Какие методы проверки подлинности и подтверждения доступны в Azure Active Directory?

Корпорация Майкрософт рекомендует использовать методы проверки подлинности без пароля, такие как Windows Hello, ключи безопасности FIDO2 и приложение Microsoft Authenticator, поскольку они являются наиболее безопасными методами выполнения входа. Хотя пользователь может входить в систему, используя другие распространенные методы, такие как имя пользователя и пароль, пароли следует заменять более безопасными методами проверки подлинности.

Таблица преимуществ и предпочтительных методов проверки подлинности в Azure AD

Многофакторная проверка подлинности Azure AD (MFA) обеспечивает дополнительную безопасность по сравнению с использованием пароля при входе пользователя. Пользователю может быть предложено ввести дополнительные формы проверки подлинности, например ответ на push-уведомление, код из программного или аппаратного маркера или ответ на SMS или звонок по телефону.

Чтобы упростить управление пользователями и регистрацию для MFA и самостоятельного сброса пароля (SSPR) рекомендуется включить объединенную регистрацию сведений о безопасности. Для обеспечения устойчивости рекомендуется требовать от пользователей регистрировать несколько методов проверки подлинности. Если пользователю недоступен один из методов, он может пройти проверку подлинности другим способом. Дополнительные сведения см. в статье Создание отказоустойчивой стратегии управления доступом в Azure AD.

Создавая это видео, мы старались помочь вам в выборе способа проверки подлинности, который лучше всего подходит для защиты вашей организации.

Надежность и безопасность метода проверки подлинности

Проанализируйте доступные методы проверки подлинности при развертывании таких функций, как многофакторная идентификация Azure AD в организации. Выберите методы, которые соответствуют или превосходят ваши требования в отношении безопасности, удобства использования и доступности. Там, где это возможно, используйте методы проверки подлинности, которые обеспечивают самый высокий уровень безопасности.

В следующей таблице приведены рекомендации по обеспечению безопасности в отношении доступных методов проверки подлинности. Доступность является указанием на то, что пользователь может использовать метод проверки подлинности, а не доступность службы в Azure AD:

Метод проверки подлинности Безопасность Удобство использования Доступность
Windows Hello для бизнеса Высокий Высокий Высокий
Приложение Microsoft Authenticator Высокий Высокий Высокий
Ключ безопасности FIDO2 Высокий Высокий Высокий
Аппаратные маркеры OATH (предварительная версия) Средн. Средн. Высокий
Программные маркеры OATH Средн. Средн. Высокий
SMS Средний Высокий Средний
Голосовая связь Средн. Средн. Средн.
Пароль Низкий Высокий Высокий

Последние сведения о безопасности см. в записях блога:

Совет

Для обеспечения гибкости и удобства использования рекомендуется использовать приложение Microsoft Authenticator. Данный метод проверки подлинности обеспечивает лучшее взаимодействие с пользователем и несколько режимов, таких как доступ без пароля, Push-уведомления MFA и OATH-коды.

Принцип работы методов проверки подлинности

Некоторые методы проверки подлинности можно использовать в качестве основных при входе в приложение или устройство, например вход с помощью ключа безопасности FIDO2 или пароля. Другие методы проверки подлинности доступны только в качестве вторичного при использовании многофакторной идентификации Azure AD или SSPR.

В следующей таблице продемонстрировано, когда метод проверки подлинности можно использовать во время входа:

Метод Основная проверка подлинности Дополнительная проверка подлинности
Windows Hello для бизнеса Да MFA
Приложение Microsoft Authenticator Да MFA и SSPR
Ключ безопасности FIDO2 Да MFA
Аппаратные маркеры OATH (предварительная версия) нет MFA и SSPR
Программные маркеры OATH нет MFA и SSPR
SMS Да MFA и SSPR
Голосовой звонок нет MFA и SSPR
Пароль Да

Все эти методы проверки подлинности можно настроить на портале Azure и использовать в REST API для Microsoft Graph.

Дополнительные сведения о том, как работает каждый из способов проверки подлинности, см. в следующих статьях и разделах:

Примечание

Пароль Azure AD часто является одним из основных методов проверки подлинности. Невозможно отключить метод проверки подлинности с помощью пароля. Если вы используете пароль в качестве основного метода проверки подлинности, вам следует усилить безопасность входа с помощью многофакторной идентификации Azure AD.

В некоторых сценариях можно прибегнуть к следующим дополнительным методам проверки.

  • Пароли приложений используются для устаревших приложений, которые не поддерживают современную проверку подлинности. Такие пароли позволяют настроить многофакторную проверку подлинности Azure AD на уровне пользователя.
  • Контрольные вопросы используются только для самостоятельного сброса пароля (SSPR).
  • Адрес электронной почты используется только для самостоятельного сброса пароля (SSPR).

Дальнейшие действия

Чтобы начать работу, изучите руководства по самостоятельному сбросу пароля (SSPR) и многофакторной идентификации Azure AD.

Узнать больше об основных понятиях SSPR можно в разделе Принципы самостоятельного сброса пароля в Azure AD.

Дополнительные сведения о концепциях работы MFA см. в статье Принцип работы многофакторной проверки подлинности Azure AD.

Узнайте, как настроить способы проверки подлинности с помощью REST API Microsoft Graph.

Дополнительную информацию см. в статье Анализ способа проверки подлинности с использованием Многофакторной проверки подлинности Azure AD и PowerShell.