Azure Active Directory 的無密碼驗證選項

多重要素驗證 (MFA) 這類功能是保護您組織的絕佳方法,但使用者通常會在必須記住其密碼的情況下,讓額外的安全性層級感到挫折。 無密碼 authentication 方法更為方便,因為密碼已移除,並取代為您擁有的內容,以及您或您所知的東西。

驗證 您有的項目 您或知道的事項
無密碼 Windows 10 裝置、電話或安全性金鑰 生物特徵辨識或 PIN

在驗證時,每個組織都有不同的需求。 Microsoft global Azure 和 Azure Government 提供下列三種無密碼驗證選項,可與 Azure Active Directory (Azure AD) 整合:

  • Windows Hello 企業版
  • Microsoft Authenticator 應用程式
  • FIDO2 安全性金鑰

驗證:安全性與便利性

Windows Hello 企業版

商務 Windows Hello 適用于擁有專屬 Windows PC 的資訊工作者。 生物識別和 PIN 認證會直接系結至使用者的電腦,以防止擁有者以外的任何人存取。 使用公開金鑰基礎結構 (PKI) 整合和內建的單一登入支援 (SSO) ,商務用 Windows Hello 提供便利的方法,讓您無縫存取內部部署和雲端中的公司資源。

使用 Windows Hello for Business 登入的使用者範例

下列步驟顯示登入程式如何與 Azure AD 搭配運作:

概述使用者使用 Windows Hello for Business 登入所需之步驟的圖表

  1. 使用者使用生物特徵辨識或釘選手勢登入 Windows。 手勢會解除鎖定商務私密金鑰的 Windows Hello,並傳送給雲端驗證安全性支援提供者,稱為「雲端 AP 提供者」。
  2. 雲端 AP 提供者要求 nonce (隨機任一數字,只要從 Azure AD) ,就可以使用該任一數字。
  3. Azure AD 會傳回有效期限為5分鐘的 nonce。
  4. 雲端 AP 提供者會使用使用者的私密金鑰來簽署 nonce,並將簽署的 nonce 傳回 Azure AD。
  5. Azure AD 會對 nonce 簽章使用使用者安全註冊的公開金鑰來驗證已簽署的 nonce。 驗證簽章之後,Azure AD 接著會驗證傳回的已簽署 nonce。 驗證 nonce 之後,Azure AD 會 (PRT) 建立主要重新整理權杖,並將工作階段金鑰加密為裝置的傳輸金鑰,並將其傳回給雲端 AP 提供者。
  6. 雲端 AP 提供者會使用工作階段金鑰接收加密的 PRT。 使用裝置的私人傳輸金鑰時,雲端 AP 提供者會使用裝置的可信賴平臺模組 (TPM) 來解密工作階段金鑰,並保護工作階段金鑰。
  7. 雲端 AP 提供者會將成功的驗證回應傳回 Windows。 然後,使用者就能夠存取 Windows 以及雲端和內部部署應用程式,而不需要再次驗證 (SSO) 。

「商務用 Windows Hello」規劃指南可用來協助您決定商務部署 Windows Hello 的類型,以及您需要考慮的選項。

Microsoft Authenticator 應用程式

您也可以讓員工的電話成為無密碼的驗證方法。 除了密碼以外,您可能已經使用 Microsoft Authenticator 應用程式做為方便的多重要素驗證選項。 您也可以使用 Authenticator 應用程式作為無密碼選項。

使用 Microsoft Authenticator 應用程式登入 Microsoft Edge

Authenticator 應用程式會將任何 iOS 或 Android 手機變成強式無密碼認證。 使用者可以登入任何平臺或瀏覽器,方法是取得電話的通知、比對畫面上顯示的數位與手機上的數位,然後使用其生物特徵辨識 (觸控或臉部) 或 PIN 來確認。 如需安裝詳細資料,請參閱下載並安裝 Microsoft Authenticator 應用程式

使用 Authenticator 應用程式的無密碼 authentication,會遵循與商務 Windows Hello 相同的基本模式。 由於必須識別使用者,讓 Azure AD 可以找到所使用的 Microsoft Authenticator 應用程式版本,因此會稍微複雜一點:

概述使用者使用 Microsoft Authenticator 應用程式登入所需之步驟的圖表

  1. 使用者輸入其使用者名稱。
  2. Azure AD 會偵測到使用者有強式認證,並啟動強式認證流程。
  3. 系統會透過 iOS 裝置上的 Apple Push Notification Service (APNS) 或在 Android 裝置上透過 Firebase 雲端通訊 (FCM) ,將通知傳送至應用程式。
  4. 使用者會收到推播通知,並開啟應用程式。
  5. 應用程式會呼叫 Azure AD,並接收目前狀態證明的挑戰和 nonce。
  6. 使用者藉由輸入其生物特徵辨識或 PIN 碼來解除鎖定私密金鑰,來完成此項挑戰。
  7. Nonce 會以私密金鑰簽署並傳送回 Azure AD。
  8. Azure AD 會執行公開/私密金鑰驗證並傳回權杖。

若要開始使用無密碼登入,請完成下列操作說明:

FIDO2 安全性金鑰

FIDO (快速身分識別線上) 聯盟有助於推廣開放式驗證標準,並減少使用密碼作為驗證形式。 FIDO2 是併入 Web 驗證 (WebAuthn) 標準的最新標準。

FIDO2 安全性金鑰是以 unphishable 標準為基礎的無密碼驗證方法,可採用任何外型規格。 快速身分識別線上 (FIDO) 是無密碼 authentication 的開放標準。 FIDO 可讓使用者和組織利用標準,在沒有使用者名稱或密碼的情況下登入其資源,而不需使用外部安全性金鑰或裝置內建的平臺金鑰。

使用者可以註冊,然後在登入介面選取 FIDO2 安全性金鑰,昨為其主要的驗證方法。 這些 FIDO2 的安全性金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 使用可處理驗證的硬體裝置時,由於沒有可公開或猜到的密碼,因而提高帳戶的安全性。

FIDO2 安全性金鑰可用來登入其 Azure AD 或已使用混合式 Azure AD 而聯結的 Windows 10 裝置,並單一登入其雲端和內部部署資源。 使用者也可以登入支援的瀏覽器。 針對非常注重安全性的企業,或有不願意或無法以其電話作為第二個因素的狀況或員工,FIDO2 安全性金鑰便是絕佳的選擇。

我們有一份參考檔,讓瀏覽器支援 Azure AD 的 FIDO2 authentication,以及開發人員想要在開發的應用程式中支援 FIDO2 auth的最佳作法。

使用安全性金鑰登入 Microsoft Edge

當使用者登入 FIDO2 安全性金鑰時,會使用下列處理常式:

概述使用者以 FIDO2 安全性金鑰登入所需之步驟的圖表

  1. 使用者將 FIDO2 安全性金鑰插入他們的電腦。
  2. Windows 會偵測 FIDO2 安全性金鑰。
  3. Windows 傳送驗證要求。
  4. Azure AD 傳回 nonce。
  5. 使用者完成其手勢來解除鎖定儲存在 FIDO2 安全性金鑰安全記憶體保護區中的私密金鑰。
  6. FIDO2 安全性金鑰會使用私密金鑰來簽署 nonce。
  7. 主要重新整理權杖 (具有簽署 nonce 的 PRT) 權杖要求會傳送至 Azure AD。
  8. Azure AD 使用 FIDO2 公開金鑰來驗證已簽署的 nonce。
  9. Azure AD 會傳回 PRT,以啟用對內部部署資源的存取。

FIDO2 安全性金鑰提供者

下列提供者提供 FIDO2 的安全性金鑰,這些是已知與無密碼體驗相容的不同外型規格。 我們建議您藉由聯絡廠商和 FIDO 聯盟來評估這些金鑰的安全性屬性。

提供者 生物 USB NFC BLE FIPS 認證 Contact
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ensurity y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
飛天 y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
GoTrustID Inc。 n y y y n https://www.gotrustid.com/idem-key
HID n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon 技術 Inc。 y y y y n https://www.idmelon.com/#idmelon
肯 辛 頓 y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NEOWAVE n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
OneSpan Inc。 n y n y n https://www.onespan.com/products/fido
Thales 群組 n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 瑞士 y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey 解決方案 y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

注意

如果您購買並計畫使用以 NFC 為基礎的安全性金鑰,則需要安全性金鑰支援的 NFC 讀取程式。 NFC 讀取器不是 Azure 需求或限制。 請洽詢廠商以取得以 NFC 為基礎的安全性金鑰,以取得支援的 NFC 讀取器清單。

如果您是廠商,而且想要讓您的裝置在這份支援的裝置清單上,請查看我們如何 成為 Microsoft 相容的 FIDO2 安全性金鑰廠商的指引。

若要開始使用 FIDO2 安全性金鑰,請完成下列操作說明:

支援的案例

您必須考量下列事項:

  • 系統管理員可以為其租使用者啟用無密碼驗證方法。

  • 系統管理員可以將所有使用者設為目標,或在其租使用者中選取每個方法的使用者/群組。

  • 使用者可以在他們的帳戶入口網站中註冊及管理這些無密碼 authentication 方法。

  • 使用者可以使用下列無密碼 authentication 方法登入:

    • Microsoft Authenticator 應用程式:適用于使用 Azure AD 驗證的案例,包括所有瀏覽器、Windows 10 設定期間,以及任何作業系統上的整合式行動裝置應用程式。
    • 安全性金鑰:在 Windows 10 的鎖定畫面上工作,並在支援的瀏覽器(例如 Microsoft Edge (舊版和新的 Edge) )中工作。
  • 使用者可以使用無密碼認證來存取租使用者中的資源(其為來賓),但可能仍需要在該資源租使用者中執行 MFA。 如需詳細資訊,請參閱 可能的雙重多重要素驗證

  • 使用者不能在其為來賓的租使用者中註冊無密碼認證,其方式與在該租使用者中管理密碼的方式相同。

選擇無密碼方法

這三個無密碼選項之間的選擇取決於您公司的安全性、平臺和應用程式需求。

以下是您在選擇 Microsoft 無密碼技術時應考慮的一些因素:

Windows Hello 企業版 使用 Microsoft Authenticator 應用程式無密碼登入 FIDO2 安全性金鑰
先決條件 Windows 10,版本 1809 或更新版本
Azure Active Directory
Microsoft Authenticator 應用程式
電話 (執行 Android 6.0 或更新版本的 iOS 和 Android 裝置。 )
Windows 10,1903版或更新版本
Azure Active Directory
模式 平台 軟體 硬體
系統和裝置 具有內建信賴平臺模組 (TPM) 的電腦
PIN 和生物識別辨識
手機上的 PIN 和生物識別辨識 FIDO2 Microsoft 相容的安全性裝置
使用者體驗 使用 PIN 或生物識別辨識進行登入, (臉部、鳶尾花或指紋) 搭配 Windows 裝置。
Windows Hello authentication 會系結至裝置; 使用者需要裝置和登入元件(例如 PIN 或生物特徵辨識因素)來存取公司資源。
使用具有指紋掃描、臉部或鳶尾花辨識或 PIN 的行動電話進行登入。
使用者可以從他們的電腦或行動電話登入工作或個人帳戶。
使用 FIDO2 安全性裝置登入 (生物識別、PIN 和 NFC)
使用者可以使用裝置來存取裝置,並根據 PIN、使用 USB 安全性金鑰和啟用 NFC 的智慧卡、金鑰或穿戴式裝置等裝置來進行生物特徵辨識。
啟用的案例 Windows 裝置的不使用密碼體驗。
適用于具有單一登入裝置和應用程式能力的專用工作電腦。
使用行動電話的無密碼隨處解決方案。
適用于從任何裝置存取網站上的工作或個人應用程式。
使用生物識別、PIN 和 NFC 之工作者的無密碼體驗。
適用于共用電腦,而且行動電話不是可行的選項 (例如支援服務中心人員、公共 kiosk 或醫院團隊)

使用下表來選擇可支援您的需求和使用者的方法。

角色 案例 環境 無密碼技術
管理員 安全存取裝置以進行管理工作 指派 Windows 10 裝置 商務和/或 FIDO2 安全性金鑰的 Windows Hello
管理員 非 Windows 裝置上的管理工作 行動裝置或非 windows 裝置 使用 Microsoft Authenticator 應用程式無密碼登入
資訊工作者 生產力工作 指派 Windows 10 裝置 商務和/或 FIDO2 安全性金鑰的 Windows Hello
資訊工作者 生產力工作 行動裝置或非 windows 裝置 使用 Microsoft Authenticator 應用程式無密碼登入
Frontline 背景工作 工廠、工廠、零售或資料輸入的 kiosk 共用的 Windows 10 裝置 FIDO2 安全性金鑰

下一步

若要開始使用 Azure AD 中的無密碼,請完成下列其中一個作法: