Jelszó nélküli hitelesítési lehetőségek Azure Active Directory

Az olyan funkciók, mint a többtényezős hitelesítés (MFA) kiváló módszert kínálnak a szervezet biztonságának, de a felhasználók gyakran frusztrálják a további biztonsági réteget, amely nem csak a jelszavukat kell megjegyeznie. A jelszó nélküli hitelesítési módszerek kényelmesebbek, mivel a jelszót eltávolítják, és lecserélik egy olyan dologra, ami a felhasználóé, vagy valami, amit ismer.

Hitelesítés Valami, ami az Öné Valami, amit ismer vagy
Jelszó nélküli Windows 10 eszköz-, telefon- vagy biztonsági kulcs Biometrikus vagy PIN-kód

Minden szervezetnek más-más igényei vannak a hitelesítéshez. A Microsoft globális Azure és Azure Government alábbi három jelszó nélküli hitelesítési lehetőséget kínál, amelyek integrálhatók a Azure Active Directory (Azure AD) használatával:

  • Vállalati Windows Hello
  • A Microsoft Authenticator alkalmazás
  • FIDO2 biztonsági kulcsok

Authentication: Security versus convenience

Vállalati Windows Hello

Windows Hello for Business ideális az olyan információkkal dolgozó munkatársak számára, akik saját számítógép Windows vannak. A biometrikus és a PIN-kód hitelesítő adatai közvetlenül a felhasználó számítógépéhez vannak kötve, így a tulajdonoson kívül senki más nem férhet hozzá. A nyilvános kulcsú infrastruktúra (PKI) integrációjával és az egyszeri bejelentkezés (SSO) beépített támogatásával az Windows Hello for Business kényelmes módot kínál a vállalati erőforrások zökkenőmentes eléréséhez a helyszínen és a felhőben.

Example of a user sign-in with Windows Hello for Business

A következő lépések azt mutatják be, hogyan működik a bejelentkezési folyamat az Azure AD-val:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. A felhasználó biometrikus vagy PIN Windows kézmozdulattal jelentkezik be az alkalmazásba. A kézmozdulat feloldja a Windows Hello titkos kulcsának zárolását, és elküldi a felhőalapú hitelesítés biztonsági támogatásszolgáltatójának, a felhőalapú AP-szolgáltatónak.
  2. A Cloud AP-szolgáltató egy "nonce" (véletlenszerű szám, amely csak egyszer használható) kérést kér az Azure AD-től.
  3. Az Azure AD egy 5 percig érvényes nonce értéket ad vissza.
  4. A Cloud AP-szolgáltató a felhasználó titkos kulcsával aláírja az e-mail-kulcsot, és visszaadja az aláírt nonce-t az Azure AD-nek.
  5. Az Azure AD a felhasználó biztonságosan regisztrált nyilvános kulcsának használatával ellenőrzi az aláírt nonce-t a nonce aláírással. Az aláírás ellenőrzése után az Azure AD ellenőrzi a visszaadott aláírt nonce-t. A nonce ellenőrzése után az Azure AD létrehoz egy elsődleges frissítési jogkivonatot (PRT) az eszköz átviteli kulcsára titkosított munkamenetk kulccsal, és visszaküldi azt a felhőalapú AP-szolgáltatónak.
  6. A Cloud AP-szolgáltató fogadja a titkosított PRT-t munkamenetk kulccsal. Az eszköz privát átviteli kulcsának használatával a Cloud AP-szolgáltató visszafejti a munkamenetkulcsot, és az eszköz TPM-platformmegbízhatósági modul védi.
  7. A Cloud AP-szolgáltató sikeres hitelesítési választ ad vissza a Windows. A felhasználó ezután anélkül férhet hozzá Windows felhőbeli és helyszíni alkalmazásokhoz, hogy újra hitelesítenie kellene magát.

Az Windows Hello útmutató segítségével döntéseket hozhat az Windows Hello for Business üzembe helyezésének típusával és a megfontolni kívánt beállításokkal kapcsolatos döntésekhez.

Microsoft Authenticator Alkalmazás

Azt is engedélyezheti, hogy az alkalmazott telefonja jelszó nélküli hitelesítési módszerré váljon. Előfordulhat, hogy a jelszó mellett Microsoft Authenticator többtényezős hitelesítési lehetőségként már használja a Microsoft Authenticator alkalmazást. A jelszó nélküli Authenticator is használhatja a Authenticator alkalmazást.

Sign in to Microsoft Edge with the Microsoft Authenticator app

A Authenticator alkalmazás minden iOS- vagy Android-telefont erős, jelszó nélküli hitelesítő adatokra vált. A felhasználók bármely platformra vagy böngészőbe bejelentkeznek, ha értesítést küld a telefonjuknak, egyeztetik a képernyőn megjelenő számot a telefonjukkal, majd a biometrikus (érintési vagy arc-) vagy PIN-kódjuk használatával megerősítik. A telepítés részleteiért tekintse meg a Microsoft Authenticator alkalmazás letöltésével és telepítésével kapcsolatos útmutatót.

Az Authenticator alkalmazással való jelszó nélküli hitelesítés ugyanazt az alapszintű mintát követi, mint Windows Hello Vállalati verzióban. Ez egy kicsit bonyolultabb, mivel a felhasználót azonosítani kell, hogy az Azure AD megtalálja Microsoft Authenticator használt alkalmazásverziót:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. A felhasználó beírja a felhasználónevét.
  2. Az Azure AD észleli, hogy a felhasználó erős hitelesítő adatokkal rendelkezik, és elindítja az Erős hitelesítő adatok folyamatot.
  3. A rendszer iOS-eszközökön Apple Push Notification Service (APNS) vagy Android-eszközökön a Firebase Cloud Messaging (FCM) használatával értesítést küld az alkalmazásnak.
  4. A felhasználó megkapja a leküldéses értesítést, és megnyitja az alkalmazást.
  5. Az alkalmazás behívja az Azure AD-t, és egy jelenléti igazolási feladatot és nonce-t kap.
  6. A felhasználó a biometrikus vagy PIN-kód megadásával oldja fel a titkos kulcs feloldásához szükséges feladatot.
  7. A nonce a titkos kulccsal van aláírva, és vissza lesz küldve az Azure AD-nek.
  8. Az Azure AD végrehajtja a nyilvános/titkos kulcs érvényesítését, és egy jogkivonatot ad vissza.

A jelszó nélküli bejelentkezés első lépésekhez használja az alábbi lépéseket:

FIDO2 biztonsági kulcsok

A FIDO (Fast IDentity Online) Alliance segít a nyílt hitelesítési szabványok népszerűsítésében és a jelszavak hitelesítési formaként való használatának csökkentésében. A FIDO2 a legújabb szabvány, amely magában foglalja a webes hitelesítési (WebAuthn) szabványt.

A FIDO2 biztonsági kulcsok egy unphishable standards-based passwordless authentication method that can come in any form factor. A gyors identitás online (FIDO) a jelszó nélküli hitelesítés nyílt szabványa. A FIDO lehetővé teszi a felhasználók és a szervezetek számára, hogy a szabvány alapján felhasználónév vagy jelszó nélkül jelentkezzenek be az erőforrásaikba egy külső biztonsági kulcs vagy egy eszközbe épített platformkulcs használatával.

A felhasználók a bejelentkezési felületen regisztrálnak, majd kiválasztják a FIDO2 biztonsági kulcsot a fő hitelesítési módszerként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de használhatnak Bluetooth NFC-t is. A hitelesítést kezelő hardvereszközökkel növelhető a fiók biztonsága, mivel nincs elérhető vagy kitalálható jelszó.

A FIDO2 biztonsági kulcsokkal bejelentkezhet az Azure AD-be vagy a hibrid Azure AD-hez Windows 10-eszközeikre, és egyszeri bejelentkezést kaphat a felhőbeli és helyszíni erőforrásaikba. A felhasználók a támogatott böngészőkbe is bejelentkeznek. A FIDO2 biztonsági kulcsok kiváló megoldást kínálnak olyan vállalatok számára, akik nagyon érzékenyek a biztonságra, vagy olyan forgatókönyvekkel vagy alkalmazottakkal vannak, akik nem hajlandóak vagy nem tudják második tényezőként használni a telefonjukat.

Van egy referenciadokumentumunk, amelyben a böngészők támogatják az Azure AD-vel való FIDO2-hitelesítést, valamint ajánlott eljárásokat a fejlesztők számára, akik támogatni szeretnék a FIDO2-hitelesítéstaz általuk fejlesztett alkalmazásokban.

Sign in to Microsoft Edge with a security key

A rendszer a következő folyamatot használja, amikor egy felhasználó FIDO2 biztonsági kulccsal jelentkezik be:

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. A felhasználó csatlakoztatja a FIDO2 biztonsági kulcsot a számítógépéhez.
  2. Windows a FIDO2 biztonsági kulcsot.
  3. Windows küld hitelesítési kérelmet.
  4. Az Azure AD visszaküld egy értesítést.
  5. A felhasználó befejezi a FIDO2 biztonsági kulcs biztonságos enklávéjában tárolt titkos kulcs feloldására tett kézmozdulatot.
  6. A FIDO2 biztonsági kulcs aláírja a nonce-t a titkos kulccsal.
  7. A rendszer az elsődleges frissítési jogkivonatra (PRT) vonatkozó jogkivonatkérést (nonce) elküldi az Azure AD-nek.
  8. Az Azure AD a FIDO2 nyilvános kulccsal ellenőrzi az aláírt nonce-t.
  9. Az Azure AD prT-t ad vissza a helyszíni erőforrásokhoz való hozzáférés engedélyezéséhez.

FIDO2 biztonsági kulcsszolgáltatók

Az alábbi szolgáltatók különböző, a jelszó nélküli felhasználói élményről ismert, különböző méretű FIDO2 biztonsági kulcsokat kínálnak. Javasoljuk, hogy mérje fel a kulcsok biztonsági tulajdonságait a szállítótól és a FIDO Alliancetól.

Szolgáltató Biometrikus USB NFC BLE FIPS Certified Kapcsolattartó
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Biztonság y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian (Feitian) y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
WAVEWAVE n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Thales Group n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 Svájc y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Megbízhatóságikulcs-megoldások y y n n n https://www.trustkeysolutions.com/security-keys/
FogCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Megjegyzés

Ha NFC-alapú biztonsági kulcsokat vásárol és tervez használni, a biztonsági kulcshoz egy támogatott NFC-olvasóra lesz szüksége. Az NFC-olvasó nem azure-követelmény vagy -korlátozás. A támogatott NFC-olvasók listáját az NFC-alapú biztonsági kulcs szállítójával kell ellenőriznie.

Ha Ön szállító, és fel szeretné sorolni az eszközét a támogatott eszközök listájára, tekintse meg a Microsoft-kompatibilis FIDO2biztonsági kulcs szállítóvá való felvételével kapcsolatos útmutatót.

A FIDO2 biztonsági kulcsokkal való első lépésekhez az alábbi lépéseket kell végrehajtania:

Támogatott esetek

A következő szempontokat kell figyelembe venni:

  • A rendszergazdák engedélyezhetik a jelszó nélküli hitelesítési módszereket a bérlőjük számára.

  • A rendszergazdák az összes felhasználót megcélhatják, vagy a bérlőjükben kiválaszthatják a felhasználókat/csoportokat az egyes módszerekhez.

  • A felhasználók a fiókportáljukon regisztrálják és kezelhetik ezeket a jelszó nélküli hitelesítési módszereket.

  • A felhasználók a következő jelszó nélküli hitelesítési módszerekkel jelentkeznek be:

    • Microsoft Authenticator alkalmazás: Olyan forgatókönyvekben működik, ahol Azure AD-hitelesítést használnak, beleértve az összes böngészőt, az Windows 10 telepítése során, valamint integrált mobilalkalmazásokkal bármely operációs rendszeren.
    • Biztonsági kulcsok: Zárolási képernyőn dolgozhat a Windows 10 és a weben a támogatott böngészőkben, például Microsoft Edge (örökölt és új Edge) böngészőkben.
  • A felhasználók jelszó nélküli hitelesítő adatokkal férhetnek hozzá a vendégként használt bérlők erőforrásaihoz, de előfordulhat, hogy az adott erőforrás-bérlőben továbbra is MFA-műveletet kell végrehajtaniuk. További információ: Lehetséges dupla többtényezős hitelesítés.

  • Előfordulhat, hogy a felhasználók nem regisztrálnak jelszó nélküli hitelesítő adatokat abban a bérlőben, ahol vendégként vannak, ugyanúgy, ahogyan az adott bérlőben nem rendelkezik jelszóval.

Jelszó nélküli módszer kiválasztása

A három jelszó nélküli lehetőség közötti választás a vállalat biztonsági, platform- és alkalmazáskövetelményeitől függ.

A Jelszó nélküli Microsoft-technológia kiválasztásakor az alábbi tényezőket kell figyelembe vennie:

Vállalati Windows Hello Jelszó nélküli bejelentkezés az Microsoft Authenticator alkalmazással FIDO2 biztonsági kulcsok
Előfeltétel Windows 10, 1809-es verzió vagy újabb
Azure Active Directory
A Microsoft Authenticator alkalmazás
Telefon (Android 6.0-s vagy azt futtató iOS- és Android-eszközök).)
Windows 10 1903-as vagy újabb verzió
Azure Active Directory
Mód Platform Szoftverek Hardver
Rendszerek és eszközök Számítógép beépített platformmegbízhatósági modul (TPM)
PIN-kód és biometrikus azonosítás
PIN-kód és biometrikus azonosítás telefonon A Microsoft-kompatibilis FIDO2 biztonsági eszközök
Felhasználó felület Bejelentkezés PIN-kód vagy biometrikus felismerés (arc, írisz vagy ujjlenyomat) használatával az Windows eszközökkel.
Windows Hello hitelesítés az eszközhöz van kötve; a felhasználónak az eszközre és egy bejelentkezési összetevőre is szüksége van, például egy PIN-kódra vagy biometriai tényezőre a vállalati erőforrások eléréséhez.
Bejelentkezés mobiltelefonnal ujjlenyomat-vizsgálattal, arc- vagy íriszfelismeréssel vagy PIN-kódot használva.
A felhasználók a számítógépükről vagy mobiltelefonjukról jelentkeznek be munkahelyi vagy személyes fiókjukba.
Bejelentkezés FIDO2 biztonsági eszközzel (biometrikus, PIN-kód és NFC)
A felhasználó a szervezeti vezérlők alapján férhet hozzá az eszközhöz, és PIN-kód, biometrikus adatok, például USB biztonsági kulcsok és NFC-kompatibilis intelligens kártyák, kulcsok vagy elhasználható eszközök használatával hitelesítheti magát.
Engedélyezett forgatókönyvek Jelszó nélkül a Windows használata.
Az eszközökre és alkalmazásokba való egyszeri bejelentkezésre képes dedikált munkahelyi számítógépekre vonatkozik.
Jelszó nélkül, bárhol megoldás mobiltelefon használatával.
A weben található munkahelyi vagy személyes alkalmazások bármely eszközről való elérésére vonatkozik.
Jelszó nélküli felhasználói élmény biometrikus, PIN-kódot és NFC-t használó dolgozók számára.
Megosztott számítógépekre vonatkozik, és ha a mobiltelefon nem használható lehetőség (például ügyfélszolgálati munkatársak, nyilvános kioszkok vagy kórházcsapatok esetén)

Az alábbi táblázat segítségével kiválaszthatja, hogy melyik módszer támogatja a követelményeket és a felhasználókat.

Persona Eset Környezet Jelszó nélküli technológia
Felügyelet Biztonságos hozzáférés egy eszközhöz felügyeleti feladatokhoz Hozzárendelt Windows 10 eszköz Windows Hello és/vagy FIDO2 biztonsági kulcs
Felügyelet Felügyeleti feladatok nem Windows eszközökön Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Microsoft Authenticator alkalmazással
Információ-feldolgozó Hatékonyságnövelő munka Hozzárendelt Windows 10 eszköz Windows Hello és/vagy FIDO2 biztonsági kulcs
Információ-feldolgozó Hatékonyságnövelő munka Mobil vagy nem Windows rendszerű eszköz Jelszó nélküli bejelentkezés az Microsoft Authenticator alkalmazással
Frontline Worker Kioszkok egy gyárban, üzemben, kiskereskedelemben vagy adatbevitelben Megosztott Windows 10 eszközök FIDO2 biztonsági kulcsok

Következő lépések

Az Azure AD jelszó nélküli használatának első lépésekhez az alábbi lépések egyikét kell végrehajtania: