biztonsági kulcs hibás lehet– hogyan tesztelhetem. | Navigáljon, https://webauthntest.azurewebsites.net/adja meg egy tesztfiók hitelesítő adatait, csatlakoztassa a gyanús biztonsági kulcsot, válassza a képernyő jobb felső sarkában található + gombot, válassza a Létrehozás lehetőséget, és haladjon végig a létrehozási folyamaton. Ha ez a forgatókönyv meghiúsul, előfordulhat, hogy az eszköz hibás. |
Jelszó nélküli hitelesítés kezelése
Ha a Microsoft Entra felügyeleti központban szeretné kezelni a felhasználó jelszó nélküli hitelesítési módszereit, válassza ki a felhasználói fiókját, majd válassza a Hitelesítési módszerek lehetőséget.
Microsoft Graph API-k
A jelszó nélküli hitelesítési módszereket a Microsoft Graph hitelesítési módszerek API-jának használatával is kezelheti. Példa:
A felhasználó FIDO2 biztonsági kulcsának adatait lekérheti, és törölheti, ha a felhasználó elvesztette a kulcsot.
A felhasználó Authenticator alkalmazásregisztrációjának adatait lekérheti, és törölheti, ha a felhasználó elvesztette a telefont.
A biztonsági kulcsok és az Authenticator alkalmazás hitelesítési metódusszabályzatainak kezelése.
A Microsoft Graphban kezelhető hitelesítési módszerekről további információt a Microsoft Entra hitelesítési módszerek API-áttekintésében talál.
Visszaállítás
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Bár a jelszó nélküli hitelesítés egy egyszerű funkció, amely minimális hatással van a végfelhasználókra, előfordulhat, hogy vissza kell állítani.
A visszaállításhoz a rendszergazdának be kell jelentkeznie a Microsoft Entra felügyeleti központba, ki kell választania a kívánt erős hitelesítési módszereket, és nemre kell módosítania az engedélyezést. Ez a folyamat kikapcsolja az összes felhasználó jelszó nélküli funkcióit.
Azok a felhasználók, akik már regisztráltak FIDO2 biztonsági eszközöket, a rendszer a következő bejelentkezéskor kéri a biztonsági eszköz használatát, majd a következő hibaüzenet jelenik meg:
Jelentés és monitorozás
A Microsoft Entra ID olyan jelentésekkel rendelkezik, amelyek technikai és üzleti elemzéseket nyújtanak. Adja meg, hogy az üzleti és műszaki alkalmazás tulajdonosai a vállalat igényeinek megfelelően vállalják a jelentések tulajdonjogát és felhasználják ezeket a jelentéseket.
Az alábbi táblázat néhány példát mutat be a tipikus jelentéskészítési forgatókönyvekre:
A kockázatok kezelése | A hatékonyság növelése | Cégirányítás és megfelelőség | egyéb |
---|---|---|---|
Jelentéstípusok | Hitelesítési módszerek – kombinált biztonsági regisztrációra regisztrált felhasználók | Hitelesítési módszerek – alkalmazásértesítésre regisztrált felhasználók | Bejelentkezések: annak áttekintése, hogy ki és hogyan fér hozzá a bérlőhöz |
Lehetséges műveletek | Még nem regisztrált célfelhasználók | Az Authenticator alkalmazás vagy biztonsági kulcsok bevezetésének ösztönzése | Hozzáférés visszavonása vagy további biztonsági szabályzatok kikényszerítése a rendszergazdák számára |
Használat és elemzések nyomon követése
A Microsoft Entra ID a következő esetekben ad hozzá bejegyzéseket az auditnaplókhoz:
A rendszergazda módosításokat hajt végre a Hitelesítési módszerek szakaszban.
A felhasználó bármilyen módon módosítja a hitelesítő adatait a Microsoft Entra-azonosítón belül.
A felhasználó engedélyezi vagy letiltja a fiókját egy biztonsági kulcson, vagy visszaállítja a második tényezőt a win 10-es gépen. Lásd az eseményazonosítókat: 4670 és 5382.
A Microsoft Entra ID 30 napig tárolja a legtöbb naplózási adatot, és a Microsoft Entra felügyeleti központ vagy API használatával teszi elérhetővé az adatokat az elemzési rendszerekbe való letöltéshez. Ha hosszabb megőrzésre van szüksége, exportálja és használja a naplókat egy SIEM-eszközben, például a Microsoft Sentinelben, a Splunkban vagy a Sumo Logicban. Javasoljuk a hosszabb megőrzést a naplózáshoz, a trendelemzéshez és az egyéb üzleti igényekhez, adott esetben
A Hitelesítési módszerek tevékenység irányítópultján két lap található : Regisztráció és használat.
A Regisztráció lapon látható a jelszó nélküli hitelesítésre képes felhasználók száma, valamint az egyéb hitelesítési módszerek. Ez a lap két grafikont jelenít meg:
Hitelesítési módszerrel regisztrált felhasználók.
Legutóbbi regisztráció hitelesítési módszerrel.
A Használat lapon a bejelentkezések hitelesítési módszer szerint jelennek meg.
További információ: regisztrált hitelesítési módszerek és használat nyomon követése a Microsoft Entra-szervezetben.
Bejelentkezési tevékenységjelentések
A bejelentkezési tevékenység jelentésével nyomon követheti a különböző alkalmazásokba való bejelentkezéshez használt hitelesítési módszereket.
Jelölje ki a felhasználói sort, majd válassza a Hitelesítés részletei lapot annak megtekintéséhez, hogy melyik hitelesítési módszert használták a bejelentkezési tevékenységhez.