Verificatieopties zonder wachtwoord voor Azure Active Directory

Functies zoals Meervoudige verificatie (MFA) zijn een uitstekende manier om uw organisatie te beveiligen, maar gebruikers raken vaak gefrustreerd door de extra beveiligingslaag naast het onthouden van hun wachtwoorden. Verificatiemethoden zonder wachtwoord zijn handiger omdat het wachtwoord wordt verwijderd en vervangen door iets dat u hebt, plus iets dat u bent of iets dat u weet.

Verificatie Iets dat u hebt Iets dat u bent of weet
Zonder wachtwoord Windows 10 apparaat-, telefoon- of beveiligingssleutel Biometrische gegevens of pincode

Elke organisatie heeft andere behoeften op het gebied van verificatie. Microsoft Global Azure en Azure Government bieden de volgende drie verificatieopties zonder wachtwoord die kunnen worden geïntegreerd met Azure Active Directory (Azure AD):

  • Windows Hello voor Bedrijven
  • Microsoft Authenticator-app
  • FIDO2-beveiligingssleutels

Authentication: Security versus convenience

Windows Hello voor Bedrijven

Windows Hello for Business is ideaal voor informatiemedewerkers met hun eigen aangewezen Windows PC. De biometrische gegevens en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor de toegang van niemand anders dan de eigenaar wordt voorkomen. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello for Business een handige methode voor naadloze toegang tot bedrijfsresources on-premises en in de cloud.

Example of a user sign-in with Windows Hello for Business

De volgende stappen laten zien hoe het aanmeldingsproces werkt met Azure AD:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. Een gebruiker meldt zich aan Windows met behulp van biometrische gegevens of pincodebewegingen. De beweging ontgrendelt de Windows Hello persoonlijke sleutel voor Bedrijven en wordt verzonden naar de cloudverificatie-beveiligingsondersteuningsprovider, ook wel de Cloud AP-provider genoemd.
  2. De Cloud AP-provider vraagt een nonce (een willekeurig willekeurig nummer dat slechts één keer kan worden gebruikt) aan bij Azure AD.
  3. Azure AD retourneert een nonce die vijf minuten geldig is.
  4. De Cloud AP-provider ondertekent de nonce met behulp van de persoonlijke sleutel van de gebruiker en retourneert de ondertekende nonce naar De Azure AD.
  5. Azure AD valideert de ondertekende nonce met behulp van de veilig geregistreerde openbare sleutel van de gebruiker op basis van de nonce-handtekening. Nadat de handtekening is gevalideerd, valideert Azure AD de geretourneerde ondertekende nonce. Wanneer de nonce wordt gevalideerd, maakt Azure AD een primair vernieuwings token (PRT) met een sessiesleutel die is versleuteld met de transportsleutel van het apparaat en retourneert het naar de Cloud AP-provider.
  6. De Cloud AP-provider ontvangt de versleutelde PRT met sessiesleutel. Met behulp van de persoonlijke transportsleutel van het apparaat ontsleutelt de Cloud AP-provider de sessiesleutel en bebeveiligen ze de sessiesleutel met behulp van de Trusted Platform Module (TPM).
  7. De Cloud AP-provider retourneert een geslaagde verificatiereactie voor Windows. De gebruiker kan vervolgens toegang krijgen tot Windows toepassingen in de cloud en on-premises zonder dat de gebruiker zich opnieuw hoeft te verifiëren.

De Windows Hello for Business-planningshandleiding kan worden gebruikt om u te helpen bij het nemen van beslissingen over het type Windows Hello for Business-implementatie en de opties die u moet overwegen.

Microsoft Authenticator app

U kunt ook toestaan dat de telefoon van uw werknemer een verificatiemethode zonder wachtwoord wordt. Mogelijk gebruikt u de Microsoft Authenticator-app al als een handige optie voor meervoudige verificatie naast een wachtwoord. U kunt de app Authenticator gebruiken als een optie zonder wachtwoord.

Sign in to Microsoft Edge with the Microsoft Authenticator app

De Authenticator-app verandert een iOS- of Android-telefoon in een sterke, wachtwoordloze referentie. Gebruikers kunnen zich aanmelden bij elk platform of elke browser door een melding op hun telefoon te ontvangen, een nummer dat op het scherm wordt weergegeven, te koppelen aan het nummer op hun telefoon en vervolgens hun biometrische gegevens (aanraken of gezicht) of pincode te gebruiken om te bevestigen. Raadpleeg Download and install the Microsoft Authenticator app (De app downloaden Microsoft Authenticator installeren) voor installatiegegevens.

Verificatie zonder wachtwoord met behulp van Authenticator app volgt hetzelfde basispatroon als Windows Hello for Business. Het is iets gecompliceerder omdat de gebruiker moet worden geïdentificeerd, zodat Azure AD de gebruikte app-Microsoft Authenticator kan vinden:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. De gebruiker voert zijn gebruikersnaam in.
  2. Azure AD detecteert dat de gebruiker een sterke referentie heeft en start de stroom Sterke referentie.
  3. Er wordt een melding naar de app verzonden via Apple Push Notification Service (APNS) op iOS-apparaten of via Firebase Cloud Messaging (FCM) op Android-apparaten.
  4. De gebruiker ontvangt de pushmelding en opent de app.
  5. De app roept Azure AD aan en ontvangt een proof-of-presence-uitdaging en nonce.
  6. De gebruiker voltooit de uitdaging door zijn biometrische of pincode in te vullen om de persoonlijke sleutel te ontgrendelen.
  7. De nonce is ondertekend met de persoonlijke sleutel en teruggestuurd naar Azure AD.
  8. Azure AD voert validatie van de openbare/persoonlijke sleutel uit en retourneert een token.

Voltooi de volgende stappen om aan de slag te gaan met aanmelden zonder wachtwoord:

FIDO2-beveiligingssleutels

De FIDO (Fast IDentity Online) Alliance helpt bij het promoten van open verificatiestandaarden en het verminderen van het gebruik van wachtwoorden als een vorm van verificatie. FIDO2 is de meest recente standaard die de webverificatiestandaard (WebAuthn) bevat.

FIDO2-beveiligingssleutels zijn een niet-afbreekstreeste verificatiemethode op basis van wachtwoorden die in elke vorm kan worden gebruikt. Fast Identity Online (FIDO) is een open standaard voor verificatie zonder wachtwoord. Met FIDO kunnen gebruikers en organisaties gebruikmaken van de standaard om zich bij hun resources aan te melden zonder een gebruikersnaam of wachtwoord met behulp van een externe beveiligingssleutel of een platformsleutel die is ingebouwd in een apparaat.

Gebruikers kunnen zich registreren en vervolgens een FIDO2-beveiligingssleutel selecteren bij de aanmeldingsinterface als hun belangrijkste verificatiemethode. Deze FIDO2-beveiligingssleutels zijn doorgaans USB-apparaten, maar kunnen ook gebruikmaken Bluetooth of NFC. Met een hardwareapparaat dat de verificatie afhandelt, wordt de beveiliging van een account verhoogd omdat er geen wachtwoord is dat kan worden blootgesteld of geraden.

FIDO2-beveiligingssleutels kunnen worden gebruikt om zich aan te melden bij hun azure AD- of hybride Azure AD-apparaten die zijn Windows 10 en om een aanmelding te krijgen bij hun cloud- en on-premises resources. Gebruikers kunnen zich ook aanmelden bij ondersteunde browsers. FIDO2-beveiligingssleutels zijn een uitstekende optie voor bedrijven die zeer beveiligingsgevoelig zijn of scenario's hebben of werknemers die hun telefoon niet willen of kunnen gebruiken als een tweede factor.

We hebben een referentiedocument waarvoor browsers FIDO2-verificatiemet Azure AD ondersteunen, evenals best practices voor ontwikkelaars die FIDO2-verificatiewillen ondersteunen in de toepassingen die ze ontwikkelen.

Sign in to Microsoft Edge with a security key

Het volgende proces wordt gebruikt wanneer een gebruiker zich met een FIDO2-beveiligingssleutel meldt:

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. De gebruiker sluit de FIDO2-beveiligingssleutel op zijn computer in.
  2. Windows detecteert de FIDO2-beveiligingssleutel.
  3. Windows verzendt een verificatieaanvraag.
  4. Azure AD stuurt een nonce terug.
  5. De gebruiker voltooit zijn gebaar om de persoonlijke sleutel te ontgrendelen die is opgeslagen in de beveiligde enclave van de FIDO2-beveiligingssleutel.
  6. De FIDO2-beveiligingssleutel ondertekent de nonce met de persoonlijke sleutel.
  7. De prt-tokenaanvraag (primary refresh token) met ondertekende nonce wordt verzonden naar Azure AD.
  8. Azure AD verifieert de ondertekende nonce met behulp van de openbare FIDO2-sleutel.
  9. Azure AD retourneert PRT om toegang tot on-premises resources mogelijk te maken.

FIDO2-beveiligingssleutelproviders

De volgende providers bieden FIDO2-beveiligingssleutels van verschillende formulierfactoren die compatibel zijn met de ervaring zonder wachtwoord. We raden u aan om de beveiligingseigenschappen van deze sleutels te evalueren door contact op te nemen met de leverancier en met FIDO Alliance.

Provider Biometrische USB NFC BLE FIPS Gecertificeerd Contactpersoon
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NEOWAVE n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Thales Group n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 Zwitserland y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey-oplossingen y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Notitie

Als u beveiligingssleutels op basis van NFC koopt en wilt gebruiken, hebt u een ondersteunde NFC-lezer voor de beveiligingssleutel nodig. De NFC-lezer is geen Azure-vereiste of -beperking. Neem contact op met de leverancier voor uw op NFC gebaseerde beveiligingssleutel voor een lijst met ondersteunde NFC-lezers.

Als u een leverancier bent en uw apparaat wilt toevoegen aan deze lijst met ondersteunde apparaten, raadpleegt u onze richtlijnen voor het worden van een met Microsoft compatibele leverancier van FIDO2-beveiligingssleutels.

Voltooi de volgende stappen om aan de slag te gaan met FIDO2-beveiligingssleutels:

Ondersteunde scenario's

De volgende overwegingen zijn van toepassing:

  • Beheerders kunnen verificatiemethoden zonder wachtwoord inschakelen voor hun tenant.

  • Beheerders kunnen zich richten op alle gebruikers of gebruikers/groepen binnen hun tenant selecteren voor elke methode.

  • Gebruikers kunnen deze verificatiemethoden zonder wachtwoord registreren en beheren in hun accountportal.

  • Gebruikers kunnen zich aanmelden met deze verificatiemethoden zonder wachtwoord:

    • Microsoft Authenticator-app: werkt in scenario's waarin Azure AD-verificatie wordt gebruikt, inclusief in alle browsers, tijdens de installatie van Windows 10 en met geïntegreerde mobiele apps op elk besturingssysteem.
    • Beveiligingssleutels: werk op het vergrendelingsscherm voor Windows 10 en internet in ondersteunde browsers zoals Microsoft Edge (verouderd en nieuw Edge).
  • Gebruikers kunnen referenties zonder wachtwoord gebruiken voor toegang tot resources in tenants waar ze een gast zijn, maar ze moeten mogelijk nog wel MFA uitvoeren in die resource-tenant. Zie Possible double multi-factor authentication (Mogelijke dubbele meervoudige verificatie) voor meer informatie.

  • Gebruikers kunnen geen referenties zonder wachtwoord registreren in een tenant waarin ze een gast zijn, op dezelfde manier als dat ze geen wachtwoord hebben dat in die tenant wordt beheerd.

Een methode zonder wachtwoord kiezen

De keuze tussen deze drie opties zonder wachtwoord is afhankelijk van de beveiligings-, platform- en app-vereisten van uw bedrijf.

Hier zijn enkele factoren waar u rekening mee moet houden bij het kiezen van microsoft-technologie zonder wachtwoord:

Windows Hello voor Bedrijven Aanmelden zonder wachtwoord met de Microsoft Authenticator app FIDO2-beveiligingssleutels
Vereiste Windows 10 versie 1809 of hoger
Azure Active Directory
Microsoft Authenticator-app
Telefoon (iOS- en Android-apparaten met Android 6.0 of hoger.)
Windows 10 versie 1903 of hoger
Azure Active Directory
Modus Platform Software Hardware
Systemen en apparaten Pc met een ingebouwde Trusted Platform Module (TPM)
Herkenning van pincode en biometrie
Pincode en biometrische herkenning op telefoon FIDO2-beveiligingsapparaten die compatibel zijn met Microsoft
Gebruikerservaring Meld u aan met behulp van een pincode of biometrische herkenning (gezichts-, iris- of vingerafdruk) met Windows apparaten.
Windows Hello verificatie is gekoppeld aan het apparaat. De gebruiker heeft zowel het apparaat als een aanmeldingsonderdeel, zoals een pincode of biometrische factor, nodig voor toegang tot bedrijfsresources.
Meld u aan met een mobiele telefoon met vingerafdrukscan, gezichts- of irisherkenning of pincode.
Gebruikers melden zich aan bij hun werk- of persoonlijke account vanaf hun pc of mobiele telefoon.
Aanmelden met fido2-beveiligingsapparaat (biometrie, pincode en NFC)
De gebruiker heeft toegang tot het apparaat op basis van organisatiebesturingselementen en verificatie op basis van pincode, biometrie met behulp van apparaten zoals USB-beveiligingssleutels en smartcards, sleutels of wearables met NFC.
Ingeschakelde scenario's Ervaring zonder wachtwoord met Windows apparaat.
Dit is van toepassing op toegewezen werk-pc's met de mogelijkheid voor een aanmelding bij apparaten en toepassingen.
Overal zonder wachtwoord met behulp van een mobiele telefoon.
Van toepassing op toegang tot werk- of persoonlijke toepassingen op internet vanaf elk apparaat.
Ervaring zonder wachtwoord voor werknemers die biometrie, pincode en NFC gebruiken.
Van toepassing op gedeelde pc's en wanneer een mobiele telefoon geen levensvatbare optie is (zoals voor helpdeskmedewerkers, openbare kiosk of ziekenhuisteam)

Gebruik de volgende tabel om te kiezen welke methode uw vereisten en gebruikers ondersteunt.

Persona Scenario Omgeving Technologie zonder wachtwoord
Beheerder Toegang tot een apparaat beveiligen voor beheertaken Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Beheerder Beheertaken op niet-Windows apparaten Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Microsoft Authenticator app
Informatiemedewerker Productiviteitswerk Toegewezen Windows 10 apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Informatiemedewerker Productiviteitswerk Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Microsoft Authenticator app
Frontline worker Kiosken in een fabriek, fabriek, detailhandel of gegevensinvoer Gedeelde Windows 10 apparaten FIDO2-beveiligingssleutels

Volgende stappen

Voltooi een van de volgende stappen om aan de slag te gaan met wachtwoordloos in Azure AD: