Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID
Lösenord är en primär attackvektor. Angripare använder social manipulering, nätfiske och sprayattacker för att kompromettera lösenord. En strategi för lösenordsfri autentisering minskar risken för dessa attacker.
Microsoft erbjuder följande tre alternativ för lösenordslös autentisering som integreras med Microsoft Entra-ID:
Microsoft Authenticator – omvandlar alla iOS- eller Android-telefoner till en stark, lösenordslös autentiseringsuppgift genom att tillåta användare att logga in på valfri plattform eller webbläsare.
FIDO2-kompatibla säkerhetsnycklar – användbart för användare som loggar in på delade datorer som kiosker, i situationer där användningen av telefoner är begränsad och för mycket privilegierade identiteter.
Windows Hello för företag – bäst för användare på deras dedikerade Windows-datorer.
Kommentar
Om du vill skapa en offlineversion av den här planen med alla länkar använder du webbläsarens utskrift till pdf-funktioner.
Använda guiden lösenordslösa metoder
Administrationscentret för Microsoft Entra har en guide för lösenordslösa metoder som hjälper dig att välja lämplig metod för var och en av dina målgrupper. Om du ännu inte har fastställt lämpliga metoder går https://aka.ms/passwordlesswizarddu tillbaka till den här artikeln för att fortsätta planera för de valda metoderna. Du behöver administratörsbehörighet för att få åtkomst till den här guiden.
Scenarier med lösenordslös autentisering
Microsofts lösenordslösa autentiseringsmetoder möjliggör många scenarier. Tänk på organisationens behov, förutsättningar och funktionerna i varje autentiseringsmetod för att välja din strategi för lösenordslös autentisering.
I följande tabell visas de lösenordslösa autentiseringsmetoderna efter enhetstyper. Våra rekommendationer är i fet kursiv stil.
| Enhetstyper | Lösenordsfri autentiseringsmetod |
|---|---|
| Dedikerade enheter som inte är windows-enheter | |
| Dedikerade Windows 10-datorer (version 1703 och senare) | |
| Dedikerade Windows 10-datorer (före version 1703) | |
| Delade enheter: surfplattor och mobila enheter | |
| Kiosker (äldre) | Microsoft Authenticator |
| Kiosker och delade datorer (Windows 10) |
Förutsättningar
Se till att du uppfyller kraven innan du startar din lösenordslösa distribution.
Roller som krävs
Här är de minst privilegierade roller som krävs för den här distributionen:
| Microsoft Entra-roll | beskrivning |
|---|---|
| Användaradministratör eller Global administratör | För att implementera kombinerad registrering. |
| Autentiseringsadministratör | För att implementera och hantera autentiseringsmetoder. |
| User | Så här konfigurerar du Authenticator-appen på enheten eller för att registrera en säkerhetsnyckelenhet för webb- eller Windows 10-inloggning. |
Som en del av den här distributionsplanen rekommenderar vi att lösenordslös autentisering aktiveras för alla privilegierade konton.
Microsoft Authenticator-appen och säkerhetsnycklar
Förutsättningarna bestäms av dina valda lösenordslösa autentiseringsmetoder.
| Förutsättning | Microsoft Authenticator | FIDO2-säkerhetsnycklar |
|---|---|---|
| Kombinerad registrering för Microsoft Entra multifaktorautentisering och självbetjäning av lösenordsåterställning (SSPR) är aktiverad | √ | √ |
| Användare kan utföra Microsoft Entra multifaktorautentisering | √ | √ |
| Användare har registrerat sig för Microsoft Entra multifaktorautentisering och SSPR | √ | √ |
| Användare har registrerat sina mobila enheter till Microsoft Entra-ID | √ | |
| Windows 10 version 1809 eller senare med en webbläsare som stöds som Microsoft Edge eller Mozilla Firefox (version 67 eller senare). Microsoft rekommenderar version 1903 eller senare för intern support. | √ | |
| Kompatibla säkerhetsnycklar. Se till att du använder en Microsoft-testad och verifierad FIDO2-säkerhetsnyckel eller en annan kompatibel FIDO2-säkerhetsnyckel. | √ |
Windows Hello för företag
Förutsättningarna och distributionsvägarna för Windows Hello för företag är mycket beroende av om du distribuerar i en lokal, hybrid- eller molnbaserad konfiguration. Den är också beroende av din strategi för enhetsanslutning.
Välj Windows Hello för företag och slutför guiden för att fastställa förutsättningarna och distributionen som är lämpliga för din organisation.
Guiden använder dina indata för att skapa en stegvis plan som du kan följa.
Planera projektet
När teknikprojekt misslyckas beror det vanligtvis på felaktiga förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet är väl förstådda.
Planera en pilot
När du distribuerar lösenordslös autentisering bör du först aktivera en eller flera pilotgrupper. Du kan skapa grupper specifikt för det här ändamålet. Lägg till de användare som ska delta i piloten i grupperna. Aktivera sedan nya lösenordslösa autentiseringsmetoder för de valda grupperna. Se metodtips för en pilot.
Planera kommunikation
Din kommunikation till slutanvändarna bör innehålla följande information:
Microsoft tillhandahåller kommunikationsmallar för slutanvändare. Ladda ned distributionsmaterialet för autentisering som hjälper dig att utarbeta din kommunikation. Distributionsmaterialen innehåller anpassningsbara affischer och e-postmallar som du kan använda för att informera användarna om kommande alternativ för lösenordslös autentisering i din organisation.
Planera användarregistrering
Användare registrerar sin lösenordslösa metod som en del av det kombinerade arbetsflödet för säkerhetsinformation på https://aka.ms/mysecurityinfo. Microsoft Entra loggar registrering av säkerhetsnycklar och Authenticator-appen samt andra ändringar i autentiseringsmetoderna.
För den första användaren som inte har något lösenord kan administratörer ange ett tillfälligt åtkomstlösenord för att registrera sin säkerhetsinformation i https://aka.ms/mysecurityinfo . Detta är ett tidsbegränsat lösenord som uppfyller starka autentiseringskrav. Tillfälligt åtkomstpass är en process per användare.
Den här metoden kan också användas för enkel återställning när användaren har förlorat eller glömt sin autentiseringsfaktor, till exempel säkerhetsnyckeln eller Authenticator-appen, men måste logga in för att registrera en ny stark autentiseringsmetod.
Kommentar
Om du inte kan använda säkerhetsnyckeln eller Authenticator-appen för vissa scenarier kan multifaktorautentisering med användarnamn och lösenord tillsammans med en annan registrerad metod användas som reservalternativ.
Planera för och distribuera Microsoft Authenticator
Microsoft Authenticator omvandlar alla iOS- eller Android-telefoner till en stark, lösenordslös autentiseringsuppgift. Det är en kostnadsfri nedladdning från Google Play eller Apple App Store. Låt användarna ladda ned Microsoft Authenticator och följa anvisningarna för att aktivera telefoninloggning.
Tekniska överväganden
Active Directory Federation Services (AD FS) (AD FS)-integrering – När en användare aktiverar autentiseringsuppgifterna för lösenordslösa autentiseringsuppgifter för autentisering för den användaren skickas som standard ett meddelande om godkännande. Användare i en hybridklientorganisation hindras från att dirigeras till AD FS för inloggning om de inte väljer "Använd ditt lösenord i stället". Den här processen kringgår även eventuella lokala principer för villkorsstyrd åtkomst och direktautentiseringsflöden (PTA). Men om en login_hint anges vidarebefordras användaren till AD FS och kringgår alternativet att använda lösenordslösa autentiseringsuppgifter. För icke-Microsoft 365-program som använder AD FS för autentisering tillämpas inte Microsoft Entras principer för villkorsstyrd åtkomst och du måste konfigurera principer för åtkomstkontroll i AD FS.
MFA-server – Slutanvändare som är aktiverade för multifaktorautentisering via en organisations lokala MFA-server kan skapa och använda en enda lösenordslös autentiseringsautentisering för telefoner. Om användaren försöker uppgradera flera installationer (5 eller fler) av Authenticator-appen med autentiseringsuppgifterna kan den här ändringen resultera i ett fel.
Viktigt!
I september 2022 tillkännagav Microsoft utfasning av Azure Multi-Factor Authentication Server. Från och med den 30 september 2024 kommer Azure Multi-Factor Authentication Server-distributioner inte längre att hantera multifaktorautentiseringsbegäranden, vilket kan leda till att autentiseringar misslyckas för din organisation. För att säkerställa oavbrutna autentiseringstjänster och förbli i ett tillstånd som stöds bör organisationer migrera sina användares autentiseringsdata till den molnbaserade Azure MFA-tjänsten med hjälp av det senaste migreringsverktyget som ingår i den senaste Azure MFA Server-uppdateringen. Mer information finns i Azure MFA Server-migrering.
Enhetsregistrering – Om du vill använda Authenticator-appen för lösenordslös autentisering måste enheten vara registrerad i Microsoft Entra-klientorganisationen och kan inte vara en delad enhet. En enhet kan bara registreras i en enda klientorganisation. Den här gränsen innebär att endast ett arbets- eller skolkonto stöds för telefoninloggning med hjälp av Authenticator-appen.
Distribuera telefoninloggning med Authenticator-appen
Följ stegen i artikeln Aktivera lösenordslös inloggning med Microsoft Authenticator för att aktivera Authenticator-appen som en lösenordslös autentiseringsmetod i din organisation.
Testa Authenticator-appen
Följande är exempel på testfall för lösenordslös autentisering med Authenticator-appen:
| Scenario | Förväntat resultat |
|---|---|
| Användaren kan registrera Authenticator-appen. | Användaren kan registrera appen från https://aka.ms/mysecurityinfo. |
| Användaren kan aktivera telefoninloggning | Telefon inloggning konfigurerad för arbetskonto. |
| Användaren kan komma åt en app med telefoninloggning. | Användaren går igenom flödet för telefoninloggning och når programmet. |
| Testa att återställa registrering av telefoninloggning genom att inaktivera lösenordslös inloggning i Authenticator-appen. Gör detta på skärmen Autentiseringsmetoder i administrationscentret för Microsoft Entra | Tidigare aktiverade användare kan inte använda lösenordslös inloggning från Authenticator-appen. |
| Ta bort telefoninloggning från Authenticator-appen | Arbetskontot är inte längre tillgängligt i Authenticator-appen. |
Felsöka telefoninloggning
| Scenario | Lösning |
|---|---|
| Användaren kan inte utföra kombinerad registrering. | Se till att kombinerad registrering är aktiverad. |
| Användaren kan inte aktivera autentiseringsappen för telefoninloggning. | Se till att användaren är i omfånget för distribution. |
| Användaren är INTE i omfånget för lösenordslös autentisering, men visas med alternativet lösenordslös inloggning som de inte kan slutföra. | Inträffar när användaren har aktiverat telefoninloggning i programmet innan principen skapas. Om du vill aktivera inloggning lägger du till användaren i en grupp användare som är aktiverade för lösenordslös inloggning. Blockera inloggning: låt användaren ta bort sina autentiseringsuppgifter från programmet. |
Planera för och distribuera FIDO2-kompatibla säkerhetsnycklar
Aktivera kompatibla säkerhetsnycklar. Här är en lista över FIDO2-säkerhetsnyckelprovidrar som tillhandahåller nycklar som är kända för att vara kompatibla med den lösenordslösa upplevelsen.
Planera livscykeln för säkerhetsnyckeln
Förbered för och planera nyckellivscykeln.
Nyckeldistribution – Planera hur du etablerar nycklar till din organisation. Du kan ha en centraliserad etableringsprocess eller tillåta slutanvändare att köpa FIDO 2.0-kompatibla nycklar.
Nyckelaktivering – Slutanvändarna måste aktivera säkerhetsnyckeln själv. Slutanvändarna registrerar sina säkerhetsnycklar på https://aka.ms/mysecurityinfo och aktiverar den andra faktorn (PIN-kod eller biometrisk kod) vid första användningen. För förstagångsanvändare kan de använda TAP för att registrera sin säkerhetsinformation.
Inaktivera en nyckel – Om en administratör vill ta bort en FIDO2-nyckel som är associerad med ett användarkonto kan de göra det genom att ta bort nyckeln från användarens autentiseringsmetod enligt nedan. Mer information finns i Inaktivera en nyckel
Utfärda en ny nyckel: Användaren kan registrera den nya FIDO2-nyckeln genom att gå till https://aka.ms/mysecurityinfo
Tekniska överväganden
Det finns tre typer av lösenordslösa inloggningsdistributioner som är tillgängliga med säkerhetsnycklar:
Microsoft Entra-webbappar i en webbläsare som stöds
Microsoft Entra-anslutna Windows 10-enheter
Microsoft Entra Hybrid-anslutna Windows 10-enheter
- Ger åtkomst till både molnbaserade och lokala resurser. Mer information om åtkomst till lokala resurser finns i Enkel inloggning till lokala resurser med FIDO2-nycklar
För Microsoft Entra-webbappar och Microsoft Entra-anslutna Windows-enheter använder du:
Windows 10 version 1809 eller senare med en webbläsare som stöds som Microsoft Edge eller Mozilla Firefox (version 67 eller senare).
Windows 10 version 1809 stöder FIDO2-inloggning och kan kräva att programvara från FIDO2-nyckeltillverkaren distribueras. Vi rekommenderar att du använder version 1903 eller senare.
För microsoft Entra-domänanslutna hybridenheter använder du:
Windows 10 version 2004 eller senare.
Fullständigt korrigerade domänservrar som kör Windows Server 2016 eller 2019.
Senaste versionen av Microsoft Entra Anslut.
Aktivera Windows 10-stöd
Om du aktiverar Windows 10-inloggning med FIDO2-säkerhetsnycklar måste du aktivera funktionerna för autentiseringsprovidern i Windows 10. Välj en av följande:
Aktivera provider för autentiseringsuppgifter med Microsoft Intune
- Vi rekommenderar Microsoft Intune-distribution.
Aktivera provider för autentiseringsuppgifter med ett etableringspaket
- Om Microsoft Intune-distribution inte är möjlig måste administratörer distribuera ett paket på varje dator för att aktivera autentiseringsproviderns funktioner. Paketinstallationen kan utföras med något av följande alternativ:
- Grupprincip eller Configuration Manager
- Lokal installation på en Windows 10-dator
- Om Microsoft Intune-distribution inte är möjlig måste administratörer distribuera ett paket på varje dator för att aktivera autentiseringsproviderns funktioner. Paketinstallationen kan utföras med något av följande alternativ:
Aktivera provider för autentiseringsuppgifter med grupprincip
- Stöds endast för Hybrid-anslutna Microsoft Entra-enheter.
Aktivera lokal integrering
Följ stegen i artikeln Aktivera lösenordslös säkerhetsnyckel logga in på lokala resurser (förhandsversion).
Viktigt!
De här stegen måste också slutföras för att microsoft Entra-hybridanslutna enheter ska kunna använda FIDO2-säkerhetsnycklar för Windows 10-inloggning.
Princip för nyckelbegränsningar
När du distribuerar säkerhetsnyckeln kan du begränsa användningen av FIDO2-nycklar endast till specifika tillverkare som har godkänts av din organisation. För att begränsa nycklar krävs AAGUID (Authenticator Attestation GUID). Det finns två sätt att hämta din AAGUID.
Om säkerhetsnyckeln är begränsad och användaren försöker registrera FIDO2-säkerhetsnyckeln får de följande fel:
Om AAGUID är begränsad efter att användaren har registrerat säkerhetsnyckeln visas följande meddelande:
*FIDO2-nyckel blockerad av princip för nyckelbegränsning
Distribuera inloggning med FIDO2-säkerhetsnycklar
Följ stegen i artikeln Aktivera inloggning med lösenordslös säkerhetsnyckel för att aktivera FIDO2-säkerhetsnyckel som en lösenordslös autentiseringsmetod i din organisation.
Testa säkerhetsnycklar
Här är exempeltestfallen för lösenordslös autentisering med säkerhetsnycklar.
Lösenordslös FIDO-inloggning till Microsoft Entra-anslutna Windows 10-enheter
| Scenario (Windows-version) | Förväntat resultat |
|---|---|
| Användaren kan registrera FIDO2-enhet (1809) | Användaren kan registrera FIDO2-enhet med hjälp av inloggningsalternativ > för Inställningar > konton > säkerhetsnyckel |
| Användaren kan återställa FIDO2-enheten (1809) | Användaren kan återställa FIDO2-enheten med hjälp av tillverkarens programvara |
| Användaren kan logga in med FIDO2-enhet (1809) | Användaren kan välja Säkerhetsnyckel i inloggningsfönstret och logga in. |
| Användaren kan registrera FIDO2-enhet (1903) | Användaren kan registrera FIDO2-enhet på Inställningar > Kontoinloggningsalternativ >> Säkerhetsnyckel |
| Användaren kan återställa FIDO2-enheten (1903) | Användaren kan återställa FIDO2-enheten vid inloggningsalternativen > för Inställningar > konton > |
| Användaren kan logga in med FIDO2-enheten (1903) | Användaren kan välja Säkerhetsnyckel i inloggningsfönstret och logga in. |
Lösenordsfri FIDO-inloggning till Microsoft Entra-webbappar
| Scenario | Förväntat resultat |
|---|---|
| Användaren kan registrera FIDO2-enhet på aka.ms/mysecurityinfo med hjälp av Microsoft Edge | Registreringen bör lyckas |
| Användaren kan registrera FIDO2-enheten på aka.ms/mysecurityinfo med Firefox | Registreringen bör lyckas |
| Användaren kan logga in på OneDrive online med FIDO2-enhet med Hjälp av Microsoft Edge | Inloggningen bör lyckas |
| Användaren kan logga in på OneDrive online med FIDO2-enhet med Firefox | Inloggningen bör lyckas |
| Testa återställning av FIDO2-enhetsregistrering genom att stänga av FIDO2-säkerhetsnycklar i fönstret Autentiseringsmetod i administrationscentret för Microsoft Entra | Användarna kommer att: |
Felsöka inloggning med säkerhetsnycklar
| Scenario | Lösning |
|---|---|
| Användaren kan inte utföra kombinerad registrering. | Se till att kombinerad registrering är aktiverad. |
| Användaren kan inte lägga till en säkerhetsnyckel i sina säkerhetsinställningar. | Kontrollera att säkerhetsnycklar är aktiverade. |
| Användaren kan inte lägga till säkerhetsnyckel i inloggningsalternativ för Windows 10. | Kontrollera att säkerhetsnycklar för Windows-inloggning är aktiverade |
| Felmeddelande: Vi har upptäckt att den här webbläsaren eller operativsystemet inte stöder FIDO2-säkerhetsnycklar. | Lösenordslösa FIDO2-säkerhetsenheter kan bara registreras i webbläsare som stöds (Microsoft Edge, Firefox version 67) på Windows 10 version 1809 eller senare. |
| Felmeddelande: Din företagsprincip kräver att du använder en annan metod för att logga in. | Se till att säkerhetsnycklarna är aktiverade i klientorganisationen. |
| Användaren kan inte hantera min säkerhetsnyckel i Windows 10 version 1809 | Version 1809 kräver att du använder programvaran för hantering av säkerhetsnycklar som tillhandahålls av FIDO2-nyckelleverantören. Kontakta leverantören för support. |
| Jag tror att min FIDO2-säkerhetsnyckel kan vara defekt – hur kan jag testa den. | Gå till https://webauthntest.azurewebsites.net/, ange autentiseringsuppgifter för ett testkonto, anslut den misstänkta säkerhetsnyckeln, välj knappen + längst upp till höger på skärmen, välj skapa och gå igenom skapandeprocessen. Om det här scenariot misslyckas kan enheten vara defekt. |
Hantera lösenordslös autentisering
Om du vill hantera användarens lösenordslösa autentiseringsmetoder i administrationscentret för Microsoft Entra väljer du ditt användarkonto och väljer sedan Autentiseringsmetoder.
Microsoft Graph-API:er
Du kan också hantera de lösenordslösa autentiseringsmetoderna med api:et för autentiseringsmetoder i Microsoft Graph. Till exempel:
Du kan hämta information om en användares FIDO2-säkerhetsnyckel och ta bort den om användaren har förlorat nyckeln.
Du kan hämta information om en användares autentiseringsappregistrering och ta bort den om användaren har förlorat telefonen.
Hantera dina autentiseringsmetodprinciper för säkerhetsnycklar och Authenticator-appen.
Mer information om vilka autentiseringsmetoder som kan hanteras i Microsoft Graph finns i ÖVERSIKT över API för Microsoft Entra-autentiseringsmetoder.
Återställning
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Även om lösenordsfri autentisering är en enkel funktion med minimal påverkan på slutanvändarna kan det vara nödvändigt att återställa.
Återställning kräver att administratören loggar in på administrationscentret för Microsoft Entra, väljer önskade starka autentiseringsmetoder och ändrar alternativet aktivera till Nej. Den här processen inaktiverar de lösenordslösa funktionerna för alla användare.
Användare som redan har registrerat FIDO2-säkerhetsenheter uppmanas att använda säkerhetsenheten vid nästa inloggning och sedan se följande fel:
Rapportering och övervakning
Microsoft Entra ID har rapporter som ger tekniska insikter och affärsinsikter. Låt dina företags- och tekniska programägare överta ägarskapet för och använda dessa rapporter baserat på organisationens krav.
Följande tabell innehåller några exempel på vanliga rapporteringsscenarier:
| Hantera risk | Öka produktiviteten | Styrning och efterlevnad | other |
|---|---|---|---|
| Rapporttyper | Autentiseringsmetoder – användare som registrerats för kombinerad säkerhetsregistrering | Autentiseringsmetoder – användare som registrerats för appavisering | Inloggningar: granska vem som har åtkomst till klientorganisationen och hur |
| Potentiella åtgärder | Målanvändare har ännu inte registrerats | Driva implementering av Authenticator-appen eller säkerhetsnycklar | Återkalla åtkomst eller tillämpa ytterligare säkerhetsprinciper för administratörer |
Spåra användning och insikter
Microsoft Entra-ID lägger till poster i granskningsloggarna när:
En administratör gör ändringar i avsnittet Autentiseringsmetoder.
En användare gör någon form av ändring av sina autentiseringsuppgifter i Microsoft Entra-ID.
En användare aktiverar eller inaktiverar sitt konto på en säkerhetsnyckel eller återställer den andra faktorn för säkerhetsnyckeln på sin Win 10-dator. Se händelse-ID: 4670 och 5382.
Microsoft Entra-ID:t behåller de flesta granskningsdata i 30 dagar och gör data tillgängliga med hjälp av administrationscentret eller API:et för Microsoft Entra som du kan ladda ned till dina analyssystem. Om du behöver längre kvarhållning exporterar och använder du loggar i ett SIEM-verktyg som Microsoft Sentinel, Splunk eller Sumo Logic. Vi rekommenderar längre kvarhållning för granskning, trendanalys och andra affärsbehov efter behov
Det finns två flikar i aktivitetsinstrumentpanelen för autentiseringsmetoder – Registrering och användning.
Fliken Registrering visar antalet användare som kan autentisering utan lösenord samt andra autentiseringsmetoder. På den här fliken visas två diagram:
Användare som registrerats med autentiseringsmetod.
Ny registrering efter autentiseringsmetod.
Fliken Användning visar inloggningar efter autentiseringsmetod.
Mer information finns i Spåra registrerade autentiseringsmetoder och användning i Microsoft Entra-organisationen.
Rapporter om inloggningsaktivitet
Använd inloggningsaktivitetsrapporten för att spåra de autentiseringsmetoder som används för att logga in på de olika programmen.
Välj användarraden och välj sedan fliken Autentiseringsinformation för att visa vilken autentiseringsmetod som användes för vilken inloggningsaktivitet.
