Microsoft Entra ID 的無密碼驗證選項

  • 文章

多重要素驗證 (MFA) 等功能是保護貴組織的絕佳方式,但使用者通常會因為必須記住其密碼而感到額外的安全性層感到沮喪。 無密碼驗證方法比較方便,因為密碼會移除,並以您擁有或知道的專案取代。

驗證 您有的項目 代表您本人或您所知的事物
無密碼 Windows 10 裝置、手機或安全性金鑰 生物特徵辨識或 PIN 碼

每個組織對於驗證都有不同的需求。 Microsoft Azure 和 Azure Government 提供下列四種無密碼驗證選項,可與 Microsoft Entra ID 整合:

  • Windows Hello 企業版
  • Microsoft 驗證器
  • 通行金鑰 (FIDO2)
  • 憑證型驗證

驗證:安全性與便利性

Windows Hello 企業版

Windows Hello 企業版非常適用於擁有專屬 Windows PC 的資訊工作者。 生物特徵辨識和 PIN 認證會直接繫結至使用者的電腦,以防止擁有者以外的任何人存取。 使用公開金鑰基礎結構 (PKI) 整合和內建的單一登入支援 (SSO),Windows Hello 企業版提供便利的方法,讓您無縫存取內部部署和雲端中的公司資源。

使用 Windows Hello 企業版 登入的用戶範例。

下列步驟顯示登入程序如何與 Microsoft Entra ID 搭配運作:

概述使用者使用 Windows Hello 企業版 登入相關步驟的圖表

  1. 使用者使用生物特徵辨識或 PIN 手勢登入 Windows。 手勢會解除鎖定 Windows Hello 企業版 私鑰,並傳送至雲端驗證安全性支援提供者,稱為 Cloud AP 提供者
  2. 雲端 AP 提供者會從 Microsoft Entra ID 要求 nonce(一個隨機任意數位,可一次使用)。
  3. Microsoft Entra ID 傳回 5 分鐘有效的 nonce。
  4. 雲端 AP 提供者使用使用者的私密金鑰簽署 nonce,並將已簽署的 nonce 傳回給 Microsoft Entra ID。
  5. Microsoft Entra ID 使用使用者安全登錄的公開金鑰,針對 nonce 簽章來驗證已簽署的 nonce。 Microsoft Entra ID 驗證簽章,然後驗證傳回的已簽署 nonce。 驗證 nonce 時,Microsoft Entra ID 會建立主要重新整理權杖 (PRT),其中工作階段金鑰會加密至裝置的傳輸密鑰,並將其傳回給雲端 AP 提供者。
  6. 雲端 AP 提供者收到具有工作階段金鑰的加密 PRT。 雲端 AP 提供者使用裝置的私人傳輸金鑰來解密工作階段金鑰,並使用裝置的受信任平台模組 (TPM) 來保護工作階段金鑰。
  7. 雲端 AP 提供者將成功的驗證回應傳回給 Windows。 然後,使用者就能夠存取 Windows 和雲端和內部部署應用程式,而不需要再次驗證 (SSO)。

Windows Hello 企業版 規劃指南可用來協助您決定 Windows Hello 企業版 部署的類型,以及您需要考慮的選項。

Microsoft 驗證器

您也可以讓員工的電話成為無密碼的驗證方法。 除了密碼之外,您也可以使用 Authenticator 應用程式作為方便的多重要素驗證選項。 您也可以使用 Authenticator 應用程式作為無密碼選項。

使用 Microsoft Authenticator 登入 Microsoft Edge

Authenticator 應用程式能將任何 iOS 或 Android 手機變成強式無密碼認證。 用戶可以透過收到通知來登入任何平臺或瀏覽器,將螢幕上顯示的號碼與手機上的號碼相符。 然後他們可以使用其生物特徵辨識(觸控或臉部)或 PIN 來確認。 如需 安裝詳細數據,請參閱下載並安裝 Microsoft Authenticator

使用 Authenticator 應用程式的無密碼驗證會遵循與 Windows Hello 企業版相同的基本模式。 這有點複雜,因為使用者需要經過識別,以便 Microsoft Entra ID 可以找到正在使用的 Authenticator 應用程式版本:

概述使用者使用 Microsoft Authenticator 應用程式登入相關步驟的圖表

  1. 使用者輸入其使用者名稱。
  2. Microsoft Entra ID 偵測使用者具有增強式認證,並啟動增強式認證流程。
  3. 透過 iOS 裝置上的 Apple Push Notification Service (APNS) 或 Android 裝置上的 Firebase Cloud Messaging (FCM),將通知傳送至應用程式。
  4. 使用者收到推播通知,並開啟應用程式。
  5. 應用程式呼叫 Microsoft Entra ID,並收到存在證明挑戰和 nonce。
  6. 使用者輸入生物特徵辨識或 PIN 來解除鎖定私密金鑰,以完成挑戰。
  7. nonce 使用私密金鑰簽署,並傳回給 Microsoft Entra ID。
  8. Microsoft Entra ID 執行公開/私密金鑰驗證,並傳回權杖。

若要開始使用無密碼登入,請完成下列操作說明:

使用 Authenticator 應用程式啟用無密碼簽署

通行金鑰 (FIDO2)

FIDO (快速線上身分識別) 聯盟有助於提升開放式驗證標準,並減少使用密碼的驗證形式。 FIDO2 是加入 Web 驗證 (WebAuthn) 標準的最新標準。

FIDO2 安全性金鑰是無法網路釣魚的標準無密碼驗證方法,可以是任何規格。 Fast Identity Online (FIDO) 是一種無密碼驗證開放標準。 FIDO 可讓使用者和組織使用外部安全性密鑰或內建在裝置中的平臺密鑰,將標準套用至其資源,而不需要使用者名稱或密碼。

使用者可以註冊,然後在登入介面選取 FIDO2 安全性金鑰,昨為其主要的驗證方法。 這些 FIDO2 的安全性金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 使用硬體裝置處理驗證,帳戶的安全性增加了,因為沒有可能公開或猜測的密碼。

可以使用 FIDO2 安全性金鑰來登入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的 Windows 10 裝置,並取得單一登入其雲端和內部部署資源。 使用者也可以登入支援的瀏覽器。 針對非常注重安全性的企業,或有不願意或無法以其電話作為第二個因素的狀況或員工,FIDO2 安全性金鑰便是絕佳的選擇。

請參閱這裡的參考檔: 使用 Microsoft Entra ID 支援 FIDO2 驗證。 如需開發人員最佳做法,請參閱 在開發的應用程式中支援 FIDO2 驗證。

使用安全性金鑰登入 Microsoft Edge

當使用者使用 FIDO2 安全性金鑰登入時,會使用下列程序:

概述使用者使用 FIDO2 安全性金鑰登入相關步驟的圖表

  1. 使用者將 FIDO2 安全性金鑰插入其電腦中。
  2. Windows 偵測 FIDO2 安全性金鑰。
  3. Windows 傳送驗證要求。
  4. Microsoft Entra ID 傳回 nonce。
  5. 使用者完成其手勢,以解除鎖定儲存在 FIDO2 安全性金鑰安全記憶體保護區中的私密金鑰。
  6. FIDO2 安全性金鑰使用私密金鑰簽署 nonce。
  7. 將具有已簽署 nonce 的主要重新整理權杖 (PRT) 權杖要求傳送至 Microsoft Entra ID。
  8. Microsoft Entra ID 使用 FIDO2 公開金鑰來驗證已簽署的 nonce。
  9. Microsoft Entra ID 傳回 PRT,以啟用內部部署資源的存取。

FIDO2 安全性金鑰提供者

下列提供者提供與無密碼體驗相容的不同尺寸 FIDO2 安全性密鑰。 我們鼓勵您透過連絡廠商和 FIDO 聯盟,評估這些金鑰的安全性屬性。

提供者 生物 USB NFC BLE
AuthenTrend y y y y
Acs n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Ensurity y y n n
Excelsecu y y y y
飛天 y y y y
Fortinet n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
n y y n
HIDEEZ n y y y
Hypersecu n y n n
Hypr y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
肯 辛 頓 y y n n
KONA I y n y y
NeoWave n y y n
尼米 y n y n
Octatco y y n n
OneSpan Inc. n y n y
PONE 生物特徵辨識 y n n y
精確度生物特徵辨識 n y n n
RSA n y n n
哨兵 n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales Group y y y n
Thetis y y y y
Token2 瑞士 y y y n
Token Ring y n y n
TrustKey 解決方案 y y n n
VinCSS n y n n
WiSECURE 技術 n y n n
Yubico y y y n

注意

如果您購買並計劃使用 NFC 型安全性金鑰,則需要安全性金鑰支援的 NFC 讀取器。 NFC 讀取器不是 Azure 需求或限制。 請洽詢廠商以 NFC 為基礎的安全性金鑰,以取得支援的 NFC 讀取器清單。

如果您是廠商,且想要將此支援的裝置清單上取得您的裝置,請參閱我們的指引,以 瞭解如何成為 Microsoft 相容的 FIDO2 安全性密鑰廠商

若要開始使用 FIDO2 安全性金鑰,請完成下列操作說明:

使用 FIDO2 安全性金鑰啟用無密碼簽署

憑證型驗證

Microsoft Entra 憑證式驗證 (CBA) 可讓客戶允許或要求使用者根據 Microsoft Entra ID 使用 X.509 憑證為應用程式和瀏覽器登入直接進行驗證。 CBA 可讓客戶採用網路釣魚防護驗證,並根據其公開金鑰基礎結構 (PKI) 使用 X.509 憑證進行登入。

Microsoft Entra 憑證型驗證的圖表。

使用 Microsoft Entra CBA 的主要優點

福利 描述
絕佳的使用者體驗 - 需要憑證式驗證的用戶現在可以直接根據 Microsoft Entra 標識符進行驗證,而不需要投資同盟 AD FS。
- 入口網站 UI 可讓使用者輕鬆地設定如何將憑證欄位對應至使用者物件屬性,以在租使用者中查閱使用者(憑證使用者名稱系結)
- 用來設定驗證原則入口網站 UI,以協助判斷哪些憑證是單一因素與多重要素。
易於部署和管理 - Microsoft Entra CBA 是免費功能,您不需要任何 Microsoft Entra ID 付費版本即可使用。
- 無需複雜的內部部署或網路設定。
- 直接根據 Microsoft Entra ID 進行驗證。
安全 - 內部部署密碼不需要以任何形式儲存在雲端中。
- 使用 Microsoft Entra 條件式存取原則順暢地保護您的用戶帳戶,包括網路釣魚防護 多重要素驗證 (MFA 需要 授權版本),以及封鎖舊版驗證。
- 增強式驗證支援可讓使用者透過憑證欄位 (例如簽發者或原則 OID (物件識別碼)) 來定義驗證原則,以判斷哪些憑證符合單一要素與多重要素的資格。
- 此功能可與條件式存取功能和驗證強度功能順暢地搭配運作,以強制執行 MFA 來協助保護您的使用者。

支援的案例

以下是支援的案例:

  • 使用者在所有平台上登入網頁瀏覽器型應用程式。
  • 使用者登入 iOS/Android 平臺上的 Office 行動應用程式,以及 Windows 中的 Office 原生應用程式,包括 Outlook、OneDrive 等等。
  • 使用者在行動原生瀏覽器上登入。
  • 支援使用憑證簽發者主體原則 OID 進行多重要素驗證的細微驗證規則。
  • 使用任何憑證欄位來設定憑證對用戶帳戶繫結:
    • 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Nare
    • 主體金鑰識別碼 (SKI) 和 SHA1PublicKey
  • 使用任何使用者物件屬性來設定憑證對用戶帳戶繫結:
    • 使用者主體名稱
    • onPremisesUserPrincipalName
    • CertificateUserIds

支援的案例

應注意下列考量:

  • 管理員 istrators 可以為其租用戶啟用無密碼驗證方法。
  • 管理員 istrators 可以鎖定所有使用者,或針對每個方法選取其租使用者內的使用者/安全組。
  • 用戶可以在其帳戶入口網站中註冊和管理這些無密碼驗證方法。
  • 使用者可以使用這些無密碼驗證方法登入:
    • 驗證器應用程式:適用於使用 Microsoft Entra 驗證的案例,包括跨所有瀏覽器、Windows 10 設定期間,以及在任何作業系統上使用整合式行動應用程式。
    • 安全性密鑰:在 Microsoft Edge 等支援瀏覽器的 Windows 10 和 Web 鎖定畫面上運作(舊版和新 Edge)。
  • 使用者可以使用無密碼認證來存取其為來賓之租使用者中的資源,但仍可能需要在該資源租用戶中執行 MFA。 如需詳細資訊,請參閱 可能的雙重多重要素驗證
  • 用戶無法在來賓所在的租用戶中註冊無密碼認證,其方式與該租用戶中沒有受管理的密碼相同。

不支援的情節

針對任何使用者帳戶的每個無密碼方法,我們建議不超過 20 組金鑰。 隨著新增更多索引鍵,用戶物件大小會增加,而且您可能會注意到某些作業的效能降低。 在此情況下,您應該移除不必要的金鑰。 如需詳細資訊和 PowerShell Cmdlet 來查詢和移除密鑰,請參閱使用 WHfBTools PowerShell 模組來清除孤立的 Windows Hello 企業版 金鑰使用 /UserPrincipalName 選擇性參數,只查詢特定使用者的索引鍵。 所需的許可權是以系統管理員或指定的使用者身分執行。

當您使用 PowerShell 建立包含所有現有金鑰的 CSV 檔案時,請仔細識別您需要保留的金鑰,並從 CSV 中移除那些資料列。 然後使用修改後的 CSV 搭配 PowerShell 來刪除其餘金鑰,使帳戶金鑰數目低於限制。

安全地刪除 CSV 中回報為 「Orphaned」=「True」 的任何密鑰。 孤立金鑰是 Microsoft Entra 識別碼中未再註冊之裝置的密鑰。 如果移除所有孤立專案仍然不會讓使用者帳戶低於限制,則必須查看 DeviceIdCreationTime 數據行,以識別要刪除的目標密鑰。 為了您想要保留的金鑰,請小心移除 CSV 中的任何資料列。 使用者正在使用之裝置的任何 DeviceID 金鑰,都應該在刪除步驟之前從 CSV 中移除。

選擇無密碼方法

這三個無密碼選項之間的選擇取決於您公司的安全性、平台和應用程式需求。

以下是選擇 Microsoft 無密碼技術時需要考慮的一些因素:

Windows Hello 企業版 使用 Authenticator 應用程式進行無密碼登入 FIDO2 安全性金鑰
必要條件 Windows 10,版本 1809 或更新版本
Microsoft Entra ID		 Authenticator 應用程式核准要求
手機 (iOS 和 Android 裝置)		 Windows 10 版本 1903 或更新版本
Microsoft Entra ID
模式 平台 軟體 硬體
系統和裝置 具有內建受信任平台模組 (TPM) 的電腦
PIN 和生物特徵辨識		 手機上的 PIN 和生物特徵辨識 與 Microsoft 相容的 FIDO2 安全性裝置
使用者體驗 使用 PIN 或生物特徵辨識 (臉部、虹膜或指紋) 搭配 Windows 裝置進行登入。
Windows Hello 驗證已繫結至裝置;使用者需要裝置和登入元件 (例如 PIN 或生物特徵辨識要素) 才能存取公司資源。		 使用具有指紋掃描、臉部或虹膜辨識或 PIN 的行動電話進行登入。
使用者從電腦或行動電話登入公司或個人帳戶。		 使用 FIDO2 安全性裝置登入 (生物特徵辨識、PIN 和 NFC)
用戶可以根據組織控制來存取裝置,並根據PIN、生物特徵辨識技術,使用USB安全性密鑰和已啟用 NFC 功能的智慧卡、密鑰或可穿戴裝置進行驗證。
已啟用的情節 Windows 裝置的無密碼體驗。
適用於能夠單一登入裝置和應用程式的專用工作電腦。		 使用行動電話的無密碼解決方案。
適用於從任何裝置存取網路上的工作或個人應用程式。		 使用生物特徵辨識、PIN 和 NFC 的無密碼背景工作體驗。
適用於共享電腦,以及行動電話不是可行的選項(例如技術支援人員、公用 Kiosk 或醫院小組)

使用下表來選擇哪一種方法支援您的需求和使用者。

角色 案例 Environment 無密碼技術
系統管理員 保護裝置的存取權以進行管理工作 已指派的 Windows 10 裝置 Windows Hello 企業版和/或 FIDO2 安全性金鑰
系統管理員 非 Windows 裝置上的管理工作 行動裝置或非 Windows 裝置 使用 Authenticator 應用程式進行無密碼登入
資訊工作者 生產力工作 已指派的 Windows 10 裝置 Windows Hello 企業版和/或 FIDO2 安全性金鑰
資訊工作者 生產力工作 行動裝置或非 Windows 裝置 使用 Authenticator 應用程式進行無密碼登入
前線工作者 中心、工廠、零售或資料輸入中的資訊亭 已共用的 Windows 10 裝置 FIDO2 安全性金鑰

下一步

若要開始使用 Microsoft Entra ID 中的無密碼,請完成下列其中一個操作說明: