Подесите аутентификацију без лозинке на свом Microsoft налогу

La Аутентификација без лозинке за Microsoft налоге Више није футуристички нити ексклузивно за веома напредна окружења. Данас се свако може пријавити на Microsoft 365, Entra ID (раније Azure AD) или свој лични Microsoft налог користећи мобилни телефон, биометријске податке или безбедносне кључеве, без уноса иједне лозинке. Осим што је практичније, то је кључна мера за смањење крађе акредитива и фишинг напада.

У овом чланку ћемо се, прилично детаљно, осврнути Како функционише пријава без лозинке са Microsoft Authenticator-ом и Passkeys-омОбрадићемо шта је вашој организацији потребно да би га имплементирала, како да га омогућите као администратор у Microsoft Entra ID-у, шта крајњи корисници могу да ураде и која ограничења или познати проблеми постоје. Такође ћемо видети зашто Microsoft толико инсистира на напуштању традиционалне лозинке и како се све ово уклапа у безбедносну стратегију нултог поверења.

Зашто Мајкрософт жели да укине лозинке

Лозинке су постале примарни вектор напада у корпоративном и личном окружењуОни се поново користе, цуре услед кршења безбедности података, погађају, краду фишингом или злонамерним софтвером, и у најмањој прилици, нападач добија потпун приступ имејл налозима, документима и критичним апликацијама.

Класични модели безбедности засновани на „корисничко име + лозинка“ плус други основни фактор (на пример, СМС) су боље од саме лозинке, али и даље имају доста слабости: текстуалне поруке се могу пресрести, корисници и даље наседају на фишинг веб странице, а крађа акредитива великих размера се наставља.

Да би се смањио сав овај ризик, Мајкрософт препоручује прелазак на методе аутентификације без лозинке отпорне на лажно представљањеОве методе се ослањају на акредитиве повезане са физичким уређајем (мобилни телефон, лаптоп, кључ итд.) и захтевају нешто што имате (уређај) и нешто што знате или јесте (ПИН, отисак прста, лице), испуњавајући вишеструку офсајдерску проверу (MFA) на интегрисан начин, без присиљавања корисника да било шта памти.

Штавише, пријављивање помоћу лозинки или FIDO2 акредитива је много брже. Према интерним подацима компаније Microsoft, Аутентификација лозинком може трајати око 24 секундеДок се типичан приступни кључ валидира за око 8 секунди, а још мање (око 3 секунде) ако је у питању лозинка синхронизована у менаџерима као што су Google Password Manager или iCloud Keychain.

Ова комбинација од Више безбедности и мање трења За крајњег корисника, то је разлог зашто Мајкрософт толико снажно промовише своју платформу без лозинки у оквиру Мајкрософт Сим-Ин ИД-а и у целом екосистему Мајкрософт 365 и Виндоус.

Опције аутентификације без лозинке у Microsoft Sign In ID-у

Microsoft Entra ID нуди неколико начина за Пријавите се без уноса лозинкидизајниран је и за личне и за корпоративне уређаје, као и за различите типове корисника и сценарија. Главне категорије које тренутно обухвата су:

Пре свега, ту су шифре (FIDO2 / шифре)То су акредитиви засновани на FIDO2 стандардима који се чувају на уређају (на пример, безбедносни кључ или платформски лозинка). То могу бити кључеви синхронизовани путем менаџера као што су Google Password Manager или iCloud, или кључеви засновани на физичком хардверу као што су YubiKey и слични уређаји.

Друго, Мајкрософт укључује Виндовс Хелло фор БусинессОва технологија креира акредитив повезан са Windows рачунаром, заштићен PIN-ом или биометријским подацима (отисак прста или препознавање лица). То је основа за пријављивање без лозинке на Windows радну површину када је уређај повезан са Microsoft Login ID-ом или се њиме правилно управља.

Друга опција је Мајкрософт кључеви за пријаву. Пријавите се на Windows. (у прелиминарној верзији) и акредитиви платформе за macOS (такође у прегледу). Оба омогућавају оперативном систему да управља акредитивима без лозинке директно интегрисаним са Entra ID-ом, поједностављујући безбедно пријављивање у модерним окружењима.

У свету мобилних телефона, истичу се следећи: приступни кључеви у апликацији Microsoft AuthenticatorТу долази до изражаја пријава телефоном без лозинке: корисник одобрава обавештење у апликацији, уноси број приказан на екрану и потврђује ПИН-ом или биометријским подацима уређаја, без уноса лозинке налога.

Коначно, Мајкрософт наставља да подржава паметне картице и аутентификација заснована на сертификатимакоји се могу сматрати акредитивима без лозинке у многим пословним окружењима и такође добро издржавају покушаје фишинга када се правилно имплементирају.

Како Microsoft Authenticator функционише за пријављивање без лозинке

Апликација Мицрософт Аутхентицатор То је кључна компонента Мајкрософтове стратегије без лозинки. Доступна је за iOS и Android, подржава и класичну вишефакторску аутентификацију (MFA са push обавештењима или кодовима) и пријава путем телефона без лозинке.

Иза Authenticator-а налази се аутентификација заснована на кључуУ основи, генерише се акредитив за корисника и повезује се са одређеним уређајем. Да би се користио тај акредитив, уређај захтева локални фактор аутентификације као што је ПИН, отисак прста или препознавање лица. Windows Hello for Business користи веома сличну технологију, али је фокусирана на сам Windows рачунар.

Типичан ток коришћења пријава на телефон Веома је једноставно. На екрану за пријављивање на Microsoft 365 или било коју апликацију интегрисану са Entra ID-ом, корисник само уноси своје корисничко име (пословну или школску е-пошту). Затим, уместо да укуца лозинку, бира опцију за одобрење захтева у апликацији Authenticator.

У том тренутку а број на екрану за пријавуМобилни уређај приказује обавештење програма Authenticator којим се захтева потврда приступа. Корисник мора да изабере исправан налог и да унесе број приказан на веб локацији у апликацију. Ова унакрсна верификација спречава да неко случајно одобри обавештење које му не припада.

Када се број унесе, уређај ће питати ПИН или биометрија да би се проверило да ли је особа која одобрава заиста власник мобилног уређаја. Тек тада се завршава пријава и одобрава приступ налогу без икаквог уноса лозинке.

Важан детаљ је тај Може се конфигурисати више Microsoft налога за пријаву У истој апликацији Authenticator, омогућите пријављивање телефоном без лозинке на свим налозима, под условом да је уређај регистрован код одговарајућег закупца. Међутим, налози гостију нису подржани за модел са више налога на истом уређају.

Предуслови за коришћење пријављивања путем телефона без лозинке

Пре него што пожурите да активирате пријаву без лозинке за све, морате се уверити да су испуњени неки услови. минимални технички и организациони захтевиМајкрософт препоручује да прегледате ове тачке како бисте избегли будуће проблеме.

С једне стране, веома је препоручљиво имати Мајкрософт уводи вишефакторску аутентификацију (MFA) Конфигурисано унутар организације, ово омогућава коришћење push обавештења као методе верификације. Ова обавештења помажу у блокирању неовлашћеног приступа и преварних трансакција, а апликација Authenticator такође аутоматски генерише кодове како би обезбедила резервну методу ако уређај изгуби везу.

Штавише, обавезно је да Уређај на којем ће се користити аутентификатор мора бити регистрован код сваког закупца Entra ID-а. где желите да омогућите пријаву телефоном. На пример, ако особа ради са налозима као што су balas@contoso.com и balas@wingtiptoys.com, мобилни телефон мора бити регистрован код оба закупца (Contoso и Wingtip Toys) како би се омогућио приступ без лозинке са свим тим идентитетима.

За административни одељак, најбоље је прво активирати позив. комбиновано искуство регистрације у Microsoft Sign In ID-у. Ово искуство обједињује регистрацију безбедносних метода (MFA, ресетовање лозинке итд.) и поједностављује интеграцију Authenticator-а као методе без лозинке.

Са становишта лиценцирања, сама чињеница да Региструјте се и пријавите се користећи методе без лозинке Не захтева посебну лиценцу. Упркос томе, Microsoft препоручује да имате барем Microsoft Entra ID P1 лиценцу како бисте у потпуности искористили скуп функција: условни приступ за спровођење акредитива отпорних на фишинг, извештаје о коришћењу метода аутентификације итд.

Коначно, кључно је идентификовати радни тимови који ће бити укључени у пројекатУправљање идентитетом и приступом, безбедносна архитектура, безбедносне операције, тим за ревизију, техничка подршка и комуникација са крајњим корисницима. Ако ове групе нису усклађене, имплементација може бити непотпуна или генерисати превише инцидената.

Како омогућити Microsoft Authenticator без лозинке као администратор

Из конзоле за управљање Microsoft Entra ID-ом, администратори имају могућност да дефинишите које методе аутентификације су дозвољене за организацију. Овде је Microsoft Authenticator омогућен и за традиционални MFA и за режим без лозинке.

Почетна тачка је приступ Пријава у Microsoft администраторски центар са налогом који има, најмање, улогу администратора политика аутентификације. Када се пријавите, идите на одељак ИД за пријаву, а одатле на Методе и политике аутентификације, где се управља правилима коришћења за сваку методу.

Унутар конфигурације методе, можете Активирајте Microsoft Authenticator и одлучите да ли ћете дозволити класично уметање вишеструких авантура (push обавештење за потврду лозинке) и/или пријаву телефоном без лозинке. Свака корисничка група може бити конфигурисана да користи било који режим или да га ограничи у складу са безбедносним потребама.

Подразумевано, групе су обично конфигурисане да користе „на било који начин“ са Authenticator-омТо значи да се ваши чланови могу пријавити или одобрењем стандардног push обавештења или коришћењем пријаве путем телефона без лозинке, ако су је успешно регистровали у вашој апликацији.

Веома често питање међу администраторима је да ли је могуће апсолутно присилите употребу без лозинкеОво спречава корисника да се поново аутентификује помоћу лозинке чак и након што је све конфигурисао. Реалност је да, иако можете снажно промовисати модел без лозинке кроз политике условног приступа и ограничења дозвољених метода, Мајкрософт и даље задржава могућност коришћења лозинке у одређеним сценаријима, као што је опоравак или компатибилност са одређеним старијим апликацијама.

Упркос томе, користећи комбинацију политика о методама аутентификације и условном приступуМоже доћи до сценарија где нови корисници, након регистрације Authenticator-а и завршетка првог пријављивања, скоро увек користе телефон или друге методе без лозинке, смањујући употребу лозинке на изузетне околности.

Регистрација корисника у апликацији Authenticator

Када се Microsoft Authenticator омогући као метод у организацији, време је да се позабавимо регистрација крајњег корисникашто се може урадити на два главна начина: путем вођене регистрације са странице Безбедносне информације или коришћењем привремене приступне лозинке коју је обезбедио администратор.

У стандардној вођеној регистрацији, корисник приступа страници у прегледачу Безбедносне информације вашег налогаПријавите се са својим тренутним акредитивима и изаберите опцију Додај метод. Одатле изаберите „Апликација за аутентификацију“ и пратите упутства да бисте је инсталирали на свој уређај и повезали свој налог помоћу QR кода или сличне процедуре.

Када се тај процес заврши, Authenticator је регистрован најмање као МФА методаУ одељку „Информације о безбедности налога“ појавиће се метод типа Microsoft Authenticator, који може бити „без лозинке“ или „MFA уметање“ у зависности од тога шта је дозвољено и регистровано.

Ако организација жели да корисник не мора ни да користи лозинку на почетку, може се одлучити за Директна регистрација са привременом пропусницомУ том случају, администратор прво генерише привремену приступну пропусницу (TAP) за корисника, која служи као безбедан привремени акредитив за почетно подешавање.

Са овом привременом приступном пропусницом, корисник инсталира Microsoft Authenticator на свој мобилни уређај, отвара апликацију, бира Додај налог, бира пословни или школски налог и аутентификује се помоћу дугмета за додир уместо лозинке. Затим, корисник довршава кораке које је назначила апликација да би активирао пријављивање телефоном без лозинке.

У срединама где се самостално ресетовање лозинкеTAP се такође може користити да корисник региструје Authenticator као метод пријаве без потребе да икада зна или користи традиционалну лозинку, чиме се од првог дана појачава потпуно безлозинчни приступ.

Омогућите пријављивање телефоном у апликацији Authenticator

Регистрација апликације није довољна: корисник мора експлицитно омогући пријаву без лозинке телефоном за сваки налог који желите да користите на тај начин. Овај корак често прође незапажено, али је неопходан.

Да би га активирао, корисник отвара апликацију Microsoft Authenticator на свом мобилном уређају и бира претходно регистровани професионални или образовни налогМеђу доступним опцијама видећете нешто слично као „Конфигуриши захтеве за пријаву без лозинке“ или „Омогући пријаву телефоном“.

Притиском на ту опцију, апликација покреће кратак процес подешавања који може захтевати потврдите идентитет корисника Ово подразумева пријављивање путем прегледача, одобравање обавештења или валидацију неких додатних информација. Након завршетка ових корака, налог је означен као подобан за пријављивање телефоном без лозинке.

Од тог тренутка, када корисник покуша да се пријави на Microsoft 365, Entra ID или било коју интегрисану апликацију, након уноса корисничког имена моћи ће да изабере опцију за „Одобри захтев у мојој апликацији Authenticator“Веб локација ће приказати број, а апликација ће тражити од корисника да изабере тај број и потврди га ПИН-ом или биометријским подацима.

Када корисник почне да се пријављује на овај начин, систем обично задржите ову методу као преферирануувек приказујући опцију за одобравање захтева на телефону, иако и даље постоји могућност избора друге алтернативне методе ако је потребно.

За организације које желе активно да воде своје кориснике, може се обезбедити интерна документација која указује да, након регистрације Authenticator-а, треба да приступе апликацији и изричито активирајте пријаву преко телефонакако би било јасно шта треба да раде и како би се смањио број инцидената у вези са подршком.

Искуство пријављивања без лозинке за корисника

Када су сви елементи конфигурисани (закупац омогућен, аутентификатор регистрован и пријава путем телефона активирана), корисничко искуство се значајно мења. Уместо да се ослања на лозинку, корисник скоро увек користи свој мобилни уређај и биометрија.

У првом типичном покушају, особа пише своје корисничко име у панелу за пријаву из услуге Microsoft 365 или дотичне апликације и додирните Даље. Ако се не појављује подразумевано, можете додирнути Други начини пријављивања да бисте изабрали опцију Одобри захтев у мојој апликацији Authenticator.

На екрану ће се приказати Случајни бројГотово истовремено, мобилни уређај корисника ће добити обавештење од апликације Authenticator које га упозорава на покушај пријављивања. Након отварања обавештења, апликација ће затражити од корисника да изабере тачан број приказан на његовом рачунару или прегледачу, што помаже у спречавању слепих или преварних одобрења.

У последњем кораку, систем ће затражити од корисника да Откључајте уређај помоћу ПИН-а, отиска прста или лицаОва комбинација нечега што поседујете (мобилни телефон) и нечега што јесте или знате (ПИН или биометрија) чини да се аутентификација рачуна као робусна вишеструка факултативна аутентификација (МФА), без ослањања на кодове послате СМС-ом или имејловима, који су рањивији.

Након неколико покушаја пријављивања коришћењем ове методе, већина корисника заврши заборављање лозинке на дневној базијер ток рада Authenticator-а постаје њихов природни начин пријављивања у Office, Teams, OneDrive или било коју другу апликацију повезану са организацијом.

У случају да је из неког разлога потребан други метод (на пример, зато што је мобилни телефон изгубљен или му је батерија празна), увек постоји могућност да се прибегне други фактори аутентификације Ако им је администратор дозволио: лозинке, FIDO2 безбедносне кључеве, Windows Hello, паметну картицу или друге конфигурисане механизме.

Менаџмент, контрола и тимови укључени у пројекат без лозинке

Најпрепоручљивији начин за управљање Microsoft Authenticator-ом и различитим методама аутентификације је коришћење Пријава на политику метода аутентификације компаније MicrosoftОдатле, администратори могу да омогуће или онемогуће Authenticator, као и да укључе или искључе одређене кориснике и групе.

Унутар те директиве, параметри се могу дефинисати како би се обезбедило више контекст у захтевима за пријавуНа пример, додавање приближне локације или имена апликације која захтева приступ, како би корисник имао више информација пре него што додирне Одобри или Одбиј на свом мобилном уређају.

Са организационог становишта, кључно је да тим Управљање идентитетом и приступом (IAM) Свакодневном конфигурацијом се бави тим за безбедносну архитектуру, док тим за безбедносну архитектуру дизајнира стратегију без лозинке у оквиру целокупног безбедносног оквира. Безбедносне операције, са своје стране, прате догађаје аутентификације, истражују потенцијалне претње и спроводе корективне мере када се открију аномалије.

Тим за безбедност и ревизију је одговоран за проверити усклађеност са интерним и екстерним прописимаОво подразумева редовно преиспитивање процеса аутентификације, процену ризика и предлагање побољшања. Све ово је допуњено радом техничке подршке, која помаже крајњим корисницима у њиховим почетним корацима са аутентификацијом без лозинке и решава специфичне проблеме.

Коначно, подручје комуникација са крајњим корисницима Игра фундаменталну улогу. Промена значајна као што је напуштање лозинки захтева јасне поруке: шта ће се променити, шта корисник треба да уради, зашто је безбедније и шта да ради ако изгуби телефон или промени уређај.

Паралелно са тим, интеграција апликација са Microsoft Entra ID је још један суштински аспект. Што је више апликација (SaaS, LOB, објављених локално, итд.) интегрисано са Entra ID, то се више може постићи. искористите аутентификацију без лозинке и примените условни приступ захтевати методе отпорне на фишинг на јединствен начин.

Познати проблеми и ограничења аутентификације без лозинке

Иако је модел без лозинке веома робустан, Мајкрософт документује неколико Познати проблеми и ограничења што треба имати на уму како би се избегла изненађења током имплементације или подршке.

Један од најчешћих случајева је када корисник Не видите опцију за пријављивање телефоном без лозинке на екрану за аутентификацију, иако је Authenticator конфигурисан. Понекад је то зато што постоји верификација на чекању у Authenticator-у; ако корисник покуша поново да се пријави док тај захтев остане без одговора, систем може приказати само опцију за унос лозинке.

Решење у том сценарију је једноставно: корисник мора Отворите апликацију Microsoft Authenticator на свом мобилном уређају и одговорите на (одобрите или одбијте) сва обавештења на чекању. Када се ови захтеви објаве, опција „телефон без лозинке“ ће се нормално поново појавити при наредним покушајима пријављивања.

Још једно важно ограничење је то што стари Директива AuthenticatorAppSignInPolicy Застарело је и више није подржано за контролу Authenticator-а. Да бисте омогућили push обавештења или пријављивање телефоном без лозинке, увек морате да користите политику метода аутентификације, коју одржава и ажурира Microsoft.

У окружењима са федералним или хибридним налозима (на пример, са услугама федерације Active Directory, AD FS), када корисник омогући било који акредитив без лозинке, процес пријављивања на Microsoft улази у Престаните да користите параметар login_hintТо значи да ток више не приморава корисника аутоматски на федерализовану тачку пријављивања као што је то чинио раније.

Ово понашање обично спречава корисника да Хибридни закупац ће бити преусмерен на AD FS ради валидације својих акредитива.То је зато што се фаворизује директна аутентификација методама без лозинке које подржава Entra ID. Међутим, ручна опција за избор „Користи лозинку уместо тога“ је обично и даље доступна ако конфигурација то дозвољава.

У случају корисника којима управља локални добављач идентитета Међутим, чак и са омогућеним MFA, ови корисници могу моћи да креирају и користе само један акредитив за пријаву на телефон без лозинке. Ако покушају да ажурирају превише инсталација Authenticator-а (на пример, више од пет различитих уређаја) користећи исти акредитив без лозинке, могу се јавити грешке приликом покушаја регистрације нових инстанци.

Као и код сваког безбедносног пројекта, ова ограничења не спречавају усвајање модела без лозинке, али захтевају... добро испланирајте архитектуру идентитетапосебно у веома великим, хибридним организацијама или онима са посебним потребама за федерацијом и локалном аутентификацијом.

Коначно, аутентификација без лозинке у Microsoft Entra ID-у, посебно са Microsoft Authenticator-ом и лозинкама, омогућава организацијама да драстично смање ризик повезан са слабим или украденим лозинкама, а истовремено убрзавају и олакшавају процес пријављивања за кориснике. Комбиновањем ефикасних политика аутентификације, условног приступа и добре интерне комуникације, лозинка постаје мање важна, а мобилни, биометријски и безбедносни кључеви постају камен темељац безбеднијег и мање лако персонификованог идентитета.