Udostępnij za pośrednictwem

Tworzenie odporności przy użyciu zarządzania poświadczeniami

  • Artykuł

Po wyświetleniu poświadczeń do identyfikatora Entra firmy Microsoft w żądaniu tokenu istnieje wiele zależności, które muszą być dostępne do weryfikacji. Pierwszy czynnik uwierzytelniania opiera się na uwierzytelnianiu firmy Microsoft Entra i, w niektórych przypadkach, w infrastrukturze lokalnej. Aby uzyskać więcej informacji na temat architektur uwierzytelniania hybrydowego, zobacz Tworzenie odporności w infrastrukturze hybrydowej.

W przypadku zaimplementowania drugiego czynnika zależności dla drugiego czynnika są dodawane do zależności dla pierwszego. Jeśli na przykład pierwszy czynnik jest za pośrednictwem ptA, a drugi czynnik to SMS, zależności są następujące.

  • Usługi uwierzytelniania Entra firmy Microsoft
  • Usługa uwierzytelniania wieloskładnikowego firmy Microsoft
  • Infrastruktura lokalna
  • Telefon przewoźnik
  • Urządzenie użytkownika (nie na zdjęciu)

Image of authentication methods and dependencies

Strategia poświadczeń powinna uwzględniać zależności każdego typu uwierzytelniania i metody aprowizacji, które unikają pojedynczego punktu awarii.

Ponieważ metody uwierzytelniania mają różne zależności, dobrym pomysłem jest umożliwienie użytkownikom rejestrowania się w celu uzyskania jak największej liczby opcji drugiego czynnika. Pamiętaj, aby uwzględnić drugie czynniki z różnymi zależnościami, jeśli to możliwe. Na przykład połączenie głosowe i wiadomości SMS jako drugie czynniki współdzielą te same zależności, więc posiadanie ich jako jedyne opcje nie ogranicza ryzyka.

Najbardziej odporną strategią poświadczeń jest użycie uwierzytelniania bez hasła. Windows Hello dla firm i klucze zabezpieczeń FIDO 2.0 mają mniej zależności niż silne uwierzytelnianie z dwoma oddzielnymi czynnikami. Najbezpieczniejsza jest aplikacja Microsoft Authenticator, Windows Hello dla firm i klucze zabezpieczeń FIDO 2.0.

W przypadku drugich czynników aplikacja Microsoft Authenticator lub inne aplikacje wystawcy uwierzytelniania korzystające z jednorazowego kodu dostępu (TOTP) lub tokenów sprzętowych OAuth mają najmniejszą zależność i dlatego są bardziej odporne.

Jak wiele poświadczeń pomaga w odporności?

Aprowizowanie wielu typów poświadczeń zapewnia użytkownikom opcje, które mieszczą się w ich preferencjach i ograniczeniach środowiskowych. W związku z tym uwierzytelnianie interakcyjne, w którym użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe, będzie bardziej odporne na dostępność określonych zależności w momencie żądania. Możesz zoptymalizować monity o ponowne uwierzytelnienie na potrzeby uwierzytelniania wieloskładnikowego.

Oprócz opisanej powyżej odporności poszczególnych użytkowników przedsiębiorstwa powinny planować awaryjne zakłócenia na dużą skalę, takie jak błędy operacyjne, które powodują błędy konfiguracji, klęskę żywiołową lub awarię zasobów dla całego przedsiębiorstwa w lokalnej usłudze federacyjnej (zwłaszcza w przypadku użycia na potrzeby uwierzytelniania wieloskładnikowego).

Jak mogę zaimplementować odporne poświadczenia?

  • Wdróż poświadczenia bez hasła, takie jak Windows Hello dla firm, uwierzytelnianie Telefon i klucze zabezpieczeń FIDO2, aby zmniejszyć zależności.
  • Wdróż aplikację Microsoft Authenticator jako drugi czynnik.
  • Włącz synchronizację skrótów haseł dla kont hybrydowych synchronizowanych z usługą Active Directory systemu Windows Server. Tę opcję można włączyć obok usług federacyjnych, takich jak Active Directory Federation Services (AD FS) i zapewnia rezerwę w przypadku awarii usługi federacyjnej.
  • Analizowanie użycia metod uwierzytelniania wieloskładnikowego w celu ulepszenia środowiska użytkownika.
  • Implementowanie odpornej strategii kontroli dostępu

Następne kroki

Zasoby odporności dla administratorów i architektów

Zasoby odporności dla deweloperów