Opcje uwierzytelniania bezhasłaPasswordless authentication options

Uwierzytelnianie wieloskładnikowe (MFA) to świetny sposób zabezpieczania organizacji, ale użytkownicy często uzyskują sfrustrowani z dodatkową warstwą zabezpieczeń na potrzeby zapamiętywania haseł.Multi-factor authentication (MFA) is a great way to secure your organization, but users often get frustrated with the additional security layer on top of having to remember their passwords. Metody uwierzytelniania bez hasła są wygodniejsze, ponieważ hasło jest usuwane i zastępowane przez użytkownikaPasswordless authentication methods are more convenient because the password is removed and replaced with something you have, plus something you are or something you know.

Coś, czego maszSomething you have Coś lub wieszSomething you are or know
Logowanie bez hasłaPasswordless Urządzenia, numery telefonów lub klucze zabezpieczeń systemu Windows 10Windows 10 Device, phone, or security key Biometryczna lub PINBiometric or PIN

Każda organizacja ma inne potrzeby związane z uwierzytelnianiem.Each organization has different needs when it comes to authentication. Firma Microsoft oferuje trzy opcje uwierzytelniania bezhasła:Microsoft offers three passwordless authentication options:

  • Windows Hello dla firmWindows Hello for Business
  • Aplikacja Microsoft AuthenticatorMicrosoft Authenticator app
  • FIDO2 klucze zabezpieczeńFIDO2 security keys

Uwierzytelnianie: zabezpieczenia i wygoda

Windows Hello dla firmWindows Hello for Business

Funkcja Windows Hello dla firm jest idealna dla pracowników przetwarzających informacje, którzy mają własne Wyznaczeni komputery z systemem Windows.Windows Hello for Business is ideal for information workers who have their own designated Windows PC. Biometryczne i kod PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp od nikogo innego niż właściciel.The biometric and PIN are directly tied to the user's PC, which prevents access from anyone other than the owner. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsłudze logowania jednokrotnego (SSO) usługa Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmy lokalnie i w chmurze.With public key infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Przewodnik planowania usługi Windows Hello dla firm może służyć do podejmowania decyzji dotyczących typu wdrożenia usługi Windows Hello dla firm i opcji, które należy wziąć pod uwagę.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

Aplikacja Microsoft AuthenticatorMicrosoft Authenticator App

Zezwalaj, aby telefon pracownika stał się metodą uwierzytelniania bezhasłem.Allow your employee's phone to become a passwordless authentication method. Aplikacja Microsoft Authenticator może już być używana jako wygodna opcja uwierzytelniania wieloskładnikowego oprócz hasła.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. Możesz również użyć aplikacji Authenticator jako opcji bezhaseł.You can also use the Authenticator App as a passwordless option.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu aplikacji Microsoft Authenticator

Aplikacja Authenticator włącza każdy telefon z systemem iOS lub Android do silnego poświadczenia bez hasła.The Authenticator App turns any iOS or Android phone into a strong, passwordless credential. Użytkownicy mogą logować się do dowolnej platformy lub przeglądarki, uzyskując powiadomienie na telefonie, dopasowując liczbę wyświetlaną na ekranie na telefonie, a następnie używając ich biometrycznych (dotykowych lub ubocznych) lub numerów PIN, aby potwierdzić.Users can sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric (touch or face) or PIN to confirm.

FIDO2 klucze zabezpieczeńFIDO2 security keys

Klucze zabezpieczeń FIDO2 to metoda uwierzytelniania bez hasła oparta na standardach, która może mieć dowolny współczynnik form.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. Szybka tożsamość w trybie online (FIDO) to otwarty standard uwierzytelniania bezhaseł.Fast Identity Online (FIDO) is an open standard for passwordless authentication. FIDO umożliwia użytkownikom i organizacjom korzystanie ze standardu do logowania się do swoich zasobów bez użycia nazwy użytkownika ani hasła przy użyciu zewnętrznego klucza zabezpieczeń lub klucza platformy wbudowanego w urządzenie.FIDO allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

W publicznej wersji zapoznawczej pracownicy mogą korzystać z kluczy zabezpieczeń, aby zalogować się do urządzeń z systemem Windows 10 dołączonych do usługi Azure AD i uzyskać Logowanie jednokrotne do swoich zasobów w chmurze i lokalnych.For public preview, employees can use security keys to sign in to their Azure AD-joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Użytkownicy mogą również zalogować się w obsługiwanych przeglądarkach.Users can also sign in to supported browsers. Klucze zabezpieczeń FIDO2 są świetną opcją dla przedsiębiorstw, które mają bardzo duże znaczenie dla bezpieczeństwa lub mają scenariusze lub pracowników, którzy nie chcą korzystać z telefonu jako drugiego czynnika.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren't willing or able to use their phone as a second factor.

Zaloguj się do przeglądarki Microsoft Edge przy użyciu klucza zabezpieczeń

Chociaż istnieje wiele kluczy, które są FIDO2 certyfikowane przez usługi FIDO Alliance, firma Microsoft wymaga, aby niektóre opcjonalne rozszerzenia specyfikacji protokołu Klient-wystawca FIDO2 (CTAP) zostały zaimplementowane przez dostawcę w celu zapewnienia maksymalnego poziomu zabezpieczeń i najlepszego systemu.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Klucz zabezpieczeń musi implementować następujące funkcje i rozszerzenia z protokołu CTAP FIDO2, aby były zgodne z firmą Microsoft:A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Zaufanie funkcji/rozszerzeniaFeature / Extension trust Dlaczego ta funkcja lub rozszerzenie jest wymagane?Why is this feature or extension required?
11 Klucz rezydentnyResident key Ta funkcja umożliwia przenośny Klucz zabezpieczeń, w którym Twoje poświadczenia są przechowywane w kluczu zabezpieczeń.This feature enables the security key to be portable, where your credential is stored on the security key.
22 Numer PIN klientaClient pin Ta funkcja umożliwia ochronę poświadczeń przy użyciu drugiego czynnika i ma zastosowanie do kluczy zabezpieczeń, które nie mają interfejsu użytkownika.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 hmac-secrethmac-secret To rozszerzenie zapewnia możliwość zalogowania się na urządzeniu, gdy jest ono wyłączone lub w trybie samolotowym.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Wiele kont na jednostkę UZALEŻNIONąMultiple accounts per RP Ta funkcja zapewnia, że można użyć tego samego klucza zabezpieczeń dla wielu usług, takich jak konto Microsoft i Azure Active Directory.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

Następujący dostawcy oferują klucze zabezpieczeń FIDO2 różnego rodzaju, które są znane jako zgodne z funkcją bezhaseł.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Zachęcamy do ocenienia właściwości zabezpieczeń tych kluczy, kontaktując się z dostawcą oraz FIDO Alliance.We encourage you to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

DostawcaProvider KontaktContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
INTERFEJSUHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
eWBMeWBM https://www.ewbm.com/support
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3

Uwaga

Jeśli kupisz i planujesz korzystanie z kluczy zabezpieczeń opartych na NFC, musisz mieć obsługiwany czytnik NFC dla klucza zabezpieczeń.If you purchase and plan to use NFC-based security keys, you need a supported NFC reader for the security key. Czytnik NFC nie jest wymaganiem ani ograniczeniem platformy Azure.The NFC reader isn't an Azure requirement or limitation. Aby uzyskać listę obsługiwanych czytników NFC, należy skontaktować się z dostawcą dla klucza zabezpieczeń opartego na NFC.Check with the vendor for your NFC-based security key for a list of supported NFC readers.

Jeśli jesteś dostawcą i chcesz uzyskać urządzenie na tej liście obsługiwanych urządzeń, skontaktuj się z firmą Fido2Request@Microsoft.com.If you're a vendor and want to get your device on this list of supported devices, contact Fido2Request@Microsoft.com.

Jakie scenariusze pracują z podglądem?What scenarios work with the preview?

  • Administratorzy mogą włączać metody uwierzytelniania bezhasło dla swojej dzierżawyAdministrators can enable passwordless authentication methods for their tenant
  • Administratorzy mogą kierować wszystkich użytkowników lub wybierać użytkowników/grupy w ramach ich dzierżawy dla każdej metodyAdministrators can target all users or select users/groups within their tenant for each method
  • Użytkownicy końcowi mogą rejestrować te metody uwierzytelniania bezhasło i zarządzać nimi w portalu kontaEnd users can register and manage these passwordless authentication methods in their account portal
  • Użytkownicy końcowi mogą logować się przy użyciu tych metod uwierzytelniania bez hasłaEnd users can sign in with these passwordless authentication methods
    • Aplikacja Microsoft Authenticator: działa w scenariuszach, w których używane jest uwierzytelnianie usługi Azure AD, w tym między wszystkimi przeglądarkami, podczas instalacji systemu Windows 10 (OOBE) i zintegrowanych aplikacji mobilnych w dowolnym systemie operacyjnym.Microsoft Authenticator App: Works in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Klucze zabezpieczeń: Pracuj na ekranie blokady dla systemu Windows 10 i sieci Web w obsługiwanych przeglądarkach, takich jak Microsoft Edge.Security keys: Work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge.

Następne krokiNext steps

Włącz opcje passwordlesss klucza zabezpieczeń FIDO2 w organizacjiEnable FIDO2 security key passwordlesss options in your organization

Włącz opcje bezhaseł w organizacji, które nie są oparte na telefonieEnable phone-based passwordless options in your organization

FIDO AllianceFIDO Alliance

Specyfikacja usługi CTAP FIDO2FIDO2 CTAP specification