Sestavení odolnosti pomocí správy přihlašovacích údajů
Když se v požadavku na token zobrazí přihlašovací údaje microsoftu Entra ID, musí být k dispozici více závislostí pro ověření. První faktor ověřování spoléhá na ověřování Microsoft Entra a v některých případech na místní infrastrukturu. Další informace o architekturách hybridního ověřování najdete v tématu Sestavení odolnosti v hybridní infrastruktuře.
Pokud implementujete druhý faktor, závislosti druhého faktoru se přidají do závislostí prvního faktoru. Pokud je váš první faktor například prostřednictvím PTA a druhým faktorem je SMS, jsou vaše závislosti následující.
- Ověřovací služby Microsoft Entra
- Vícefaktorová ověřovací služba Microsoft Entra
- Místní infrastruktura
- operátor Telefon
- Zařízení uživatele (není na obrázku)
Vaše strategie přihlašovacích údajů by měla zvážit závislosti jednotlivých typů ověřování a metod zřizování, které se vyhýbají jedinému bodu selhání.
Vzhledem k tomu, že metody ověřování mají různé závislosti, je vhodné uživatelům umožnit registraci co nejvíce možností druhého faktoru. Pokud je to možné, nezapomeňte zahrnout i druhé faktory s různými závislostmi. Například hlasové hovory a SMS jako druhé faktory sdílejí stejné závislosti, takže jejich použití jako jediné možnosti nezmírňuje riziko.
Nejodolnější strategií přihlašovacích údajů je používat ověřování bez hesla. Windows Hello pro firmy a klíče zabezpečení FIDO 2.0 mají méně závislostí než silné ověřování se dvěma samostatnými faktory. Nejbezpečnější jsou aplikace Microsoft Authenticator, Windows Hello pro firmy a klíče zabezpečení FIDO 2.0.
Pro druhé faktory má aplikace Microsoft Authenticator nebo jiné ověřovací aplikace využívající jednorázové heslo (TOTP) nebo hardwarové tokeny OAuth nejmenší závislosti a jsou proto odolnější.
Jak více přihlašovacích údajů pomáhá odolnost?
Zřizování více typů přihlašovacích údajů poskytuje uživatelům možnosti, které odpovídají jejich preferencím a omezením prostředí. V důsledku toho bude interaktivní ověřování, ve kterém se uživatelům zobrazí výzva k vícefaktorovém ověřování, odolnější vůči nedostupným konkrétním závislostem v době požadavku. Můžete optimalizovat výzvy k opětovnému ověření pro vícefaktorové ověřování.
Kromě odolnosti jednotlivých uživatelů, které jsou popsané výše, by podniky měly plánovat neaktuální přerušení, jako jsou provozní chyby, které představují chybnou konfiguraci, přírodní havárii nebo výpadky prostředků na úrovni podniku pro místní federační službu (zejména při použití pro vícefaktorové ověřování).
Návody implementovat odolné přihlašovací údaje?
- Nasaďte přihlašovací údaje bez hesla, jako jsou Windows Hello pro firmy, ověřování Telefon a klíče zabezpečení FIDO2, abyste snížili závislosti.
- Nasaďte aplikaci Microsoft Authenticator jako druhý faktor.
- Zapněte synchronizaci hodnot hash hesel pro hybridní účty synchronizované ze služby Windows Server Active Directory. Tuto možnost je možné povolit společně s federačními službami, jako je Active Directory Federation Services (AD FS) (AD FS), a v případě selhání federační služby poskytuje náhradní řešení.
- Analýza použití vícefaktorových metod ověřování za účelem zlepšení uživatelského prostředí
- Implementace strategie odolného řízení přístupu
Další kroky
Prostředky odolnosti pro správce a architekty
- Sestavení odolnosti se stavy zařízení
- Zajištění odolnosti pomocí průběžného vyhodnocování přístupu (CAE)
- Sestavení odolnosti při ověřování externích uživatelů
- Sestavení odolnosti v hybridním ověřování
- Zajištění odolnosti v přístupu k aplikacím pomocí proxy aplikací