Варианты проверки подлинности без пароля для Microsoft Entra ID

Такие функции, как многофакторная проверка подлинности (MFA), — отличный инструмент для защиты организации, но пользователей часто раздражает дополнительный уровень безопасности помимо ввода паролей. Методы проверки подлинности без пароля более удобны, потому что вместо пароля вам нужно что-то, что у вас есть, а также что-то, относящееся непосредственно к вам или известное только вам.

Проверка подлинности То, что у вас есть Что-то, относящееся непосредственно к вам, или то, что вы знаете
Без пароля Устройство или телефон с Windows 10 или ключ безопасности Биометрические данные или ПИН-код

У каждой организации есть свои потребности в отношении проверки подлинности. Microsoft Azure и Azure для государственных организаций предлагают следующие четыре варианта проверки подлинности без пароля, которые интегрируются с идентификатором Microsoft Entra:

  • Windows Hello для бизнеса
  • Microsoft Authenticator
  • Ключи безопасности FIDO2
  • Проверка подлинности на основе сертификатов

Authentication: Security versus convenience

Windows Hello для бизнеса

Windows Hello для бизнеса идеально подходит для информационных работников, у которых есть назначенный им компьютер под управлением Windows. Биометрическая информация и учетные данные напрямую привязаны к компьютеру пользователя, что исключает доступ других пользователей, кроме владельца. Благодаря интеграции с инфраструктурой открытых ключей (PKI) и встроенной поддержке единого входа (SSO) Windows Hello для бизнеса является удобным способом беспроблемного доступа к корпоративным ресурсам в локальной среде и в облаке.

Example of a user sign-in with Windows Hello for Business

Ниже показано, как процесс входа работает с идентификатором Microsoft Entra:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. Пользователь входит в Windows с помощью биометрических данных или жеста. Жест разблокирует закрытый ключ Windows Hello для бизнеса и отправляется в облачный поставщик безопасности для проверки подлинности (облачный поставщик контроля доступа).
  2. Поставщик Облачных AP запрашивает нецелевое (случайное произвольное число, которое может использоваться только один раз) из идентификатора Microsoft Entra.
  3. Идентификатор Microsoft Entra возвращает неисключаемое значение в течение 5 минут.
  4. Поставщик Облачных AP подписывает неисключаемую подпись с помощью закрытого ключа пользователя и возвращает подписанный nonce идентификатору Microsoft Entra.
  5. Идентификатор Microsoft Entra проверяет подписанный nonce с помощью безопасно зарегистрированного открытого ключа пользователя на основе подписи, отличной от подписи. Идентификатор Microsoft Entra проверяет подпись, а затем проверяет возвращенный подписанный nonce. При проверке несоответствия идентификатор Microsoft Entra создает первичный маркер обновления (PRT) с ключом сеанса, зашифрованным для ключа транспорта устройства, и возвращает его поставщику Облачных AP.
  6. Облачный поставщик контроля доступа получает зашифрованный PRT с ключом сеанса. Облачный поставщик контроля доступа использует закрытый ключ передачи устройства для расшифровки сеансового ключа и защищает его с помощью доверенного платформенного модуля (TPM) устройства.
  7. Облачный поставщик контроля доступа возвращает ответ об успешной проверке подлинности в Windows. Пользователь получает доступ к Windows, а также к облачным и локальным приложениям без повторной проверки подлинности (единый вход).

С помощью руководства по планированию вы можете принять решение о типе развертывания Windows Hello для бизнеса и факторах, которые необходимо учитывать.

Microsoft Authenticator

Вы также можете разрешить сотруднику использовать свой телефон в качестве беспарольного способа проверки подлинности. Возможно, вы уже используете приложение Authenticator в качестве удобного инструмента многофакторной проверки подлинности в дополнение к паролю. Приложение Authenticator также можно использовать для входа без пароля.

Sign in to Microsoft Edge with the Microsoft Authenticator

Приложение Authenticator позволяет использовать любой телефон с iOS или Android для надежной проверки подлинности без пароля. Чтобы войти на любую платформу или в любой браузер, пользователь получает уведомление на телефон, сопоставляет номер на экране с номером на телефоне, а затем подтверждает вход с использованием своих биометрических данных или ПИН-кода. Сведения об установке см. в статье Скачивание и установка приложения Microsoft Authenticator.

Проверка подлинности без пароля с помощью приложения Authenticator происходит по той же базовой схеме, что и в случае с Windows Hello для бизнеса. Это немного сложнее, так как пользователь должен быть идентифицирован таким образом, чтобы идентификатор Microsoft Entra смог найти используемую версию приложения Authenticator:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. Пользователь вводит свое имя пользователя.
  2. Идентификатор Microsoft Entra обнаруживает, что у пользователя есть надежные учетные данные и запускается поток надежных учетных данных.
  3. В приложение отправляется уведомление через Cлужбу push-уведомлений Apple (APNS) на устройствах iOS или через Firebase Cloud Messaging (FCM) на устройствах Android.
  4. Пользователь получает push-уведомление и открывает приложение.
  5. Приложение вызывает идентификатор Microsoft Entra и получает запрос на подтверждение присутствия и nonce.
  6. Пользователь отвечает на запрос, вводя свои биометрические данные или ПИН-код для разблокировки закрытого ключа.
  7. Nonce подписан закрытым ключом и отправляется обратно в идентификатор Microsoft Entra.
  8. Идентификатор Microsoft Entra выполняет проверку открытого и закрытого ключа и возвращает маркер.

Чтобы приступить к работе с решением для входа без пароля, воспользуйтесь следующими инструкциями:

Ключи безопасности FIDO2

Организация FIDO Alliance (Fast IDentity Online, быстрая идентификация в сети) помогает популяризировать открытые стандарты проверки подлинности и сократить использование пользователей в этих целях. FIDO2 — это новейшая версия стандарта, включающая стандарт веб-аутентификации (WebAuthn).

Ключи безопасности FIDO2 — это способ проверки подлинности без пароля на основе стандартов, реализуемый в любом форм-факторе. Fast Identity Online (FIDO) представляет собой открытый стандарт для проверки подлинности без пароля. FIDO позволяет пользователям и организациям входить на свои ресурсы без ввода имени или пароля с помощью внешнего ключа безопасности или ключа платформы, встроенного в устройство.

Пользователи могут зарегистрироваться, а затем выбрать ключ безопасности FIDO2 в интерфейсе входа в качестве основного средства проверки подлинности. Ключи безопасности FIDO2, как правило, представляют собой устройства USB, однако можно использовать и устройства с Bluetooth или NFC. При использовании аппаратного устройства для проверки подлинности безопасность учетной записи повышается, так как пароль невозможно подобрать или похитить.

Ключи безопасности FIDO2 можно использовать для входа в свои идентификаторы Microsoft Entra или гибридных устройств Windows 10 и получения единого входа в облачные и локальные ресурсы. Пользователи также могут входить в поддерживаемых браузерах. Ключи безопасности FIDO2 — отличный вариант для предприятий с очень высокими требованиями к безопасности либо сценариями и сотрудниками, которые не готовы либо не могут использовать свой телефон в качестве второго фактора.

У нас есть справочный документ, для которого браузеры поддерживают проверку подлинности FIDO2 с идентификатором Microsoft Entra ID и рекомендации для разработчиков, желающих поддерживать проверку подлинности FIDO2 в приложениях, которые они разрабатывают.

Sign in to Microsoft Edge with a security key

При входе пользователя с помощью ключа безопасности FIDO2 используется описанная ниже процедура.

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. Пользователь подключает ключ безопасности FIDO2 к своему компьютеру.
  2. Windows обнаруживает ключ безопасности FIDO2.
  3. Windows отправляет запрос на проверку подлинности.
  4. Идентификатор Microsoft Entra отправляет обратно nonce.
  5. Пользователь с помощью жеста разблокирует закрытый ключ, хранящийся в безопасном анклаве ключа безопасности FIDO2.
  6. Ключ безопасности FIDO2 подписывает nonce с помощью закрытого ключа.
  7. Основной запрос маркера обновления (PRT) с подписанным nonce отправляется в идентификатор Microsoft Entra ID.
  8. Идентификатор Microsoft Entra проверяет подписанный nonce с помощью открытого ключа FIDO2.
  9. Идентификатор Microsoft Entra возвращает PRT, чтобы обеспечить доступ к локальным ресурсам.

Поставщики ключей безопасности FIDO2

Перечисленные ниже поставщики предлагают ключи безопасности FIDO2 различных форм-факторов, пригодные для входа без пароля. Мы рекомендуем оценить свойства безопасности этих ключей, связався с поставщиком, а также альянсом FIDO.

Provider Биометрические данные USB NFC BLE
AuthenTrend y y y y
ACS n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Крейоник y n y y
Криптонокс n y y n
Обеспечение безопасности y y n n
Excelsecu y y y y
Фейтиан y y y y
Fortinet n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
СПРЯТАЛ n y y n
HIDEEZ n y y y
Hypersecu n y n n
Hypr y y n y
Идентив n y y n
IDmelon Technologies Inc. y y y y
Кенсингтон y y n n
KONA I y n y y
NeoWave n y y n
Nymi y n y n
Octatco y y n n
OneSpan Inc. n y n y
Биометрические данные PONE y n n y
Биометрические данные точности n y n n
RSA n y n n
Караул n n y n
SmartDisplayer y y y y
Swissbit n y y n
Группа Thales y y y n
Фетида y y y y
Token2 Швейцария y y y n
Кольцо токена y n y n
Решения TrustKey y y n n
ВинКСS n y n n
Технологии WiSECURE n y n n
Yubico y y y n

Примечание.

Если вы приобретаете и планируете использовать ключи безопасности на основе NFC, вам потребуется поддерживаемый NFC-сканер. Наличие NFC-сканера не является требованием или ограничением Azure. Чтобы получить список поддерживаемых NFC-сканеров, обратитесь к поставщику своего ключа безопасности NFC.

Если вы являетесь поставщиком и хотите занести свое устройство в списке поддерживаемых, ознакомьтесь с нашими инструкциями по получению статуса поставщика ключа безопасности FIDO2, совместимого с решениями Майкрософт.

Чтобы приступить к работе с ключами безопасности FIDO2, воспользуйтесь следующими инструкциями:

Проверка подлинности на основе сертификатов

Проверка подлинности на основе сертификатов (CBA) Microsoft Entra позволяет клиентам разрешать или требовать, чтобы пользователи могли выполнять проверку подлинности непосредственно с помощью сертификатов X.509 в соответствии с идентификатором Microsoft Entra для приложений и входа в браузер. CBA позволяет клиентам принимать фишинговую проверку подлинности и выполнять вход с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).

Diagram of Microsoft Entra certificate-based authentication.

Основные преимущества использования Microsoft Entra CBA

Льготы Description
Удобство работы для пользователей — Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую пройти проверку подлинности в идентификаторе Microsoft Entra ИД, а не инвестировать в федеративные ad FS.
- Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата).
- Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными.
Простота развертывания и администрирования — Microsoft Entra CBA — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra.
- Не требуются сложные локальные развертывания или настройка сети.
— непосредственно пройти проверку подлинности в идентификаторе Microsoft Entra.
Защита — Локальные пароли не должны храниться в облаке в любой форме.
— защищает учетные записи пользователей, легко работая с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности с поддержкой фишинга (MFA требуется лицензированная версия) и блокируя устаревшую проверку подлинности.
— Строгой поддержкой проверки подлинности, в которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты определяются как однофакторные и многофакторные.
— Эта функция легко работает с функциями условного доступа и возможностями проверки подлинности для обеспечения безопасности пользователей.

Поддерживаемые сценарии

Поддерживаются следующие сценарии:

  • Вход пользователей в браузерные приложения на всех платформах.
  • Вход пользователей в мобильные приложения Office на платформах iOS и Android, а также собственные приложения Office в Windows, включая Outlook, OneDrive и т. д.
  • Вход пользователей в собственные браузеры для мобильных устройств.
  • Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
  • Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
    • Альтернативное имя субъекта (SAN) и SAN RFC822Name
    • Идентификатор ключа субъекта (SKI) и SHA1PublicKey
  • Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
    • Имя субъекта-пользователя
    • onPremisesUserPrincipalName
    • CertificateUserIds

Поддерживаемые сценарии

Действуют следующие ограничения:

  • Администраторы могут включать различные способы проверки подлинности без пароля для своего арендатора.
  • Администратор istrators могут нацелиться на всех пользователей или выбрать группы безопасности в клиенте для каждого метода.
  • Пользователи могут регистрироваться и управлять этими способами проверки подлинности без пароля на портале учетных записей.
  • Пользователи могут войти с помощью следующих методов проверки подлинности без пароля:
    • Приложение Authenticator: работает в сценариях, где используется проверка подлинности Microsoft Entra, включая все браузеры, во время установки Windows 10 и интегрированные мобильные приложения в любой операционной системе.
    • Ключи безопасности: работают на экране блокировки Windows 10 и на веб-страницах в поддерживаемых браузерах, таких как Microsoft Edge (как в устаревшей, так и в новой версии).
  • Пользователи могут использовать учетные данные без пароля для доступа к ресурсам арендаторов, где они работают в режиме гостя, но при этом от них все равно может требоваться прохождение MFA на соответствующем арендаторе. Дополнительные сведения см. в статье Возможное дублирование многофакторной проверки подлинности.
  • Пользователи не могут регистрировать учетные данные для входа без пароля на арендаторе, где они работают в режиме гостя, равно как и иметь управляемый пароль на этом арендаторе.

Неподдерживаемые сценарии

Мы рекомендуем не более 20 наборов ключей для каждого метода без пароля для любой учетной записи пользователя. По мере добавления дополнительных ключей размер объекта пользователя увеличивается, и вы можете заметить снижение некоторых операций. В этом случае следует удалить ненужные ключи. Дополнительные сведения и командлеты PowerShell для запроса и удаления ключей см. в модуле WHfBTools PowerShell для очистки потерянных ключей Windows Hello для бизнеса. В разделе используется необязательный параметр /UserPrincipalName для запроса только ключей для конкретного пользователя. Разрешения, необходимые для запуска от имени администратора или указанного пользователя.

При использовании PowerShell для создания CSV-файла со всеми существующими ключами тщательно определите ключи, которые необходимо сохранить, и удалите эти строки из CSV-файла. Затем используйте измененный CSV-файл с PowerShell, чтобы удалить оставшиеся ключи, чтобы привести число ключей учетной записи в пределах ограничения.

В CSV можно удалить любой ключ, указанный как "Потерянный"="True". Потерянный ключ является одним из устройств, которые больше не зарегистрированы в идентификаторе Записи. Если удаление всех потерянных объектов по-прежнему не приводит учетную запись пользователя ниже предела, необходимо просмотреть столбцы DeviceId и CreationTime, чтобы определить, какие ключи следует использовать для удаления. Будьте осторожны, чтобы удалить любую строку в CSV для ключей, которые вы хотите сохранить. Ключи для любого идентификатора устройства, соответствующего устройствам, которые пользователь активно использует, следует удалить из CSV-файла перед шагом удаления.

Выбор способа входа без пароля

Выбор между тремя вариантами входа без пароля зависит от требований вашей компании к безопасности, платформе и приложениям.

Ниже приведены факторы, которые следует учитывать при выборе беспарольной технологии Майкрософт.

Windows Hello для бизнеса Вход без пароля с помощью приложения Authenticator Ключи безопасности FIDO2
Предварительные требования Windows 10 версии 1809 и выше
Microsoft Entra ID
Microsoft Authenticator
Телефон (устройства iOS и Android)
Windows 10 версии 1903 или более поздней
Microsoft Entra ID
Режим Платформа Программное обеспечение. Оборудование
Системы и устройства Компьютер со встроенным доверенным платформенным модулем (TPM)
ПИН-код и распознавание биометрических данных
ПИН-код и распознавание биометрических данных на телефоне Устройства безопасности FIDO2, совместимые с решениями Майкрософт
Возможности для пользователя Вход с использованием ПИН-кода или распознавания биометрических данных (лица, сетчатки или отпечатка пальца) с помощью устройств Windows.
Проверка подлинности Windows Hello привязана к устройству; для доступа к корпоративным ресурсам пользователю требуются как устройство, так и компонент входа, например ПИН-код или биометрический фактор.
Выход с использованием мобильного телефона со сканером отпечатков пальцев, распознаванием лица или сетчатки или ПИН-кодом.
Пользователи входят в рабочую или личную учетную запись со своего компьютера или мобильного телефона.
Вход с помощью устройства безопасности FIDO2 (биометрических данных, ПИН-кода и NFC)
Пользователи получают доступ к устройству согласно политике своей организации и проходят проверку подлинности с помощью ПИН-кода и биометрических данных с использованием таких устройств, как USB-ключи безопасности и смарт-карты, ключи или переносные устройства с поддержкой NFC.
Возможные сценарии Беспарольный интерфейс с использованием устройства Windows.
Подходит для выделенных рабочих компьютеров с возможностью единого входа на устройство и в приложения.
Портативное беспарольное решение с использованием мобильного телефона.
Подходит для доступа к рабочим и личным приложениям в Интернете с любого устройства.
Беспарольный интерфейс для сотрудников с использованием биометрии, ПИН-кода и NFC.
Подходит для работы на общих компьютерах и в том случае, когда мобильный телефон не является приемлемым вариантом (например, для персонала службы поддержки, общедоступных терминалов или в медицинских учреждениях).

С помощью таблицы ниже вы можете выбрать способ с учетом ваших потребностей и пользователей.

Пользователь Сценарий Среда Технология входа без пароля
Администратор Безопасный доступ к устройству для задач управления Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Администратор Задачи управления на устройствах не на платформе Windows Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Информационный работник Офисная работа Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Информационный работник Офисная работа Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Линейный персонал Терминалы на заводах, фабриках и в магазинах или ввод данных Общие устройства под управлением Windows 10 Ключи безопасности FIDO2

Следующие шаги

Чтобы приступить к работе с без пароля в идентификаторе Microsoft Entra, выполните одно из следующих инструкций.