Beskriva Azure-autentiseringsmetoder

  • 6 minuter

Autentisering är en process för att fastställa identiteten för en person, tjänst eller enhet. Det kräver att personen, tjänsten eller enheten tillhandahåller någon typ av autentiseringsuppgifter för att bevisa vilka de är. Autentisering är som att presentera ID när du reser. Det bekräftar inte att du har biljett, det bevisar bara att du är den du säger att du är. Azure stöder flera autentiseringsmetoder, inklusive standardlösenord, enkel inloggning (SSO), multifaktorautentisering (MFA) och lösenordslös.

Under den längsta tiden verkade säkerhet och bekvämlighet strida mot varandra. Tack och lov ger nya autentiseringslösningar både säkerhet och bekvämlighet.

Följande diagram visar säkerhetsnivån jämfört med bekvämligheten. Observera att lösenordsfri autentisering är hög säkerhet och hög bekvämlighet medan lösenord på egen hand är låg säkerhet men hög bekvämlighet.

Four quadrant diagram showing security vs convenience, with Passwords + 2 Factor authentication being high security but low convenience.

Vad är enkel inloggning?

Enkel inloggning (SSO) gör det möjligt för en användare att logga in en gång och använda den autentiseringsuppgiften för att få åtkomst till flera resurser och program från olika leverantörer. För att enkel inloggning ska fungera måste de olika programmen och leverantörerna lita på den inledande autentiseringen.

Fler identiteter innebär flera lösenord att komma ihåg och ändra. Lösenordsprinciper kan variera mellan olika program. När kraven på komplexitet ökar blir det allt svårare för användarna att komma ihåg dem. Ju fler lösenord en användare behöver hantera, desto större risk för en säkerhetsincident relaterad till autentiseringsuppgifterna.

Tänk dig processen att hantera alla de här identiteterna. Mer belastning läggs på supportavdelningen när de hanterar kontoutelåsningar och begäranden om lösenordsåterställning. Om en användare lämnar en organisation kan det vara svårt att spåra alla dessa identiteter och se till att de är inaktiverade. Om en identitet förbises möjliggör detta åtkomst när den borde ha tagits bort.

Med enkel inloggning (SSO) behöver du bara komma ihåg ett enda ID och lösenord. Åtkomsten till olika program gest till en enda identitet som är kopplad till användaren, vilket gör säkerhetsmodellen enklare. När användare byter roll eller lämnar en organisation är åtkomsten knuten till en enda identitet. Den här ändringen minskar markant det arbete som krävs för att ändra eller inaktivera konton. Med enkel inloggning för konton blir det enklare för användare att hantera sina identiteter och för IT-hantering av användare.

Viktigt!

Enkel inloggning är bara lika säker som den inledande autentiseringen eftersom de efterföljande anslutningarna baseras på säkerheten för den inledande autentiseringen.

Vad är multifaktorautentisering?

Multifaktorautentisering är processen att fråga en användare om ett extra formulär (eller en faktor) för identifiering under inloggningsprocessen. MFA hjälper till att skydda mot lösenordsintrång i situationer där lösenordet komprometterades men den andra faktorn inte var det.

Tänk på hur du loggar in på webbplatser, e-post eller onlinetjänster. Har du någonsin behövt ange en kod som skickades till telefonen när du har angett ditt användarnamn och lösenord? I så fall har du loggat in med multifaktorautentisering.

Multifaktorautentisering ger bättre säkerhet för dina identiteter eftersom det behövs två eller flera element för att utföra en fullständig autentisering. De här elementen är indelade i tre kategorier:

  • Något som användaren vet – det kan vara en utmaningsfråga.
  • Något användaren har – det kan vara en kod som skickas till användarens mobiltelefon.
  • Något användaren är – detta är vanligtvis någon form av biometrisk egenskap, till exempel ett fingeravtryck eller ansiktsgenomsökning.

Multifaktorautentisering förbättrar skyddet av dina identiteter eftersom det inte gör lika mycket om någon kommer över ett av autentiseringssätten (till exempel vid stöld av användarnamn och lösenord). En angripare som har en användares lösenord skulle med multifaktorautentisering även behöva ha tillgång till användarens telefon eller fingeravtryck för att kunna autentisera fullständigt.

Jämför multifaktorautentisering med enfaktorautentisering. Med enfaktorautentisering behöver en angripare bara ett användarnamn och lösenord för att autentisera. Du bör alltid aktivera multifaktorautentisering när det är möjligt, eftersom det ger enorma fördelar vad gäller säkerheten.

Vad är Microsoft Entra multifaktorautentisering?

Microsoft Entra multifaktorautentisering är en Microsoft-tjänst som tillhandahåller funktioner för multifaktorautentisering. Med Microsoft Entra multifaktorautentisering kan användarna välja ytterligare en form av autentisering under inloggningen, till exempel ett telefonsamtal eller ett mobilappmeddelande.

Vad är lösenordsfri autentisering?

Funktioner som MFA är ett bra sätt att skydda din organisation, men användarna blir ofta frustrerade över det extra säkerhetsskiktet utöver att behöva komma ihåg sina lösenord. Personer är mer benägna att följa när det är enkelt och bekvämt att göra det. Lösenordslösa autentiseringsmetoder är mer praktiska eftersom lösenordet tas bort och ersätts med något du har, plus något du är, eller något du känner till.

Lösenordslös autentisering måste konfigureras på en enhet innan den kan fungera. Datorn är till exempel något du har. När den har registrerats eller registrerats vet Azure nu att den är associerad med dig. Nu när datorn är känd kan du autentiseras utan att använda ett lösenord när du har angett något du känner till eller är (till exempel en PIN-kod eller ett fingeravtryck).

Varje organisation har olika behov när det gäller autentisering. Microsoft global Azure och Azure Government erbjuder följande tre alternativ för lösenordslös autentisering som integreras med Microsoft Entra-ID:

  • Windows Hello för företag
  • Microsoft Authenticator-appen
  • FIDO2-säkerhetsnycklar

Windows Hello för företag

Windows Hello för företag är perfekt för informationsarbetare som har sin egen avsedda Windows-dator. De biometriska autentiseringsuppgifterna och PIN-autentiseringsuppgifterna är direkt kopplade till användarens dator, vilket förhindrar åtkomst från någon annan än ägaren. Med integrering av offentlig nyckelinfrastruktur (PKI) och inbyggt stöd för enkel inloggning (SSO) är Windows Hello för företag en praktisk metod för sömlös åtkomst till företagsresurser lokalt och i molnet.

Microsoft Authenticator-appen

Du kan också tillåta att medarbetarens telefon blir en lösenordslös autentiseringsmetod. Du kanske redan använder Microsoft Authenticator-appen som ett praktiskt alternativ för multifaktorautentisering utöver ett lösenord. Du kan också använda Authenticator-appen som ett lösenordslöst alternativ.

Authenticator-appen omvandlar alla iOS- eller Android-telefoner till en stark, lösenordslös autentiseringsuppgift. Användare kan logga in på valfri plattform eller webbläsare genom att få ett meddelande till sin telefon, matcha ett nummer som visas på skärmen med det på telefonen och sedan använda deras biometriska (touch eller ansikte) eller PIN-kod för att bekräfta. Information om installation finns i Ladda ned och installera Microsoft Authenticator-appen.

FIDO2-säkerhetsnycklar

FIDO-alliansen (Fast IDentity Online) hjälper till att främja öppna autentiseringsstandarder och minska användningen av lösenord som en form av autentisering. FIDO2 är den senaste standarden som innehåller webbautentiseringsstandarden (WebAuthn).

FIDO2-säkerhetsnycklar är en oförstörbar standardbaserad lösenordsfri autentiseringsmetod som kan komma i vilken formfaktor som helst. Fast Identity Online (FIDO) är en öppen standard för lösenordsfri autentisering. MED FIDO kan användare och organisationer använda standarden för att logga in på sina resurser utan användarnamn eller lösenord med hjälp av en extern säkerhetsnyckel eller en plattformsnyckel som är inbyggd i en enhet.

Användare kan registrera sig och sedan välja en FIDO2-säkerhetsnyckel i inloggningsgränssnittet som huvudmedel för autentisering. Dessa FIDO2-säkerhetsnycklar är vanligtvis USB-enheter, men kan också använda Bluetooth eller NFC. Med en maskinvaruenhet som hanterar autentiseringen ökar säkerheten för ett konto eftersom det inte finns något lösenord som kan exponeras eller gissas.