הגדר אימות ללא סיסמה בחשבון Microsoft שלך

La אימות ללא סיסמה עבור חשבונות מיקרוסופט זה כבר לא עתידני או בלעדי לסביבות מתקדמות ביותר. כיום, כל אחד יכול להתחבר ל-Microsoft 365, ל-Entra ID (לשעבר Azure AD), או לחשבון Microsoft האישי שלו באמצעות הטלפון הנייד, אמצעי ביומטריה או מפתחות אבטחה, מבלי להקליד סיסמה אחת. מלבד היותו נוח יותר, זהו אמצעי מפתח להפחתת גניבת אישורים והתקפות פישינג.

במאמר זה נבחן, בפירוט רב, כיצד פועלת כניסה ללא סיסמה עם Microsoft Authenticator ו-Passkeysנסקור מה הארגון שלך צריך כדי ליישם זאת, כיצד להפעיל זאת כמנהל ב-Microsoft Entra ID, מה משתמשי קצה יכולים לעשות, ואילו מגבלות או בעיות ידועות קיימות. נראה גם מדוע מיקרוסופט כל כך מתעקשת לנטוש את הסיסמה המסורתית וכיצד כל זה משתלב באסטרטגיית אבטחה של Zero Trust.

למה מיקרוסופט רוצה לבטל סיסמאות

סיסמאות הפכו ל וקטור תקיפה ראשוני בסביבות ארגוניות ואישיותהם נמצאים בשימוש חוזר, דולפים בפריצות אבטחה, מנחשים, נגנבים באמצעות פישינג או תוכנות זדוניות, ובהזדמנות הקלה ביותר, תוקף מקבל גישה מלאה לחשבונות דוא"ל, מסמכים ויישומים קריטיים.

מודלים קלאסיים של אבטחה המבוססים על "שם משתמש + סיסמה" ועוד גורם בסיסי שני (לדוגמה, SMS) טובים יותר מסיסמה בלבד, אך עדיין יש להם לא מעט חולשות: הודעות טקסט ניתנות ליירוט, משתמשים עדיין נופלים לאתרי פישינג, וגניבת אישורים בקנה מידה גדול נמשכת.

כדי להפחית את כל הסיכון הזה, מיקרוסופט ממליצה לעבור ל שיטות אימות ללא סיסמה עמידות בפני זיופיםשיטות אלו מסתמכות על אישורים המקושרים למכשיר פיזי (נייד, מחשב נייד, מפתח וכו') ודורשות משהו שיש לך (המכשיר) ומשהו שאתה יודע או שאתה (קוד סודי, טביעת אצבע, פנים), וממלאות את MFA באופן משולב, מבלי לאלץ את המשתמש לזכור דבר.

יתר על כן, כניסות באמצעות מפתחות סיסמה או אישורי FIDO2 מהירות הרבה יותר. לפי נתונים פנימיים של מיקרוסופט, אימות סיסמה יכול להימשך כ-24 שניותבעוד שמפתח גישה טיפוסי מאומת תוך כ-8 שניות, ואף פחות (כ-3 שניות) אם מדובר במפתח גישה שסונכרן במנהלי סיסמאות כמו Google Password Manager או iCloud Keychain.

השילוב הזה של יותר בטיחות ופחות חיכוך עבור משתמש הקצה, זו הסיבה ש-Microsoft דוחפת כל כך חזק את הפלטפורמה ללא סיסמה שלה ב-Microsoft Sign In ID ובכל המערכת האקולוגית של Microsoft 365 ו-Windows.

אפשרויות אימות ללא סיסמה במזהה הכניסה של מיקרוסופט

Microsoft Entra ID מציע מספר דרכים ל התחברות ללא הזנת סיסמאותמיועד הן למכשירים אישיים והן למכשירים עסקיים, ולסוגים שונים של משתמשים ותרחישים. הקטגוריות העיקריות שהוא כולל כעת הן:

קודם כל, יש את מפתחות סיסמה (FIDO2 / מפתחות סיסמה)אלו הם אישורים המבוססים על תקני FIDO2 המאוחסנים במכשיר (לדוגמה, מפתח אבטחה או סיסמת פלטפורמה). הם יכולים להיות מפתחות המסונכרנים דרך מנהלי סיסמאות כמו Google Password Manager או iCloud, או מפתחות המבוססים על חומרה פיזית כמו YubiKey ומכשירים דומים.

שנית, מיקרוסופט כוללת חלונות שלום לעסקיםטכנולוגיה זו יוצרת אישור המקושר למחשב Windows, המוגן על ידי קוד סודי או זיהוי ביומטריה (טביעת אצבע או זיהוי פנים). זהו הבסיס לכניסות ללא סיסמה לשולחן העבודה של Windows כאשר המכשיר מחובר למזהה כניסה של Microsoft או מנוהל כראוי.

אפשרות נוספת היא מפתחות התחברות של מיקרוסופט. התחבר ל-Windows. (בגרסה ראשונית) ו- אישורי פלטפורמה עבור macOS (גם בתצוגה מקדימה). שניהם מאפשרים למערכת ההפעלה לנהל אישורים ללא סיסמה המשולבים ישירות עם Entra ID, ובכך לפשט את ההתחברות המאובטחת בסביבות מודרניות.

בעולם המובייל, בולטים הדברים הבאים: מקשי גישה ביישום המאמת של מיקרוסופטכאן נכנסת לתמונה כניסה לטלפון ללא סיסמה: המשתמש מאשר התראה באפליקציה, מזין את המספר המוצג על המסך ומאשר באמצעות קוד סודי או זיהוי ביומטריה של המכשיר, מבלי להקליד את סיסמת החשבון.

לבסוף, מיקרוסופט ממשיכה לתמוך כרטיסים חכמים ואימות מבוסס תעודותאשר יכולים להיחשב כאישורים ללא סיסמה בסביבות עסקיות רבות וגם לעמוד היטב בניסיונות פישינג כאשר הם מיושמים כראוי.

כיצד פועל Microsoft Authenticator להתחברות ללא סיסמה

בקשה מאמת של Microsoft זהו מרכיב מפתח באסטרטגיה ללא סיסמה של מיקרוסופט. זמין עבור iOS ואנדרואיד, הוא תומך גם באימות רב-גורמי קלאסי (MFA עם הודעות דחיפה או קודים) וגם כניסה חיוגית ללא סיסמה.

מאחורי המאמת יש אימות מבוסס מפתחבעיקרון, נוצרת אישור עבור המשתמש ומקושרת למכשיר ספציפי. כדי להשתמש באישור זה, המכשיר דורש גורם אימות מקומי כגון קוד סודי, טביעת אצבע או זיהוי פנים. Windows Hello לעסקים משתמש בטכנולוגיה דומה מאוד, אך הוא מתמקד במחשב Windows עצמו.

זרימת השימוש הטיפוסי של כניסה לטלפון זה מאוד פשוט. במסך הכניסה של Microsoft 365 או בכל אפליקציה המשולבת עם Entra ID, המשתמש מזין רק את שם המשתמש שלו (דוא"ל בעבודה או בבית הספר). לאחר מכן, במקום להקליד את הסיסמה שלו, הוא בוחר באפשרות לאשר בקשה באפליקציית המאמת.

באותו רגע א המספר במסך ההתחברותהמכשיר הנייד מציג הודעת Authenticator המבקשת אישור גישה. על המשתמש לבחור את החשבון הנכון ולהזין את המספר המוצג באתר האינטרנט לתוך האפליקציה. אימות צולב זה מונע ממישהו לאשר בטעות התראה שאינה שייכת לו.

לאחר הזנת המספר, המכשיר ישאל קוד סודי או זיהוי ביומטרי כדי לוודא שהאדם המאשר הוא אכן בעל המכשיר הנייד. רק לאחר מכן הכניסה הושלמה והגישה לחשבון מוענקת מבלי להזין את הסיסמה כלל.

פרט חשוב הוא זה ניתן להגדיר מספר חשבונות של Microsoft Sign-In ID באותה אפליקציית Authenticator, הפעל כניסה ללא סיסמה לטלפון בכל החשבונות, בתנאי שהמכשיר רשום אצל הדייר המתאים. עם זאת, חשבונות אורחים אינם נתמכים עבור מודל מרובה חשבונות באותו מכשיר.

דרישות מוקדמות לשימוש בכניסה לטלפון ללא סיסמה

לפני שאתם ממהרים להפעיל כניסה ללא סיסמה עבור כולם, עליכם לוודא שמתקיימים כמה תנאים. דרישות טכניות וארגוניות מינימליותמיקרוסופט ממליצה לבדוק את הנקודות הללו כדי למנוע בעיות עתידיות.

מצד אחד, מומלץ מאוד שיהיה מיקרוסופט נכנסת לאימות רב-גורמי (MFA) הגדרה זו, המוגדרת בתוך הארגון, מאפשרת שימוש בהודעות דחיפה כשיטת אימות. התראות אלו מסייעות לחסום גישה לא מורשית ועסקאות הונאה, ואפליקציית המאמת גם מייצרת אוטומטית קודים כדי לספק שיטת גיבוי במקרה שהמכשיר מאבד את החיבור שלו.

יתר על כן, חובה ש- המכשיר שבו ייעשה שימוש במאמת (Authenticator) חייב להיות רשום אצל כל דייר של Entra ID. היכן ברצונך להפעיל כניסה דרך הטלפון. לדוגמה, אם אדם עובד עם חשבונות כמו balas@contoso.com ו-balas@wingtiptoys.com, הטלפון הנייד חייב להיות רשום אצל שני הדיירים (Contoso ו-Wingtip Toys) כדי לאפשר גישה ללא סיסמה עם כל הזהויות הללו.

עבור מקטע הניהול, עדיף להפעיל את השיחה תחילה. ניסיון רישום משולב במזהה הכניסה של מיקרוסופט. חוויה זו מאחדת את רישום שיטות האבטחה (MFA, איפוס סיסמה וכו') ומפשטת את תהליך ההרשמה של Authenticator כשיטה ללא סיסמה.

מנקודת מבט של רישוי, עצם העובדה ש הרשמה והתחברות באמצעות שיטות ללא סיסמה זה לא דורש רישיון ספציפי. למרות זאת, מיקרוסופט ממליצה להחזיק לפחות רישיון Microsoft Entra ID P1 כדי לנצל את מלוא היתרונות של מערך התכונות: גישה מותנית לאכיפת אישורים עמידים בפני פישינג, דוחות שימוש בשיטות אימות וכו'.

לבסוף, חשוב מאוד לזהות צוותי העבודה שיהיו מעורבים בפרויקטניהול זהויות וגישה, ארכיטקטורת אבטחה, פעולות אבטחה, צוות ביקורת, תמיכה טכנית ותקשורת עם משתמשי קצה. אם קבוצות אלו אינן מתואמות, היישום עלול להיות חלקי או ליצור יותר מדי אירועים.

כיצד להפעיל את Microsoft Authenticator ללא סיסמה כמנהל מערכת

מקונסולת ניהול מזהי Entra של מיקרוסופט, למנהלי מערכת יש את היכולת הגדירו אילו שיטות אימות מותרות עבור הארגון. כאן מופעל Microsoft Authenticator הן עבור MFA מסורתי והן עבור מצב ללא סיסמה.

נקודת ההתחלה היא גישה ל כניסה למרכז הניהול של מיקרוסופט עם חשבון שיש לו, לכל הפחות, את התפקיד של מנהל מדיניות אימות. לאחר הכניסה, עבור למקטע מזהה כניסה ומשם אל שיטות ומדיניות אימות, שם מנוהלים כללי השימוש עבור כל שיטה.

בתוך תצורת השיטה, ניתן הפעל את המאמת של מיקרוסופט ולהחליט האם לאפשר הכנסת MFA קלאסית (הודעה בדחיפה לאישור סיסמה) ו/או כניסה לטלפון ללא סיסמה. ניתן להגדיר כל קבוצת משתמשים להשתמש בכל אחד מהמצבים או להגביל אותה בהתאם לצורכי האבטחה.

כברירת מחדל, קבוצות בדרך כלל מוגדרות לשימוש "בכל דרך" עם מאמתמשמעות הדבר היא שהחברים שלכם יכולים להתחבר על ידי אישור הודעת דחיפה סטנדרטית או על ידי שימוש בכניסה טלפונית ללא סיסמה, אם הם רשמו אותה בהצלחה באפליקציה שלכם.

שאלה נפוצה מאוד בקרב מנהלים היא האם זה אפשרי לכפות לחלוטין את השימוש ללא סיסמהזה מונע מהמשתמש לאמת מחדש באמצעות הסיסמה שלו גם לאחר הגדרת הכל. המציאות היא שבעוד שניתן לקדם מאוד מודל ללא סיסמה באמצעות מדיניות גישה מותנית והגבלות על שיטות מותרות, מיקרוסופט עדיין שומרת על האפשרות להשתמש בסיסמה בתרחישים ספציפיים, כגון לצורך שחזור או תאימות עם יישומים מדור קודם מסוימים.

למרות זאת, באמצעות השילוב של מדיניות בנושא שיטות אימות וגישה מותניתזה יכול להגיע לתרחיש קרוב למדי שבו משתמשים חדשים, לאחר הרשמה ל-Authenticator והשלמת הכניסה הראשונה שלהם, כמעט תמיד משתמשים בטלפון או בשיטות אחרות ללא סיסמה, מה שמפחית את השימוש בסיסמה לנסיבות יוצאות דופן.

רישום משתמש באפליקציית המאמת

לאחר ש-Microsoft Authenticator מופעל כשיטה בארגון, הגיע הזמן לטפל בנושא רישום משתמש קצהניתן לעשות זאת בשתי דרכים עיקריות: באמצעות רישום מודרך מדף מידע האבטחה או באמצעות אישור גישה זמני המסופק על ידי המנהל.

ברישום מודרך סטנדרטי, המשתמש ניגש לדף דרך דפדפן מידע אבטחת החשבון שלךהתחבר עם פרטי הגישה הנוכחיים שלך ובחר באפשרות "הוסף שיטה". משם, בחר "אפליקציית אימות" ופעל לפי ההוראות כדי להתקין אותה במכשיר שלך ולקשר את החשבון שלך באמצעות קוד QR או הליך דומה.

כאשר תהליך זה יושלם, המאמת רשום לפחות כ שיטת MFAבמקטע מידע אבטחת חשבון, תופיע שיטה מסוג Microsoft Authenticator, שעשויה להיות "ללא סיסמה" או "הכנסת MFA" בהתאם למה שמותר ומה רשום.

אם הארגון רוצה שהמשתמש אפילו לא יצטרך להשתמש בסיסמה בהתחלה, הוא יכול לבחור באפשרות רישום ישיר עם אישור גישה זמניבמקרה כזה, מנהל המערכת יוצר תחילה אישור גישה זמני (TAP) עבור המשתמש, המשמש כאישור זמני מאובטח עבור ההתקנה הראשונית.

בעזרת אישור גישה זמני זה, המשתמש מתקין את Microsoft Authenticator במכשיר הנייד שלו, פותח את האפליקציה, בוחר "הוסף חשבון", בוחר חשבון עבודה או בית ספר ומבצע אימות באמצעות לחצן הקשה במקום סיסמה. לאחר מכן, הוא משלים את השלבים המצוינים על ידי האפליקציה כדי להפעיל כניסה ללא סיסמה דרך הטלפון.

בסביבות שבהן ה- שירות עצמי לאיפוס סיסמהניתן להשתמש ב-TAP גם כדי לרשום את Authenticator כשיטת התחברות מבלי שיהיה צורך לדעת או להשתמש בסיסמה מסורתית, מה שמחזק את הגישה נטולת הסיסמה לחלוטין מהיום הראשון.

הפעלת כניסה לטלפון באפליקציית המאמת

רישום האפליקציה אינו מספיק: על המשתמש לאפשר במפורש כניסה ללא סיסמה לטלפון עבור כל חשבון שברצונך להשתמש בו בדרך זו. שלב זה לעיתים קרובות אינו מורגש, אך הוא חיוני.

כדי להפעילו, המשתמש פותח את אפליקציית Microsoft Authenticator במכשיר הנייד שלו ובוחר את חשבון מקצועי או חינוכי שנרשם בעברבין האפשרויות הזמינות, תראו משהו דומה ל"הגדר בקשות התחברות ללא סיסמה" או "הפעל התחברות בטלפון".

על ידי לחיצה על אפשרות זו, היישום מתחיל תהליך התקנה קצר שעשוי לדרוש אישור זהות המשתמש זה כרוך בכניסה דרך דפדפן, אישור התראה או אימות מידע נוסף. לאחר השלמת שלבים אלה, החשבון מסומן כזכאי לכניסות טלפון ללא סיסמה.

מאותו רגע ואילך, כאשר המשתמש ינסה להיכנס ל-Microsoft 365, ל-Entra ID או לכל יישום משולב, עם הזנת שם המשתמש שלו הוא יוכל לבחור באפשרות "אשר בקשה באפליקציית המאמת שלי"האתר יציג מספר, והאפליקציה תבקש מהמשתמש לבחור מספר זה ולאשר באמצעות קוד סודי או זיהוי ביומטרי.

ברגע שהמשתמש התחיל להתחבר בדרך זו, המערכת בדרך כלל שמור על שיטה זו כמועדפתתמיד מציג את האפשרות לאשר את הבקשה בטלפון, אם כי עדיין קיימת אפשרות לבחור שיטה חלופית אחרת במידת הצורך.

עבור ארגונים המעוניינים להדריך באופן פעיל את המשתמשים שלהם, ניתן לספק תיעוד פנימי המצביע על כך שלאחר רישום Authenticator, עליהם לגשת לאפליקציה ו הפעל במפורש את הכניסה לטלפוןכך שיהיה ברור מה עליהם לעשות ומספר אירועי התמיכה יופחת.

חוויית כניסה ללא סיסמה עבור המשתמש

לאחר שכל האלמנטים מוגדרים (דייר מופעל, מאמת רשום וכניסה לטלפון מופעלת), חוויית המשתמש משתנה באופן משמעותי. במקום להסתמך על סיסמה, המשתמש כמעט תמיד משתמש בסיסמה שלו. מכשיר נייד וביומטריה.

בניסיון הטיפוסי הראשון, האדם כותב את שלו שם משתמש בלוח ההתחברות מ-Microsoft 365 או מהאפליקציה המדוברת והקש על הבא. אם הוא לא מופיע כברירת מחדל, תוכל להקיש על דרכים אחרות להתחברות כדי לבחור את האפשרות לאשר בקשה באפליקציית המאמת שלי.

המסך יציג א מספר אקראיכמעט בו זמנית, המכשיר הנייד של המשתמש יקבל התראה מ-Authenticator שתתריע בפניו על ניסיון התחברות. עם פתיחת ההתראה, האפליקציה תבקש מהמשתמש לבחור את המספר הנכון המוצג במחשב או בדפדפן שלו, ובכך יסייע במניעת אישורים עיוורים או הונאה.

בשלב האחרון, המערכת תבקש מהמשתמש פתח את נעילת המכשיר באמצעות קוד סודי, טביעת אצבע או זיהוי פניםהשילוב הזה של משהו שיש לך (הטלפון הנייד) ומשהו שאתה או שאתה יודע (קוד סודי או ביומטריה) הופך את האימות לספור כ-MFA חזק, מבלי להסתמך על קודים שנשלחים ב-SMS או בדוא"ל, שהם פגיעים יותר.

לאחר מספר ניסיונות התחברות באמצעות שיטה זו, רוב המשתמשים בסופו של דבר שוכח את הסיסמה שלך על בסיס יומימכיוון שזרימת העבודה של המאמת הופכת לדרך הטבעית שלהם להתחבר ל-Office, Teams, OneDrive או כל יישום אחר המקושר לארגון.

במקרה שנדרשת שיטה אחרת מסיבה כלשהי (לדוגמה, בגלל שאבד הטלפון הנייד או שהסוללה שלו התרוקנה), תמיד קיימת האפשרות לפנות אל גורמי אימות אחרים אם מנהל המערכת התיר אותם: מפתחות סיסמה, מפתחות אבטחה FIDO2, Windows Hello, כרטיס חכם או מנגנונים אחרים שתצורתם נקבעה.

ניהול, בקרה וצוותים המעורבים בפרויקט ללא סיסמה

הדרך המומלצת ביותר לנהל את Microsoft Authenticator ואת שיטות האימות השונות היא להשתמש ב- כניסה למדיניות שיטות אימות של מיקרוסופטמשם, מנהלי מערכת יכולים להפעיל או להשבית את המאמת, וכן לכלול או לא לכלול משתמשים וקבוצות ספציפיים.

במסגרת הנחיה זו, ניתן להגדיר פרמטרים כדי לספק מידע נוסף הקשר בבקשות התחברותלדוגמה, הוספת המיקום המשוער או שם האפליקציה המבקשת גישה, כך שלמשתמש יהיה מידע נוסף לפני שהוא מקיש על אישור או דחייה במכשיר הנייד שלו.

מנקודת מבט ארגונית, חשוב שהצוות של ניהול זהויות וגישה (IAM) התצורה היומיומית מטופלת על ידי צוות ארכיטקטורת האבטחה, בעוד שצוות ארכיטקטורת האבטחה מתכנן את האסטרטגיה ללא סיסמה במסגרת האבטחה הכוללת. פעולות האבטחה, מצידה, עוקבות אחר אירועי אימות, חוקרות איומים פוטנציאליים ומיישמות אמצעים מתקנים כאשר מתגלות אנומליות.

צוות האבטחה והביקורת אחראי על וידוא עמידה בתקנות פנימיות וחיצוניותזה כרוך בסקירה שוטפת של תהליכי אימות, הערכת סיכונים והצעת שיפורים. כל זה משלים את עבודת התמיכה הטכנית, המסייעת למשתמשי הקצה בצעדיהם הראשונים באימות ללא סיסמה ופותרת בעיות ספציפיות.

לבסוף, האזור של תקשורת עם משתמשי הקצה זה ממלא תפקיד מהותי. שינוי משמעותי כמו נטישת סיסמאות דורש מסרים ברורים: מה ישתנה, מה על המשתמש לעשות, מדוע זה מאובטח יותר, ומה לעשות אם הוא מאבד את הטלפון שלו או מחליף מכשירים.

במקביל, שילוב יישומים עם Microsoft Entra ID הוא היבט חיוני נוסף. ככל שיותר יישומים (SaaS, LOB, יישומים שפורסמו מקומית וכו') ישולבו עם Entra ID, כך ניתן להשיג יותר. ניצול אימות ללא סיסמה והחלת גישה מותנית לדרוש שיטות עמידות בפני פישינג באופן אחיד.

בעיות ומגבלות ידועות של אימות ללא סיסמה

למרות שהמודל ללא סיסמה הוא חזק מאוד, מיקרוסופט מתעדת מספר בעיות ומגבלות ידועות אשר יש לזכור כדי למנוע הפתעות במהלך היישום או התמיכה.

אחד המקרים הנפוצים ביותר הוא כאשר משתמש אינך רואה את האפשרות להתחבר דרך הטלפון ללא סיסמה במסך האימות, למרות ש-Authenticator מוגדר. לפעמים הסיבה לכך היא שיש אימות ממתין ב-Authenticator; אם המשתמש מנסה להתחבר שוב בזמן שבקשה זו נותרת ללא מענה, המערכת עשויה להציג רק את האפשרות להזין את הסיסמה.

הפתרון בתרחיש זה פשוט: המשתמש חייב פתח את אפליקציית המאמת של מיקרוסופט במכשיר הנייד שלך והגב (אשר או דחה) כל הודעה ממתינה. לאחר שחרור בקשות אלה, האפשרות "טלפון ללא סיסמה" תופיע שוב כרגיל בניסיונות התחברות נוספים.

מגבלה חשובה נוספת היא שהישן הנחיית מדיניות כניסה לאפליקציית Authenticator היא מיושנת ואינה נתמכת עוד לשליטה ב-Authenticator. כדי לאפשר הודעות דחיפה או כניסה ללא סיסמה לטלפון, עליך תמיד להשתמש במדיניות שיטות האימות, המתוחזקת ומתעדכנת על ידי מיקרוסופט.

בסביבות עם חשבונות מאוחדים או היברידיים (לדוגמה, עם Active Directory Federation Services, AD FS), כאשר משתמש מאפשר אישור ללא סיסמה, תהליך הכניסה של Microsoft נכנס הפסק להשתמש בפרמטר login_hintמשמעות הדבר היא שהזרימה כבר לא כופה אוטומטית את המשתמש לנקודת כניסה מאוחדת כפי שקרה בעבר.

התנהגות זו בדרך כלל מונעת ממשתמש הדייר ההיברידי ינותב אל AD FS כדי לאמת את האישורים שלוהסיבה לכך היא שאימות ישיר באמצעות שיטות ללא סיסמה הנתמכות על ידי Entra ID מועדף. עם זאת, האפשרות הידנית לבחור "השתמש בסיסמה במקום" עדיין זמינה בדרך כלל אם התצורה מאפשרת זאת.

במקרה של משתמשים המנוהלים על ידי ספק זהות מקומי עם זאת, אפילו כאשר MFA מופעל, ייתכן שמשתמשים אלה יוכלו ליצור ולהשתמש רק באישור כניסה יחיד ללא סיסמה לטלפון. אם הם ינסו לעדכן יותר מדי התקנות של Authenticator (לדוגמה, יותר מחמישה מכשירים שונים) באמצעות אותו אישור ללא סיסמה, עלולות להתרחש שגיאות בעת ניסיון לרשום מופעים חדשים.

כמו בכל פרויקט אבטחה, מגבלות אלו אינן מונעות את אימוץ המודל ללא סיסמה, אך הן דורשות... לתכנן היטב את ארכיטקטורת הזהויותבמיוחד בארגונים היברידיים גדולים מאוד, או כאלה עם צרכים מיוחדים של איחוד ואימות מקומי.

בסופו של דבר, אימות ללא סיסמה ב-Microsoft Entra ID, במיוחד עם Microsoft Authenticator וסיסמות, מאפשר לארגונים להפחית באופן דרסטי את הסיכון הכרוך בסיסמאות חלשות או גנובות, תוך הפיכת תהליך ההתחברות למהיר ונוח יותר עבור המשתמשים. על ידי שילוב של מדיניות אימות יעילה, גישה מותנית ותקשורת פנימית טובה, הסיסמה הופכת פחות חשובה, ומפתחות ניידים, ביומטריים ואבטחה הופכים לאבן הפינה של זהות מאובטחת יותר ופחות קלה להתחזות אליה.