Начало работы с развертыванием проверки подлинности без пароля с защитой от фишинга в идентификаторе Microsoft Entra

Пароли являются основным вектором атак для современных злоумышленников, а также источником трений для пользователей и администраторов. В рамках общей стратегии безопасности нулевого доверия корпорация Майкрософт рекомендует перейти к фишингу без пароля в решении проверки подлинности. Это руководство поможет вам выбрать, подготовить и развернуть правильные фишинговые учетные данные без пароля для вашей организации. Используйте это руководство для планирования и выполнения фишинго-устойчивого проекта без пароля.

Такие функции, как многофакторная проверка подлинности (MFA) — отличный способ защитить вашу организацию. Но пользователи часто разочарованы дополнительным уровнем безопасности на вершине их необходимости запоминать пароли. Методы проверки подлинности без пароля, устойчивые к фишингу, удобнее. Например, анализ учетных записей потребителей Майкрософт показывает, что вход с паролем может занять до 9 секунд в среднем, но ключи доступа занимают около 3 секунд в большинстве случаев. Скорость и простота входа в секретный ключ еще больше по сравнению с традиционным паролем и входом MFA. Пользователи секретного ключа не должны запоминать пароль или ждать sms-сообщений.

Примечание.

Эти данные основаны на анализе входа в учетную запись потребителя Майкрософт.

Методы без пароля, устойчивые к фишингу, также имеют дополнительную безопасность. Они автоматически подсчитываются как MFA, используя то, что у пользователя (физическое устройство или ключ безопасности) и что-то, что пользователь знает или имеет, например биометрический или ПИН-код. В отличие от традиционных MFA, фишинговые методы без пароля отклоняют фишинговые атаки на пользователей с помощью аппаратных учетных данных, которые не могут быть легко скомпрометированы.

Идентификатор Microsoft Entra предлагает следующие варианты проверки подлинности без пароля, устойчивые к фишингу:

  • Секретные ключи (FIDO2)
    • Windows Hello для бизнеса
    • Учетные данные платформы для macOS (предварительная версия)
    • Секретные ключи приложения Microsoft Authenticator (предварительная версия)
    • Ключи безопасности FIDO2
    • Другие ключи и поставщики, такие как цепочка ключей iCloud, — на схеме развития
  • Проверка подлинности на основе сертификатов и смарт-карты

Необходимые компоненты

Прежде чем запустить проект развертывания без пароля, устойчивый к фишингу Microsoft Entra, выполните следующие предварительные требования:

  • Просмотр требований к лицензии
  • Просмотрите роли, необходимые для выполнения привилегированных действий
  • Определение групп заинтересованных лиц, которым требуется совместная работа

Требования к лицензиям

Регистрация и вход без пароля в Microsoft Entra не требуют лицензии, но мы рекомендуем по крайней мере лицензию Microsoft Entra ID P1 для полного набора возможностей, связанных с развертыванием без пароля. Например, лицензия Microsoft Entra ID P1 помогает применять вход без пароля с помощью условного доступа и отслеживать развертывание с помощью отчета о действиях метода проверки подлинности. Ознакомьтесь с руководством по требованиям к лицензированию для функций, указанных в этом руководстве для конкретных требований к лицензированию.

Интеграция приложений с идентификатором Microsoft Entra

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом (IAM), которая интегрируется с различными типами приложений, включая приложения Software-as-Service (SaaS), бизнес-приложения (LOB), локальные приложения и многое другое. Необходимо интегрировать приложения с идентификатором Microsoft Entra, чтобы получить максимальную выгоду от инвестиций в бессерверную и фишинговую проверку подлинности. Интеграция дополнительных приложений с идентификатором Microsoft Entra позволяет защитить больше среды с помощью политик условного доступа, которые применяют методы проверки подлинности, устойчивые к фишингу. Дополнительные сведения об интеграции приложений с идентификатором Microsoft Entra см. в пяти шагах по интеграции приложений с идентификатором Microsoft Entra.

При разработке собственных приложений следуйте инструкциям разработчика по поддержке проверки подлинности без пароля и фишинга. Дополнительные сведения см. в статье "Поддержка проверки подлинности без пароля с помощью ключей FIDO2" в приложениях, которые вы разрабатываете.

Обязательные роли

В следующей таблице перечислены минимальные требования к привилегированным ролям для фишингового развертывания без пароля. Рекомендуется включить фишинговую проверку подлинности без пароля для всех привилегированных учетных записей.

Роль Microsoft Entra Description
Администратор пользователей Реализация объединенного интерфейса регистрации
Администратор проверки подлинности Реализация методов проверки подлинности и управление ими
Администратор политики проверки подлинности Реализация политики методов проверки подлинности и управление ими
User Настройка приложения Authenticator на устройстве; регистрация устройства ключа безопасности для входа в Интернет или Windows 10/11

Команды заинтересованных лиц клиентов

Чтобы обеспечить успех, убедитесь, что вы взаимодействуете с правильными заинтересованными лицами, и что они понимают свои роли перед началом планирования и развертывания. В следующей таблице перечислены часто рекомендуемые группы заинтересованных лиц.

Команда заинтересованных лиц Description
Управление идентификацией и доступом (IAM) Управление повседневными операциями системы IAM
Архитектура информационной безопасности Планирование и проектирование методик информационной безопасности организации
Операции информационной безопасности Выполняет и отслеживает методики информационной безопасности для архитектуры информационной безопасности
Безопасность и аудит Помогает обеспечить безопасность и соответствие ИТ-процессам. Они проводят регулярные аудиты, оценивают риски и рекомендуют меры безопасности для устранения выявленных уязвимостей и повышения общего состояния безопасности.
Служба технической поддержки и поддержка Помогает конечным пользователям, которые сталкиваются с проблемами во время развертывания новых технологий и политик, или при возникновении проблем
Обмен данными с конечными пользователями Сообщения изменяются конечным пользователям при подготовке к оказанию помощи в разработке технологий, стоящих перед пользователем

Следующие шаги

Развертывание фишинго-устойчивой проверки подлинности без пароля в идентификаторе Microsoft Entra

Рекомендации по использованию определенных лиц в развертывании без пароля без фишинга в идентификаторе Microsoft Entra