Možnosti ověřování neheslem pro Azure Active Directory

Funkce, jako je Multi-Factor Authentication (MFA), jsou skvělým způsobem, jak zabezpečit vaši organizaci, ale uživatelé často získají frustrovaní s dodatečnou vrstvou zabezpečení, která si musí pamatovat hesla. Metody ověřování bez hesla jsou pohodlnější, protože heslo se odebírá a nahrazuje něco, co máte, a něco vás nebo něco znáte.

Authentication Něco, co máte Něco, co se vám nebo znáte
Bez hesla Windows 10 klíč zařízení, telefonu nebo zabezpečení Biometrika nebo PIN

Každá organizace má při ověřování jiné požadavky. Microsoft Global Azure a Azure Government nabízí následující tři možnosti ověřování bez hesla, které se integrují s Azure Active Directory (Azure AD):

  • Windows Hello pro firmy
  • Aplikace Microsoft Authenticator
  • FIDO2 klíče zabezpečení

Ověřování: zabezpečení a pohodlí

Windows Hello pro firmy

Windows Hello pro firmy je ideální pro informační pracovníky, kteří mají vlastní určené Windows počítače. Pověření biometriky a PIN kódu jsou přímo vázaná na počítač uživatele, který brání přístupu od jiných osob než vlastník. díky integraci s infrastrukturou veřejných klíčů (PKI) a integrovanou podporou jednotného přihlašování (SSO) Windows Hello pro firmy nabízí pohodlný způsob, jak bezproblémově přistupovat k podnikovým prostředkům místně a v cloudu.

příklad přihlášení uživatele pomocí Windows Hello pro firmy

Následující kroky ukazují, jak proces přihlášení funguje se službou Azure AD:

Diagram, který popisuje kroky týkající se přihlašování uživatelů pomocí Windows Hello pro firmy

  1. uživatel se přihlásí Windows pomocí gesta biometriky nebo PIN kódu. gesto odemkne privátní klíč Windows Hello for Business a pošle se do zprostředkovatele podpory zabezpečení cloud authentication, který se označuje jako poskytovatel cloudového AP.
  2. Zprostředkovatel cloudového přístupového bodu vyžaduje hodnotu NONCE (náhodné libovolné číslo, které lze použít pouze jednou) z Azure AD.
  3. Služba Azure AD vrátí hodnotu NONCE platnou po dobu 5 minut.
  4. Poskytovatel cloudového AP podepíše hodnotu NONCE pomocí privátního klíče uživatele a vrátí hodnotu podepsaná hodnota v rámci služby Azure AD.
  5. Azure AD ověří podepsanou hodnota nonce pomocí zabezpečeného registrovaného veřejného klíče uživatele s podpisem hodnoty nonce. Po ověření signatury ověří služba Azure AD vrácenou znaménku nonce. Když se hodnota nonce ověří, Azure AD vytvoří primární obnovovací token (PRT) s klíčem relace, který se zašifruje na transportní klíč zařízení a vrátí ho do poskytovatele cloudového AP.
  6. Zprostředkovatel cloudového AP obdrží šifrované PRT s klíčem relace. Pomocí privátního transportního klíče zařízení dešifruje zprostředkovatel cloudového AP klíč relace a chrání klíč relace pomocí čipu TPM (Trusted Platform Module) daného zařízení.
  7. Zprostředkovatel cloudového AP vrátí úspěšnou odpověď ověření pro Windows. uživatel pak může získat přístup k Windows i k cloudovým a místním aplikacím, aniž by bylo nutné znovu ověřovat (SSO).

průvodce plánováním Windows Hello pro firmy se dá použít k usnadnění rozhodování o typu nasazení Windows Hello pro firmy a o možnostech, které budete muset vzít v úvahu.

aplikace Microsoft Authenticator

Můžete taky dovolit, aby se telefon od zaměstnance stal metodou ověřování pomocí hesla. kromě hesla už možná používáte aplikaci Microsoft Authenticator jako pohodlný možnost vícefaktorového ověřování. aplikaci Authenticator můžete použít také jako možnost s neplatnými hesly.

přihlášení k Microsoft Edge pomocí aplikace Microsoft Authenticator

aplikace Authenticator přepíná telefon s iOS nebo androidem do silných přihlašovacích údajů bez hesla. Uživatelé se můžou přihlašovat k libovolné platformě nebo prohlížeči tím, že získají oznámení na telefonu, odpovídají číslu zobrazenému na obrazovce na telefonu a pak se pomocí jejich biometriky (dotyky nebo obličeje) nebo kódu PIN ověří. podrobnosti o instalaci najdete v tématu stažení a instalace aplikace Microsoft Authenticator .

ověřování pomocí aplikace Authenticator se stejným způsobem jako Windows Hello pro firmy používá jenom ověřování pomocí hesla. je to trochu složitější, protože je potřeba identifikovat uživatele, aby služba Azure AD mohla najít Microsoft Authenticator verzi aplikace, která se používá:

Diagram, který popisuje kroky týkající se přihlašování uživatelů pomocí aplikace Microsoft Authenticator

  1. Uživatel zadá své uživatelské jméno.
  2. Azure AD zjistí, že uživatel má silné přihlašovací údaje a spustí tok silných přihlašovacích údajů.
  3. Do aplikace se pošle oznámení přes Apple Push Notification Service (APNS) na zařízeních s iOS nebo přes Firebase Cloud Messaging (FCM) na zařízeních s Androidem.
  4. Uživatel obdrží nabízené oznámení a otevře aplikaci.
  5. Aplikace volá Azure AD a obdrží výzvu a hodnotu NONCE pro kontrolu přítomnosti.
  6. Uživatel dokončí výzvu zadáním jejich biometriky nebo PIN kódu k odemknutí privátního klíče.
  7. Hodnota nonce je podepsaná privátním klíčem a pošle zpátky do služby Azure AD.
  8. Azure AD provede ověření veřejného a privátního klíče a vrátí token.

Pokud chcete začít přihlašovat bez hesla, proveďte následující kroky:

FIDO2 klíče zabezpečení

FIDO (Fast IDentity online) Alliance pomáhá zvýšit úroveň otevřených standardů ověřování a snížit používání hesel jako formy ověřování. FIDO2 je nejnovější standard, který zahrnuje standard webového ověřování (WebAuthn).

Klíče zabezpečení FIDO2 jsou nenáročné metody ověřování bez hesla založené na standardech, které mohou být v libovolném formuláři. Rychlá identita online (FIDO) je otevřený standard pro ověřování neheslem. FIDO umožňuje uživatelům a organizacím využít standard pro přihlášení ke svým prostředkům bez uživatelského jména a hesla pomocí externího bezpečnostního klíče nebo klíče platformy integrovaného do zařízení.

Uživatelé můžou zaregistrovat a pak vybrat FIDO2 klíč zabezpečení v přihlašovacím rozhraní jako hlavní způsob ověřování. tyto klíče zabezpečení FIDO2 jsou obvykle zařízeními USB, ale mohou také používat Bluetooth nebo NFC. V případě hardwarového zařízení, které zpracovává ověřování, se zabezpečení účtu zvyšuje, protože není k dispozici žádné heslo, které by mohlo být zveřejněné nebo odhadované.

bezpečnostní klíče FIDO2 se dají použít k přihlášení ke svým službám azure ad nebo k hybridním zařízením Windows 10 připojeným k azure ad a získat tak jednotné přihlašování ke svým cloudovým i místním prostředkům. Uživatelé se také můžou přihlašovat k podporovaným prohlížečům. Klíče zabezpečení FIDO2 představují skvělou možnost pro podniky, které jsou velmi citlivé na zabezpečení, nebo které mají scénáře nebo zaměstnanci, kteří nejsou ochotni nebo nedokázali používat svůj telefon jako druhý faktor.

Máme referenční dokument, který podporuje FIDO2 ověřování pomocí služby Azure AD, a osvědčené postupy pro vývojáře, kteří chtějí podporovat ověřování FIDO2 v aplikacích, které vyvíjí.

přihlaste se k Microsoft Edge pomocí bezpečnostního klíče.

Následující postup se používá, když se uživatel přihlásí pomocí bezpečnostního klíče FIDO2:

Diagram, který popisuje kroky týkající se přihlašování uživatelů pomocí bezpečnostního klíče FIDO2

  1. Uživatel připojí FIDO2 bezpečnostní klíč k počítači.
  2. Windows detekuje bezpečnostní klíč FIDO2.
  3. Windows odešle požadavek na ověření.
  4. Azure AD pošle zpátky hodnotu nonce.
  5. Uživatel dokončí svůj gesto, aby odemkl privátní klíč uložený v zabezpečeném enklávy bezpečnostního klíče FIDO2.
  6. Klíč zabezpečení FIDO2 podepíše hodnoty nonce pomocí privátního klíče.
  7. Požadavek tokenu primární aktualizace tokenu (PRT) s podepsanou hodnotu NONCE se pošle do služby Azure AD.
  8. Azure AD ověří podepsaná hodnota nonce pomocí veřejného klíče FIDO2.
  9. Azure AD vrátí PRT a povolí přístup k místním prostředkům.

FIDO2 zprostředkovatelé zabezpečení klíčů

Následující poskytovatelé nabízejí bezpečnostní klíče FIDO2 různých faktorů, u kterých je známo, že jsou kompatibilní s prostředím bez hesla. Pro vyhodnocení vlastností zabezpečení těchto klíčů doporučujeme, abyste se obrátili na dodavatele i na FIDO Alliance.

Poskytovatel Biometrické USB NFC Bulk Certifikace FIPS Kontakt
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Fei zamísťovat y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NEOWAVE n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Thales Group n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 – Švýcarsko y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Řešení TrustKey y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Poznámka

Pokud si zakoupíte a plánujete používat klíče zabezpečení založené na TECHNOLOGII NFC, budete pro klíč zabezpečení potřebovat podporovanou čtečku NFC. Čtečka NFC není požadavkem ani omezením Azure. Seznam podporovaných čteček NFC vám může zobrazit dodavatel klíče zabezpečení založeného na NFC.

Pokud jste dodavatel a chcete na tento seznam podporovaných zařízení dostat své zařízení, podívejte se na naše pokyny, jak se stát dodavatelem klíče zabezpečení FIDO2 kompatibilním s Microsoftem.

Pokud chcete začít používat klíče zabezpečení FIDO2, proveďte následující postupy:

Podporované scénáře

Platí následující důležité informace:

  • Správci můžou pro svého tenanta povolit metody ověřování bez hesla.

  • Správci můžou cílit na všechny uživatele nebo vybrat uživatele nebo skupiny v rámci jejich tenanta pro každou metodu.

  • Uživatelé mohou tyto metody ověřování bez hesla zaregistrovat a spravovat na portálu svého účtu.

  • Uživatelé se mohou přihlásit pomocí těchto metod ověřování bez hesla:

    • Microsoft Authenticator aplikace: Funguje ve scénářích, kde se používá ověřování Azure AD, včetně ověřování ve všech prohlížečích, během Windows 10 a s integrovanými mobilními aplikacemi v libovolném operačním systému.
    • Klíče zabezpečení: Pracujte na zamykací obrazovce pro Windows 10 a web v podporovaných prohlížečích, jako je Microsoft Edge (starší i nová verze Edge).
  • Uživatelé mohou používat přihlašovací údaje bez hesla pro přístup k prostředkům v tenantech, kde jsou hostem, ale stále mohou být k provedení MFA v tomto tenantovi prostředků potřeba. Další informace najdete v tématu Možné dvojité vícefaktorové ověřování.

  • Uživatelé nemusí registrovat přihlašovací údaje bez hesla v rámci tenanta, ve kterém jsou hostem, stejným způsobem, jakým nemají v tomto tenantovi spravované heslo.

Volba metody bez hesla

Volba mezi těmito třemi možnostmi bez hesla závisí na požadavcích vaší společnosti na zabezpečení, platformu a aplikaci.

Tady je několik faktorů, které byste měli vzít v úvahu při výběru technologie Microsoftu bez hesla:

Windows Hello pro firmy Přihlášení bez hesla s Microsoft Authenticator aplikací Klíče zabezpečení FIDO2
Předpoklady Windows 10 verze 1809 nebo novější
Azure Active Directory
Aplikace Microsoft Authenticator
Telefon (zařízení s iOSem a Androidem se systémem Android 6.0 nebo vyšším))
Windows 10 verze 1903 nebo novější
Azure Active Directory
Režim Platforma Software Hardware
Systémy a zařízení Počítač s integrovaným specifikace TPM (Trusted Platform Module) (TPM)
Rozpoznávání PIN kódu a biometrických údajů
Rozpoznávání PIN kódu a biometrických údajů na telefonu Zařízení zabezpečení FIDO2 kompatibilní s Microsoftem
Uživatelské prostředí Přihlaste se pomocí PIN kódu nebo biometrického rozpoznávání (obličej, iris nebo otisk prstu) pomocí Windows zařízení.
Windows Hello ověřování je vázané na zařízení; uživatel pro přístup k firemním prostředkům potřebuje zařízení i přihlašovací komponentu, jako je PIN nebo biometrické měřítko.
Přihlaste se pomocí mobilního telefonu se skenem otisků prstů, rozpoznáváním obličeje nebo iris nebo PIN kódem.
Uživatelé se ke svému počítači nebo mobilnímu telefonu přihlašují k pracovnímu nebo osobnímu účtu.
Přihlášení pomocí zabezpečovacího zařízení FIDO2 (biometrika, PIN kód a NFC)
Uživatel může přistupovat k zařízení na základě ovládacích prvků organizace a ověřovat ho na základě PIN kódu, biometrika pomocí zařízení, jako jsou bezpečnostní klíče USB a čipové karty s podporou NFC, klíče nebo zařízení, která se šly používat.
Povolené scénáře Prostředí bez hesla s Windows zařízením.
Platí pro vyhrazený pracovní počítač se schopností jednotného přihlašování k zařízení a aplikacím.
Řešení bez hesla s využitím mobilního telefonu
Platí pro přístup k pracovním nebo osobním aplikacím na webu z libovolného zařízení.
Prostředí bez hesla pro pracovníky, kteří používají biometrii, PIN kód a NFC.
Platí pro sdílené počítače a mobilní telefon není vhodná možnost (například pro pracovníky help desky, veřejný veřejný terminál nebo tým nemocnice).

Pomocí následující tabulky vyberte, která metoda bude podporovat vaše požadavky a uživatele.

Persona Scenario Prostředí Technologie bez hesla
Správce Zabezpečený přístup k zařízení pro úlohy správy Přiřazené Windows 10 zařízení Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Správce Úlohy správy na jiných než Windows zařízeních Mobilní zařízení nebo zařízení s windows Přihlášení bez hesla pomocí Microsoft Authenticator aplikace
Informační pracovník Práce na produktivitě Přiřazené Windows 10 zařízení Windows Hello pro firmy a/nebo klíč zabezpečení FIDO2
Informační pracovník Práce na produktivitě Mobilní zařízení nebo zařízení s windows Přihlášení bez hesla pomocí Microsoft Authenticator aplikace
Frontline worker Veřejného terminály v továrně, továrně, maloobchodním prodeji nebo zadávání dat Sdílená Windows 10 zařízení Klíče zabezpečení FIDO2

Další kroky

Pokud chcete začít používat azure AD bez hesla, proveďte jeden z následujících návodů: