Общая информация о вариантах проверки подлинности без использования пароля для Azure Active Directory

Такие функции, как многофакторная проверка подлинности (MFA), — отличный инструмент для защиты организации, но пользователей часто раздражает дополнительный уровень безопасности помимо ввода паролей. Методы проверки подлинности без пароля более удобны, потому что вместо пароля вам нужно что-то, что у вас есть, а также что-то, относящееся непосредственно к вам или известное только вам.

Аутентификация То, что у вас есть Что-то, относящееся непосредственно к вам, или то, что вы знаете
Вход без пароля Устройство или телефон с Windows 10 или ключ безопасности Биометрические данные или ПИН-код

У каждой организации есть свои потребности в отношении проверки подлинности. В Microsoft Global Azure и Azure для государственных организаций предусмотрены следующие три варианта проверки подлинности без пароля, которые интегрируются с Azure Active Directory (Azure AD):

  • Windows Hello для бизнеса
  • Приложение Microsoft Entra Authenticator
  • Ключи безопасности FIDO2

Authentication: Security versus convenience

Windows Hello для бизнеса

Windows Hello для бизнеса идеально подходит для информационных работников, у которых есть назначенный им компьютер под управлением Windows. Биометрическая информация и учетные данные напрямую привязаны к компьютеру пользователя, что исключает доступ других пользователей, кроме владельца. Благодаря интеграции с инфраструктурой открытых ключей (PKI) и встроенной поддержке единого входа (SSO) Windows Hello для бизнеса является удобным способом беспроблемного доступа к корпоративным ресурсам в локальной среде и в облаке.

Example of a user sign-in with Windows Hello for Business

Ниже показано, как процедура входа работает с Azure AD.

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. Пользователь входит в Windows с помощью биометрических данных или жеста. Жест разблокирует закрытый ключ Windows Hello для бизнеса и отправляется в облачный поставщик безопасности для проверки подлинности (облачный поставщик контроля доступа).
  2. Облачный поставщик контроля доступа запрашивает nonce (случайный произвольный номер, который можно использовать только один раз) в Azure AD.
  3. Azure AD возвращает nonce со сроком действия 5 минут.
  4. Облачный поставщик контроля доступа подписывает nonce закрытым ключом пользователя и возвращает подписанный элемент nonce в Azure AD.
  5. Azure AD проверяет подписанный nonce, используя защищенный зарегистрированный открытый ключ пользователя на сигнатуре nonce. Сначала Azure AD проверяет подпись, а затем проверяет возвращаемый подписанный ключ nonce. После проверки nonce Azure AD создает основной маркер обновления (PRT) с ключом сеанса, который зашифрован в ключе передачи устройства, и возвращает его облачному поставщику контроля доступа.
  6. Облачный поставщик контроля доступа получает зашифрованный PRT с ключом сеанса. Облачный поставщик контроля доступа использует закрытый ключ передачи устройства для расшифровки сеансового ключа и защищает его с помощью доверенного платформенного модуля (TPM) устройства.
  7. Облачный поставщик контроля доступа возвращает ответ об успешной проверке подлинности в Windows. Пользователь получает доступ к Windows, а также к облачным и локальным приложениям без повторной проверки подлинности (единый вход).

С помощью руководства по планированию вы можете принять решение о типе развертывания Windows Hello для бизнеса и факторах, которые необходимо учитывать.

Приложение Microsoft Entra Authenticator

Вы также можете разрешить сотруднику использовать свой телефон в качестве беспарольного способа проверки подлинности. Возможно, вы уже используете приложение Authenticator в качестве удобного инструмента многофакторной проверки подлинности в дополнение к паролю. Приложение Authenticator также можно использовать для входа без пароля.

Sign in to Microsoft Edge with the Microsoft Entra Authenticator app

Приложение Authenticator позволяет использовать любой телефон с iOS или Android для надежной проверки подлинности без пароля. Чтобы войти на любую платформу или в любой браузер, пользователь получает уведомление на телефон, сопоставляет номер на экране с номером на телефоне, а затем подтверждает вход с использованием своих биометрических данных или ПИН-кода. Сведения об установке см. в статье Загрузка и установка приложения Microsoft Entra Authenticator.

Проверка подлинности без пароля с помощью приложения Authenticator происходит по той же базовой схеме, что и в случае с Windows Hello для бизнеса. Она несколько сложнее, так как пользователя необходимо идентифицировать, чтобы служба Azure AD могла найти соответствующую версию Authenticator:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. Пользователь вводит свое имя пользователя.
  2. Azure AD определяет, что у пользователя есть надежные учетные данные, и запускает соответствующую процедуру.
  3. В приложение отправляется уведомление через Cлужбу push-уведомлений Apple (APNS) на устройствах iOS или через Firebase Cloud Messaging (FCM) на устройствах Android.
  4. Пользователь получает push-уведомление и открывает приложение.
  5. Приложение обращается к Azure AD и получает запрос на подтверждение присутствия и значение nonce.
  6. Пользователь отвечает на запрос, вводя свои биометрические данные или ПИН-код для разблокировки закрытого ключа.
  7. Значение nonce подписывается закрытым ключом и отправляется обратно в Azure AD.
  8. Azure AD выполняет проверку открытого и закрытого ключей и возвращает маркер.

Чтобы приступить к работе с решением для входа без пароля, воспользуйтесь следующими инструкциями:

Ключи безопасности FIDO2

Организация FIDO Alliance (Fast IDentity Online, быстрая идентификация в сети) помогает популяризировать открытые стандарты проверки подлинности и сократить использование пользователей в этих целях. FIDO2 — это новейшая версия стандарта, включающая стандарт веб-аутентификации (WebAuthn).

Ключи безопасности FIDO2 — это способ проверки подлинности без пароля на основе стандартов, реализуемый в любом форм-факторе. Fast Identity Online (FIDO) представляет собой открытый стандарт для проверки подлинности без пароля. FIDO позволяет пользователям и организациям входить на свои ресурсы без ввода имени или пароля с помощью внешнего ключа безопасности или ключа платформы, встроенного в устройство.

Пользователи могут зарегистрироваться, а затем выбрать ключ безопасности FIDO2 в интерфейсе входа в качестве основного средства проверки подлинности. Ключи безопасности FIDO2, как правило, представляют собой устройства USB, однако можно использовать и устройства с Bluetooth или NFC. При использовании аппаратного устройства для проверки подлинности безопасность учетной записи повышается, так как пароль невозможно подобрать или похитить.

Ключи безопасности FIDO2 можно использовать для входа на устройства Windows 10, присоединенные (в том числе гибридно) к Azure AD или гибридные и для реализации единого входа на облачные и локальные ресурсы. Пользователи также могут входить в поддерживаемых браузерах. Ключи безопасности FIDO2 — отличный вариант для предприятий с очень высокими требованиями к безопасности либо сценариями и сотрудниками, которые не готовы либо не могут использовать свой телефон в качестве второго фактора.

У нас есть справочный документ, посвященный браузерам, которые поддерживают проверку подлинности FIDO2 в Azure AD, а также рекомендации для разработчиков, желающих реализовать проверку подлинности FIDO2 в своих приложениях.

Sign in to Microsoft Edge with a security key

При входе пользователя с помощью ключа безопасности FIDO2 используется описанная ниже процедура.

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. Пользователь подключает ключ безопасности FIDO2 к своему компьютеру.
  2. Windows обнаруживает ключ безопасности FIDO2.
  3. Windows отправляет запрос на проверку подлинности.
  4. Azure AD отправляет обратно nonce.
  5. Пользователь с помощью жеста разблокирует закрытый ключ, хранящийся в безопасном анклаве ключа безопасности FIDO2.
  6. Ключ безопасности FIDO2 подписывает nonce с помощью закрытого ключа.
  7. В Azure AD отправляется запрос основного маркера обновления (PRT) с подписанным значением nonce.
  8. Azure AD проверяет подписанный nonce с помощью открытого ключа FIDO2.
  9. Azure AD возвращает PRT, чтобы разрешить доступ к локальным ресурсам.

Поставщики ключей безопасности FIDO2

Перечисленные ниже поставщики предлагают ключи безопасности FIDO2 различных форм-факторов, пригодные для входа без пароля. Мы рекомендуем изучить характеристики безопасности этих ключей, обратившись за информацией к поставщику, а также в FIDO Alliance.

Поставщик Биометрические данные USB NFC BLE Сертифицировано для FIPS Contact
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ciright n n y n n https://www.cyberonecard.com/
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y y y y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NeoWave n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
Octatco y y n n n https://octatco.com/
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Swissbit n y y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales Group n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 Switzerland y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Примечание

Если вы приобретаете и планируете использовать ключи безопасности на основе NFC, вам потребуется поддерживаемый NFC-сканер. Наличие NFC-сканера не является требованием или ограничением Azure. Чтобы получить список поддерживаемых NFC-сканеров, обратитесь к поставщику своего ключа безопасности NFC.

Если вы являетесь поставщиком и хотите занести свое устройство в списке поддерживаемых, ознакомьтесь с нашими инструкциями по получению статуса поставщика ключа безопасности FIDO2, совместимого с решениями Майкрософт.

Чтобы приступить к работе с ключами безопасности FIDO2, воспользуйтесь следующими инструкциями:

Поддерживаемые сценарии

Действительны следующие условия.

  • Администраторы могут включать различные способы проверки подлинности без пароля для своего арендатора.

  • Администраторы могут развертывать эти решения для всех сотрудников организации или выбирать отдельных пользователей и группы в арендаторе для каждого способа.

  • Пользователи могут регистрироваться и управлять этими способами проверки подлинности без пароля на портале учетных записей.

  • Пользователям доступны перечисленные ниже способы проверки подлинности без пароля.

    • Приложение Authenticator: работает в сценариях, где используется проверка подлинности Azure AD, в том числе во всех браузерах, во время установки Windows 10, а также с интегрированными мобильными приложениями в любой операционной системе.
    • Ключи безопасности: работают на экране блокировки Windows 10 и на веб-страницах в поддерживаемых браузерах, таких как Microsoft Edge (как в устаревшей, так и в новой версии).
  • Пользователи могут использовать учетные данные без пароля для доступа к ресурсам арендаторов, где они работают в режиме гостя, но при этом от них все равно может требоваться прохождение MFA на соответствующем арендаторе. Дополнительные сведения см. в статье Возможное дублирование многофакторной проверки подлинности.

  • Пользователи не могут регистрировать учетные данные для входа без пароля на арендаторе, где они работают в режиме гостя, равно как и иметь управляемый пароль на этом арендаторе.

Выбор способа входа без пароля

Выбор между тремя вариантами входа без пароля зависит от требований вашей компании к безопасности, платформе и приложениям.

Ниже приведены факторы, которые следует учитывать при выборе беспарольной технологии Майкрософт.

Windows Hello для бизнеса Вход без пароля с помощью приложения Authenticator Ключи безопасности FIDO2
Предварительные требования Windows 10 версии 1809 или более поздней.
Azure Active Directory
Приложение Authenticator
Телефон (устройства iOS и Android с Android 6.0 или более поздней версии)
Windows 10 версии 1903 или более поздней
Azure Active Directory
Режим Платформа Программное обеспечение Оборудование
Системы и устройства Компьютер со встроенным доверенным платформенным модулем (TPM)
ПИН-код и распознавание биометрических данных
ПИН-код и распознавание биометрических данных на телефоне Устройства безопасности FIDO2, совместимые с решениями Майкрософт
Возможности для пользователя Вход с использованием ПИН-кода или распознавания биометрических данных (лица, сетчатки или отпечатка пальца) с помощью устройств Windows.
Проверка подлинности Windows Hello привязана к устройству; для доступа к корпоративным ресурсам пользователю требуются как устройство, так и компонент входа, например ПИН-код или биометрический фактор.
Выход с использованием мобильного телефона со сканером отпечатков пальцев, распознаванием лица или сетчатки или ПИН-кодом.
Пользователи входят в рабочую или личную учетную запись со своего компьютера или мобильного телефона.
Вход с помощью устройства безопасности FIDO2 (биометрических данных, ПИН-кода и NFC)
Пользователи получают доступ к устройству согласно политике своей организации и проходят проверку подлинности с помощью ПИН-кода и биометрических данных с использованием таких устройств, как USB-ключи безопасности и смарт-карты, ключи или переносные устройства с поддержкой NFC.
Возможные сценарии Беспарольный интерфейс с использованием устройства Windows.
Подходит для выделенных рабочих компьютеров с возможностью единого входа на устройство и в приложения.
Портативное беспарольное решение с использованием мобильного телефона.
Подходит для доступа к рабочим и личным приложениям в Интернете с любого устройства.
Беспарольный интерфейс для сотрудников с использованием биометрии, ПИН-кода и NFC.
Подходит для работы на общих компьютерах и в том случае, когда мобильный телефон не является приемлемым вариантом (например, для персонала службы поддержки, общедоступных терминалов или в медицинских учреждениях).

С помощью таблицы ниже вы можете выбрать способ с учетом ваших потребностей и пользователей.

Пользователь Сценарий Среда Технология входа без пароля
Администратор Безопасный доступ к устройству для задач управления Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Администратор Задачи управления на устройствах не на платформе Windows Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Информационный работник Офисная работа Выделенное устройство под управлением Windows 10 Windows Hello для бизнеса и/или ключ безопасности FIDO2
Информационный работник Офисная работа Мобильное устройство или устройство не под управлением Windows Вход без пароля с помощью приложения Authenticator
Линейный персонал Терминалы на заводах, фабриках и в магазинах или ввод данных Общие устройства под управлением Windows 10 Ключи безопасности FIDO2

Дальнейшие действия

Чтобы приступить к работе с решениями для входа без пароля в Azure AD, воспользуйтесь одним из следующих пособий: