Verkleinern des vom Benutzer sichtbaren Kennwortoberflächenbereichs

Umfrage zur Kennwortnutzung während des Testbenutzerablaufs

Jetzt ist es an der Zeit, mehr über die Zielfunktionspersona zu erfahren. Sie sollten über eine Liste von Anwendungen verfügen, die sie verwenden, aber Sie wissen nicht, was, warum, wann und wie häufig. Diese Informationen sind wichtig, um in Schritt 2 weiter voranzukommen. Testbenutzer erstellen die Abläufe, die der Zielfunktionspersona zugeordnet sind. Ihr anfängliches Ziel ist es, eine einfache Aufgabe zu erledigen: Die Verwendung von Dokumentenkennwörtern. Diese Liste ist nicht vollständig, aber sie gibt Ihnen eine Vorstellung von der Art von Informationen, die Sie benötigen. Das Ziel besteht darin, mehr über alle Szenarien zu erfahren, in denen diese Arbeitspersona auf ein Kennwort trifft. Ein guter Ansatz besteht darin, sich die folgenden Fragen zu stellen:

Frage
🔲 Wie ist der Name der Anwendung, die nach einem Kennwort gefragt hat?
🔲 Warum verwenden sie die Anwendung, die nach einem Kennwort gefragt hat? Beispiel: Gibt es mehrere Anwendungen, die dasselbe tun können?
🔲 Für welchen Teil des Ablaufs verwenden sie die Anwendung? Versuchen Sie, so spezifisch wie möglich zu sein. Beispiel: "Ich verwende Anwendung x, um Kreditkartenrückerstattungen für Beträge über y zu veranlassen."
🔲 Wie häufig verwenden Sie die Anwendung an einem bestimmten Tag oder einer bestimmten Woche?
🔲 Ist das Kennwort, das Sie in die Anwendung eingeben, mit dem Kennwort identisch, das Sie für die Anmeldung bei Windows verwenden?

Einige Organisationen ermöglichen es ihren Benutzern, diese Informationen zu schreiben, während einige darauf bestehen, dass ein Mitglied der IT-Abteilung sie überschatten lässt. Ein objektiver Betrachter bemerkt möglicherweise eine Kennwortaufforderung, die der Benutzer einfach wegen des Muskelgedächtniss übersieht. Wie bereits erwähnt, sind diese Informationen wichtig. Sie könnten eine einzelne Kennwortaufforderung übersehen, die den Übergang zur Kennwortlosigkeit verzögern könnte.

Identifizieren der Kennwortnutzung und Planung, Entwicklung und Umsetzung der Kennwortbeseitigung

Ihre Testbenutzer haben Ihnen wertvolle Informationen zur Verfügung gestellt, die beschreiben, wie, was, warum und wann sie ein Kennwort verwenden. Ihr Team muss jetzt jeden dieser Kennwortnutzungsfälle identifizieren und verstehen, warum der Benutzer ein Kennwort verwenden muss.
Erstellen Sie eine Liste der Szenarien. Für jedes Szenario sollte es eine klare Problemdarstellung geben. Benennen Sie das Szenario mithilfe einer Zusammenfassung aus einem Satz der Problemdarstellung. Schließen Sie in das Szenario die Ergebnisse der Untersuchung Ihres Teams ein, warum der Benutzer aufgefordert wird, ein Kennwort anzugeben. Schließen Sie relevante, aber genaue Details ein. Wenn das Szenario richtlinien- oder prozedurgesteuert ist, geben Sie den Namen und den Abschnitt der Richtlinie an, der vorgibt, warum der Workflow ein Kennwort verwendet.

Ihre Testbenutzer decken nicht alle Szenarien auf, daher müssen Sie ihnen einige ungewöhnliche Szenarien erzwingen. Denken Sie daran, Folgendes einzuschließen:

  • Bereitstellen eines neuen Benutzers mit einem unbekannten Kennwort
  • Benutzer, die die PIN oder andere Korrekturflows vergessen, wenn die starken Anmeldeinformationen nicht verwendet werden können

Überprüfen Sie als Nächstes die Liste der Szenarien. Sie können bei den Abläufen beginnen, die durch Prozesse oder Richtlinien vorgegeben werden, oder bei jenen, die technische Lösungen erfordern, je nachdem, welche der beiden Optionen einfacher oder schneller ist. Diese Auswahl variiert je nach organization.

Beginnen Sie mit der Reduzierung der Kennwortnutzung basierend auf den Abläufen Ihrer Zielpersonas. Dokumentieren Sie die Reduzierung als Lösung für Ihr Szenario. Machen Sie sich keine Gedanken über Einzelheiten zur Umsetzung der Lösung. Sie benötigen lediglich eine Übersicht über die Änderungen, die zur Reduzierung der Kennwortnutzung erforderlich sind. Wenn technische Änderungen erforderlich sind, z. B. Infrastruktur- oder Codeänderungen, sind die genauen Details wahrscheinlich in der Projektdokumentation enthalten. Wie auch immer Ihre Organisation Projekte verfolgt, erstellen Sie ein neues Projekt in diesem System. Ordnen Sie Ihr Szenario diesem Projekt zu, und starten Sie die Prozesse, die für die Fundierung dieses Projekts erforderlich sind.

Die Reduzierung der Kennwortnutzung mit Anwendungen ist eines der größten Hindernisse auf dem Weg zur Kennwortlosigkeit. Wenn Ihre Organisation die Anwendung selbst entwickelt, sind Sie besser dran als bei „Common-off-the-shelf software“ (COTS).

Die ideale Lösung für Anwendungen, die den Benutzer zur Eingabe eines Kennworts auffordern, besteht darin, diesen Anwendungen die Verwendung einer vorhandenen authentifizierten Identität wie Microsoft Entra ID oder Active Directory zu ermöglichen. Arbeiten Sie mit den Anwendungsanbietern zusammen, um Unterstützung für Microsoft Entra Identitäten hinzuzufügen. Richten Sie lokale Anwendungen so ein, dass die integrierte Windows-Authentifizierung verwendet wird. Das Ziel für Ihre Benutzer sollte ein einmaliger Anmeldungsschritt sein, bei dem sich jeder Benutzer nur einmal authentifiziert, wenn er sich bei Windows anmeldet. Wenden Sie dieselbe Strategie für Anwendungen an, die ihre eigenen Identitäten in ihren eigenen Datenbanken speichern.

Jedes Szenario in Ihrer Liste sollte nun eine Problemdarstellung, eine Untersuchung der Gründe für die Verwendung des Kennworts und einen Reduzierungsplan zum Beseitigen der Kennwortnutzung umfassen. Mithilfe dieser Daten können Sie nacheinander die Probleme mit sichtbaren Kennwortabfragen lösen. Ändern Sie Richtlinien und Verfahren nach Bedarf, nehmen Sie Infrastrukturänderungen vor, sofern möglich. Konvertieren Sie interne Anwendungen, um sie in Ihren Microsoft Entra ID Mandanten zu integrieren, Verbundidentitäten zu verwenden oder die integrierte Windows-Authentifizierung zu verwenden. Arbeiten Sie mit Nicht-Microsoft-Softwareanbietern zusammen, um ihre Software für die Integration in Microsoft Entra ID zu aktualisieren, Verbundidentitäten zu unterstützen oder die integrierte Windows-Authentifizierung zu verwenden.

Wiederholung des Vorgangs, bis sämtliche Benutzerkennwortnutzung beseitigt wurde

Einige oder alle Ihre Gegenmaßnahmen wurden umgesetzt. Sie müssen überprüfen, ob Ihre Lösungen ihre Problemanweisungen gelöst haben. In dieser Phase verlassen Sie sich auf Ihre Testbenutzer. Sie möchten einen guten Teil Ihrer ersten Testbenutzer behalten, aber dieser Punkt ist eine gute Gelegenheit, einige zu ersetzen oder hinzuzufügen. Umfrage zur Kennwortnutzung während des Testbenutzerablaufs Wenn alles gut geht, haben Sie die meisten oder alle Lücken geschlossen. Einige wenige werden wahrscheinlich bleiben. Evaluieren Sie Ihre Lösungen und was schief gelaufen ist, ändern Sie Ihre Lösung nach Bedarf, bis Sie zu einer Lösung gelangen, bei der der Benutzer kein Kennwort mehr eingeben muss. Falls Sie nicht mehr weiterkommen – anderen geht es wahrscheinlich genauso. Nutzen Sie die Foren aus verschiedenen Quellen oder Ihr Netzwerk von IT-Kollegen, um Ihr Problem darzustellen und zu sehen, wie andere es lösen. Wenn Sie alle Optionen ausprobiert haben, wenden Sie sich an Microsoft, um Unterstützung zu erhalten.

Entfernen von Kennwortfunktionen aus Windows

Sie glauben, dass Sie die gesamte Kennwortnutzung für die zielorientierte Arbeitspersona entschärft haben. Jetzt kommt die eigentliche Prüfung: Windows so konfigurieren, dass der Benutzer kein Kennwort verwenden kann.
Windows bietet drei Standard Optionen zum Reduzieren oder Entfernen der Kennwortoberfläche:

  • Kennwortlose Windows-Umgebung
  • Ausschließen des Anbieters von Kennwortanmeldeinformationen
  • Erfordern einer Windows Hello for Business oder eines intelligenten Karte

Kennwortlose Windows-Umgebung

Windows Passwordless Experience ist eine Sicherheitsrichtlinie, die den Kennwortanmeldeinformationsanbieter für Benutzerkonten ausblendet, die sich mit Windows Hello oder einem FIDO2-Sicherheitsschlüssel anmelden. Die option windows passwordless ist die empfohlene Option, die jedoch nur auf Microsoft Entra eingebundenen Geräten verfügbar ist. Die folgende Abbildung zeigt den Windows-Sperrbildschirm, wenn die kennwortlose Windows-Benutzeroberfläche aktiviert ist. Ein Benutzer, der in Windows Hello for Business registriert ist, hat nicht die Möglichkeit, ein Kennwort für die Anmeldung zu verwenden:

Screenshot des Windows-Sperrbildschirms mit aktivierter kennwortloser Benutzeroberfläche

Weitere Informationen finden Sie unter Kennwortlose Windows-Umgebung.

Ausschließen des Anbieters von Kennwortanmeldeinformationen

Die Richtlinieneinstellung Anmeldeinformationsanbieter ausschließen kann verwendet werden, um den Kennwortanmeldeinformationsanbieter zu deaktivieren. Bei der Konfiguration deaktiviert Windows die Möglichkeit, Kennwörter für alle Konten zu verwenden, einschließlich lokaler Konten. Außerdem wird die Verwendung von Kennwörtern für RDP- und Ausführen als Authentifizierungsszenarien verhindert. Diese Richtlinieneinstellung kann sich auf Supportszenarien auswirken, z. B. wenn sich ein Benutzer mit einem lokalen Konto anmelden muss, um ein Problem zu beheben. Aus diesem Grund bewerten Sie alle Szenarien sorgfältig, bevor Sie die Einstellung aktivieren.

  • GPO: Computerkonfiguration>Administrative Vorlagen>Systemanmeldung>>Anmeldeinformationsanbieter ausschließen
  • CSP: ./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/ExcludedCredentialProviders

Der Wert, der in die Richtlinie eingegeben werden muss, um den Kennwort-Anmeldeinformationsanbieter auszublenden, ist {60b78e88-ead8-445c-9cfd-0b87f74ea6cd}.

Erfordern einer Windows Hello for Business oder eines intelligenten Karte

Die Richtlinieneinstellung Windows Hello for Business oder intelligente Karte erforderlich kann verwendet werden, um Windows Hello for Business oder eine intelligente Karte für die interaktive Anmeldung zu erfordern. Wenn diese Option aktiviert ist, verhindert Windows, dass sich Benutzer mit einem Kennwort anmelden oder entsperren können. Der Kennwort-Anmeldeinformationsanbieter bleibt für den Benutzer sichtbar. Wenn ein Benutzer versucht, ein Kennwort zu verwenden, wird er von Windows darüber informiert, dass er Windows Hello for Business oder eine Smartcard verwenden muss. Bevor Sie diese Richtlinieneinstellung aktivieren, muss der Benutzer bei Windows Hello for Business registriert sein oder über eine intelligente Karte verfügen. Daher erfordert die Umsetzung dieser Politik eine sorgfältige Planung und Koordinierung.

  • GPO: Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen>Interaktive Anmeldung: Erfordern Windows Hello for Business oder intelligente Karte
  • CSP: nicht verfügbar

Verifizieren, dass keiner der Abläufe Kennwörter erfordert

Dies ist die bedeutsamste Phase. Sie haben die Kennwortverwendung identifiziert, Lösungen entwickelt, um die Kennwortnutzung zu verringern, und die Kennwortverwendung von Windows entfernt oder deaktiviert. In dieser Konfiguration können Ihre Benutzer kein Kennwort verwenden. Benutzer werden blockiert, wenn einer ihrer Workflows sie nach einem Kennwort fragt. Im Idealfall sollten Ihre Testbenutzer in der Lage sein, alle Arbeitsabläufe der Zielfunktionspersona ohne Kennwortnutzung durchzulaufen. Vergessen Sie auch nicht die eher seltenen Abläufe wie z. B. die Bereitstellung eines neuen Benutzers oder eines Benutzers, der seine PIN vergessen hat oder seine starken Anmeldeinformationen nicht verwenden kann. Stellen Sie sicher, dass diese Szenarien ebenfalls überprüft werden.

Nächste Schritte

Sie können einen oder mehrere Teile Ihrer organization in eine kennwortlose Bereitstellung überstellen. Sie haben überprüft, ob die Zielfunktionspersona bereit ist, in eine Wirklichkeit zu wechseln, in der Benutzer ihr Kennwort nicht mehr kennen oder verwenden müssen. Jetzt sind Sie nur wenige Schritte davon entfernt, den Erfolg verkünden zu können.

Schritt 3: Übergang zu einer kennwortlosen Bereitstellung >