Opcje uwierzytelniania bez hasła dla Azure Active Directory

Funkcje takie jak uwierzytelnianie wieloskładnikowe (MFA) to doskonały sposób na zabezpieczenie organizacji, ale użytkownicy często są sfrustrowani dodatkową warstwą zabezpieczeń, która nie musi pamiętać haseł. Metody uwierzytelniania bez hasła są wygodniejsze, ponieważ hasło jest usuwane i zastępowane czymś, co masz, oraz czymś, co znasz lub co znasz.

Authentication Coś, co masz Coś, co jesteś lub wiesz
Logowanie bez hasła Windows 10 urządzenie, telefon lub klucz zabezpieczeń Biometryczne lub numer PIN

Każda organizacja ma inne potrzeby w zakresie uwierzytelniania. Globalna platforma Microsoft Azure Azure Government oferuje następujące trzy opcje uwierzytelniania bez hasła, które integrują się z usługą Azure Active Directory (Azure AD):

  • Windows Hello for Business
  • Aplikacja Microsoft Authenticator
  • Klucze zabezpieczeń FIDO2

Uwierzytelnianie: zabezpieczenia a wygoda

Windows Hello for Business

Windows Hello dla firm jest idealnym rozwiązaniem dla pracowników informacyjnych, którzy mają własne wyznaczone komputery z systemem Windows. Poświadczenia biometryczne i numer PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp innym osobom niż właściciel. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsługi logowania jednokrotnego (SSO) usługa Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmy lokalnie i w chmurze.

Przykład logowania użytkownika przy użyciu konta Windows Hello dla firm

Poniższe kroki pokazują, jak proces logowania działa z usługą Azure AD:

Diagram przedstawiający kroki związane z logowaniem użytkowników przy użyciu Windows Hello dla firm

  1. Użytkownik logowanie do systemu Windows przy użyciu gestu biometrycznego lub numeru PIN. Gest odblokowuje klucz Windows Hello dla firm i jest wysyłany do dostawcy obsługi zabezpieczeń uwierzytelniania w chmurze, nazywanego dostawcą usługi Cloud AP.
  2. Dostawca usługi Cloud AP żąda od usługi Azure AD liczby nonce (losowej dowolnej liczby, która może być używana tylko raz).
  3. Usługa Azure AD zwraca wartość nonce, która jest prawidłowa przez 5 minut.
  4. Dostawca usługi Cloud AP podpisuje nonce przy użyciu klucza prywatnego użytkownika i zwraca podpisaną wartość nonce do usługi Azure AD.
  5. Usługa Azure AD weryfikuje podpis nonce przy użyciu bezpiecznie zarejestrowanego klucza publicznego użytkownika względem sygnatury nonce. Po zweryfikowaniu podpisu usługa Azure AD weryfikuje zwrócony podpisany nonce. Po weryfikacji wersji nonce usługa Azure AD tworzy podstawowy token odświeżania (PRT) z kluczem sesji zaszyfrowanym na klucz transportu urządzenia i zwraca go do dostawcy usługi Cloud AP.
  6. Dostawca usługi Cloud AP odbiera zaszyfrowane prt z kluczem sesji. Przy użyciu prywatnego klucza transportu urządzenia dostawca usługi Cloud AP odszyfrowuje klucz sesji i chroni klucz sesji przy użyciu modułu Trusted Platform Module (TPM) urządzenia.
  7. Dostawca usługi Cloud AP zwraca pomyślną odpowiedź na uwierzytelnianie do systemu Windows. Użytkownik może następnie uzyskać dostęp do systemu Windows oraz aplikacji w chmurze i lokalnych bez konieczności uwierzytelniania się ponownie (SSO).

Przewodnik Windows Hello dla firm planowania może ułatwić podejmowanie decyzji dotyczących typu wdrożenia Windows Hello dla firm i opcji, które należy wziąć pod uwagę.

Microsoft Authenticator aplikacji

Możesz również zezwolić na to, aby telefon pracownika stał się metodą uwierzytelniania bez hasła. Być może używasz aplikacji Microsoft Authenticator jako wygodnej opcji uwierzytelniania wieloskładnikowego oprócz hasła. Możesz również użyć aplikacji Authenticator jako opcji bez hasła.

Zaloguj się do Microsoft Edge przy użyciu Microsoft Authenticator aplikacji

Aplikacja Authenticator zmienia dowolny telefon z systemem iOS lub Android w silne poświadczenia bez hasła. Użytkownicy mogą zalogować się do dowolnej platformy lub przeglądarki, wyświetlając powiadomienie na swój telefon, dopasowując numer wyświetlany na ekranie do numeru na telefonie, a następnie używając ich danych biometrycznych (dotykowych lub twarzy) lub numeru PIN w celu potwierdzenia. Aby uzyskać szczegółowe informacje dotyczące instalacji, zobacz Pobieranie i Microsoft Authenticator aplikacji.

Uwierzytelnianie bez hasła przy użyciu aplikacji Authenticator jest oparte na tym samym podstawowym wzorcu co Windows Hello dla firm. Jest to nieco bardziej skomplikowane, ponieważ należy zidentyfikować użytkownika, aby usługa Azure AD znalazła używaną Microsoft Authenticator aplikacji:

Diagram przedstawiający kroki związane z logowaniem użytkownika do aplikacji Microsoft Authenticator App

  1. Użytkownik wprowadza swoją nazwę użytkownika.
  2. Usługa Azure AD wykrywa, że użytkownik ma silne poświadczenia i uruchamia przepływ silnych poświadczeń.
  3. Powiadomienie jest wysyłane do aplikacji za pośrednictwem usługi Apple Push Notification Service (APNS) na urządzeniach z systemem iOS lub za pośrednictwem usługi Firebase Cloud Messaging (FCM) na urządzeniach z systemem Android.
  4. Użytkownik otrzymuje powiadomienie wypychane i otwiera aplikację.
  5. Aplikacja wywołuje usługę Azure AD i otrzymuje wyzwanie i powiadomienie o weryfikacji obecności.
  6. Użytkownik kończy wyzwanie, wprowadzając numer biometryczny lub numer PIN w celu odblokowania klucza prywatnego.
  7. Element nonce jest podpisany przy użyciu klucza prywatnego i wysyłany z powrotem do usługi Azure AD.
  8. Usługa Azure AD przeprowadza walidację klucza publicznego/prywatnego i zwraca token.

Aby rozpocząć logowanie bez hasła, wykonaj następujące czynności:

Klucze zabezpieczeń FIDO2

FiDO (Fast IDentity Online) Alliance pomaga promować otwarte standardy uwierzytelniania i ograniczyć użycie haseł jako formy uwierzytelniania. FIDO2 to najnowszy standard, który zawiera standard uwierzytelniania sieci Web (WebAuthn).

Klucze zabezpieczeń FIDO2 to metoda uwierzytelniania bez hasła oparta na standardach, która może mieć dowolną formę. Fast Identity Online (FIDO) to otwarty standard uwierzytelniania bez hasła. FiDO umożliwia użytkownikom i organizacjom korzystanie ze standardu w celu logowania się do zasobów bez nazwy użytkownika lub hasła przy użyciu zewnętrznego klucza zabezpieczeń lub klucza platformy wbudowanego w urządzenie.

Użytkownicy mogą zarejestrować się, a następnie wybrać klucz zabezpieczeń FIDO2 w interfejsie logowania jako główny sposób uwierzytelniania. Te klucze zabezpieczeń FIDO2 są zwykle urządzeniami USB, ale mogą również korzystać z funkcji Bluetooth lub NFC. W przypadku urządzenia sprzętowego, które obsługuje uwierzytelnianie, bezpieczeństwo konta jest zwiększane, ponieważ nie ma hasła, które można by było ujawnione lub zgadnąć.

Klucze zabezpieczeń FIDO2 mogą służyć do logowania się na urządzeniach z systemem Windows 10 przyłączonych do usługi Azure AD lub hybrydowych urządzeń z systemem Windows 10 i uzyskania logowania pojedynczego do zasobów w chmurze i lokalnych. Użytkownicy mogą również logować się do obsługiwanych przeglądarek. Klucze zabezpieczeń FIDO2 są doskonałym rozwiązaniem dla przedsiębiorstw, które są bardzo wrażliwe na zabezpieczenia lub mają scenariusze lub pracowników, którzy nie chcą lub nie mogą używać telefonu jako drugiego czynnika.

Mamy dokument referencyjny, dla którego przeglądarki obsługują uwierzytelnianie FIDO2w usłudze Azure AD, a także najlepsze rozwiązania dla deweloperów, którzy chcą obsługiwać uwierzytelnianie FIDO2w aplikacjach, które opracowują.

Zaloguj się do Microsoft Edge przy użyciu klucza zabezpieczeń

Następujący proces jest używany, gdy użytkownik jest insygniany przy użyciu klucza zabezpieczeń FIDO2:

Diagram przedstawiający kroki związane z logowaniem użytkownika przy użyciu klucza zabezpieczeń FIDO2

  1. Użytkownik podłącza klucz zabezpieczeń FIDO2 do swojego komputera.
  2. System Windows wykrywa klucz zabezpieczeń FIDO2.
  3. System Windows wysyła żądanie uwierzytelnienia.
  4. Usługa Azure AD wysyła z powrotem nonce.
  5. Użytkownik kończy gest odblokowania klucza prywatnego przechowywanego w bezpiecznej enklawie klucza zabezpieczeń FIDO2.
  6. Klucz zabezpieczeń FIDO2 podpisuje element nonce kluczem prywatnym.
  7. Żądanie tokenu podstawowego odświeżania (PRT) z podpisanym tokenem jest wysyłane do usługi Azure AD.
  8. Usługa Azure AD weryfikuje podpisaną usługę nonce przy użyciu klucza publicznego FIDO2.
  9. Usługa Azure AD zwraca funkcję PRT, aby umożliwić dostęp do zasobów lokalnych.

Chociaż istnieje wiele kluczy, które są certyfikowane przez FIDO2 przez FIDO Alliance, firma Microsoft wymaga niektórych opcjonalnych rozszerzeń specyfikacji PROTOKOŁU FIDO2 Client-to-Authenticator Protocol (CTAP) do zaimplementowania przez dostawcę w celu zapewnienia maksymalnego bezpieczeństwa i najlepszego działania.

Klucz zabezpieczeń MUSI implementować następujące funkcje i rozszerzenia z protokołu CTAP FIDO2, aby zapewnić zgodność z firmą Microsoft:

# Zaufanie do funkcji/rozszerzenia Dlaczego ta funkcja lub rozszerzenie jest wymagane?
1 Klucz rezyduny Ta funkcja umożliwia przenośne korzystanie z klucza zabezpieczeń, w którym poświadczenia są przechowywane w kluczu zabezpieczeń.
2 Numer PIN klienta Ta funkcja umożliwia ochronę poświadczeń przy użyciu drugiego czynnika i ma zastosowanie do kluczy zabezpieczeń, które nie mają interfejsu użytkownika.
3 hmac-secret To rozszerzenie zapewnia możliwość logowania się do urządzenia w trybie offline lub w trybie samolotowym.
4 Wiele kont na rp Dzięki tej funkcji można używać tego samego klucza zabezpieczeń w wielu usługach, takich jak konto Microsoft i Azure Active Directory.

Dostawcy kluczy zabezpieczeń FIDO2

Następujący dostawcy oferują klucze zabezpieczeń FIDO2 o różnych kształtach, o których wiadomo, że są zgodne ze środowiskom bez hasła. Zachęcamy do oceny właściwości zabezpieczeń tych kluczy, kontaktując się z dostawcą oraz z fido Alliance.

Dostawca Biometrycznych USB Funkcja NFC Ble Certyfikat FIPS Kontakt
AuthenTrend Y Y Y Y n https://authentrend.com/about-us/#pg-35-3
Zapewnianie bezpieczeństwa Y Y n n n https://www.ensurity.com/contact
Program Excelsecu n Y n n n https://www.excelsecu.com/productdetail/esecufido2secu.html
Fei w 2017 r. Y Y Y Y n https://shop.ftsafe.us/pages/microsoft
Gemalto (grupa Thales) n Y Y n n https://safenet.gemalto.com/access-management/authenticators/fido-devices
GoTrustID Inc. n Y Y Y n https://www.gotrustid.com/idem-key
Hid n Y Y n n https://www.hidglobal.com/contact-us
Funkcja Hypersecu n Y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y n https://www.idmelon.com/#idmelon
Kensington Y Y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y n Y Y n https://konai.com/business/security/fido
Nymi (Nymi) Y n Y Y n https://www.nymi.com/product
OneSpan Inc. Y n n Y n https://www.onespan.com/products/fido
Token2 ( Niemcy) Y Y Y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions Y Y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n Y n n n https://passwordless.vincss.net
Yubico n Y Y n Y https://www.yubico.com/solutions/passwordless/

Uwaga

Jeśli zakupisz klucze zabezpieczeń oparte na technologii NFC i planujesz korzystanie z nich, potrzebujesz obsługiwanego czytnika NFC dla klucza zabezpieczeń. Czytnik NFC nie jest wymaganiem ani ograniczeniem platformy Azure. Skontaktuj się z dostawcą, aby uzyskać klucz zabezpieczeń oparty na technologii NFC, aby uzyskać listę obsługiwanych czytników NFC.

Jeśli jesteś dostawcą i chcesz uzyskać urządzenie na tej liście obsługiwanych urządzeń, zapoznaj się z naszymi wskazówkami, jak zostać dostawcą klucza zabezpieczeń FIDO2zgodnego z firmą Microsoft.

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2, wykonaj następujące czynności:

Obsługiwane scenariusze

Obowiązują następujące zastrzeżenia:

  • Administratorzy mogą włączyć metody uwierzytelniania bez hasła dla swojej dzierżawy.

  • Administratorzy mogą kierować działania do wszystkich użytkowników lub wybierać użytkowników/grupy w ramach swojej dzierżawy dla każdej metody.

  • Użytkownicy mogą rejestrować te metody uwierzytelniania bez hasła i zarządzać nimi w portalu konta.

  • Użytkownicy mogą logować się przy użyciu tych metod uwierzytelniania bez hasła:

    • Microsoft Authenticator App: działa w scenariuszach, w których jest używane uwierzytelnianie usługi Azure AD, w tym we wszystkich przeglądarkach, podczas Windows 10 konfiguracji oraz w przypadku zintegrowanych aplikacji mobilnych w dowolnym systemie operacyjnym.
    • Klucze zabezpieczeń: pracuj na ekranie blokady aplikacji Windows 10 i Internecie w obsługiwanych przeglądarkach, takich jak Microsoft Edge (zarówno w starszej wersji, jak i w nowej przeglądarce Edge).
  • Użytkownicy mogą używać poświadczeń bez hasła do uzyskiwania dostępu do zasobów w dzierżawach, w których są gośćmi, ale nadal mogą być zobowiązani do uwierzytelniania wieloskładnikowego w tej dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Możliwe podwójne uwierzytelnianie wieloskładnikowe.

  • Użytkownicy nie mogą rejestrować poświadczeń bez hasła w ramach dzierżawy, w której są gośćmi, tak samo jak użytkownicy, którzy nie mają hasła zarządzanego w tej dzierżawie.

Wybieranie metody bez hasła

Wybór między tymi trzema opcjami bez hasła zależy od wymagań firmy dotyczących zabezpieczeń, platformy i aplikacji.

Oto kilka czynników, które należy wziąć pod uwagę podczas wybierania technologii bez hasła firmy Microsoft:

Windows Hello for Business Logowanie bez hasła przy użyciu Microsoft Authenticator aplikacji Klucze zabezpieczeń FIDO2
Wymagania wstępne Windows 10, wersja 1809 lub nowszy
Azure Active Directory
Aplikacja Microsoft Authenticator
Telefon (urządzenia z systemami iOS i Android z systemem Android w wersji 6.0 lub powyższej).
Windows 10, wersja 1903 lub nowsza
Azure Active Directory
Tryb Platforma Oprogramowanie Sprzęt
Systemy i urządzenia Komputer z wbudowanym modułem Trusted Platform Module (TPM)
Rozpoznawanie numeru PIN i danych biometrycznych
Rozpoznawanie numeru PIN i danych biometrycznych na telefonie Urządzenia zabezpieczeń FIDO2 zgodne z firmą Microsoft
Środowisko użytkownika Zaloguj się przy użyciu numeru PIN lub rozpoznawania biometrycznego (twarzy, irysów lub odcisku palca) na urządzeniach z systemem Windows.
Windows Hello uwierzytelnianie jest powiązane z urządzeniem; użytkownik potrzebuje zarówno urządzenia, jak i składnika logowania, takiego jak numer PIN lub czynnik biometryczny, aby uzyskać dostęp do zasobów firmy.
Zaloguj się przy użyciu telefonu komórkowego ze skanowaniem linii papilarnych, rozpoznawaniem twarzy lub irysów albo numerem PIN.
Użytkownicy logują się do konta służbowego lub osobistego z komputera lub telefonu komórkowego.
Logowanie się przy użyciu urządzenia zabezpieczającego FIDO2 (biometryczne, numer PIN i NFC)
Użytkownik może uzyskać dostęp do urządzenia na podstawie kontrolek organizacji i uwierzytelniać się na podstawie numeru PIN, danych biometrycznych przy użyciu urządzeń, takich jak klucze zabezpieczeń USB i karty inteligentne z włączoną komunikacją NFC, klucze lub elementy do noszenia.
Włączone scenariusze Środowisko bez hasła na urządzeniu z systemem Windows.
Dotyczy dedykowanego komputera służbowego z możliwością logowania się jednym urządzeniem i aplikacjami.
Rozwiązanie bez hasła w dowolnym miejscu korzystające z telefonu komórkowego.
Dotyczy uzyskiwania dostępu do aplikacji służbowych lub osobistych w Internecie z dowolnego urządzenia.
Środowisko pracy bez hasła dla pracowników korzystających z danych biometrycznych, numeru PIN i komunikacji NFC.
Dotyczy komputerów udostępnionych, w przypadku których telefon komórkowy nie jest realną opcją (np. w przypadku personelu pomocy technicznej, kiosku publicznego lub zespołu szpitalnego)

Skorzystaj z poniższej tabeli, aby wybrać metodę, która będzie obsługiwać wymagania i użytkowników.

Persona Scenariusz Środowisko Technologia bez hasła
Administracja Bezpieczny dostęp do urządzenia dla zadań zarządzania Przypisane Windows 10 urządzenia Windows Hello dla firm zabezpieczeń fido2 i/lub fido2
Administracja Zadania zarządzania na urządzeniach z systemem innych niż Windows Urządzenie przenośne lub inne niż Windows Logowanie bez hasła przy użyciu Microsoft Authenticator aplikacji
Pracownik przetwarzający informacje Productivity work Przypisane Windows 10 urządzenia Windows Hello dla firm zabezpieczeń fido2 i/lub fido2
Pracownik przetwarzający informacje Productivity work Urządzenie przenośne lub inne niż Windows Logowanie bez hasła przy użyciu Microsoft Authenticator aplikacji
Proces roboczy frontline Kioski w fabryce, zakładzie, sprzedaży detalicznej lub wprowadzanie danych Urządzenia Windows 10 udostępnione Klucze zabezpieczeń FIDO2

Następne kroki

Aby rozpocząć pracę z usługą Azure AD bez haseł, wykonaj jedną z następujących czynności: