Способы проверки подлинности в Microsoft Entra ID: приложение Microsoft Authenticator
Microsoft Authenticator предоставляет другой уровень безопасности для рабочей или учебной учетной записи Microsoft Entra или вашей учетной записи Майкрософт. Она доступна для Android и iOS. С помощью приложения Microsoft Authenticator пользователи могут проходить проверку подлинности без пароля во время входа. Они также могут использовать его в качестве варианта проверки во время самостоятельного сброса пароля (SSPR) или многофакторной проверки подлинности (MFA).
Microsoft Authenticator поддерживает секретный ключ, вход без пароля и MFA с помощью уведомлений и кодов проверки.
- Пользователи могут войти с помощью секретного ключа в приложении Authenticator и завершить фишинговую проверку подлинности с помощью биометрического входа или ПИН-кода устройства.
- Пользователи могут настроить уведомления Authenticator и войти в систему с помощью Authenticator вместо имени пользователя и пароля.
- Пользователи могут получить запрос MFA на мобильном устройстве и утвердить или запретить попытку входа с телефона.
- Они также могут использовать код проверки OATH в приложении Authenticator и ввести его в интерфейс входа.
Дополнительные сведения см. в разделе "Включить вход без пароля" с помощью Microsoft Authenticator.
Примечание.
Пользователи не могут зарегистрировать мобильное приложение, если включена функция SSPR. Вместо этого они могут зарегистрировать мобильное приложение в https://aka.ms/mfasetup или в составе регистрации объединенной информации о безопасности в https://aka.ms/setupsecurityinfo. Приложение Authenticator может не поддерживаться в бета-версиях iOS и Android. Кроме того, начиная с 20 октября 2023 г. приложение Authenticator на Android больше не поддерживает старые версии Корпоративный портал Android. Пользователи Android с Корпоративный портал версиями ниже 2111 (5.0.53333.0) не могут повторно зарегистрировать или зарегистрировать новые экземпляры Authenticator, пока они не обновят свое Корпоративный портал приложение до более новой версии.
Вход passkey (предварительная версия)
Authenticator — это бесплатное решение для доступа, которое позволяет пользователям выполнять проверку подлинности без пароля с помощью собственных телефонов. Некоторые ключевые преимущества использования секретных ключей в приложении Authenticator:
- Ключи доступа можно легко развертывать в большом масштабе. Затем секретные ключи доступны на телефоне пользователя для сценариев управления мобильными устройствами (MDM) и создания собственных сценариев устройства (BYOD).
- Секретные ключи в Authenticator приходят без дополнительных затрат и путешествуют с пользователем везде, где они идут.
- Секретные ключи в Authenticator привязаны к устройству, что гарантирует, что ключ доступа не покидает устройство, на котором он был создан.
- Пользователи остаются в курсе последних инноваций секретного ключа на основе открытых стандартов WebAuthn.
- Предприятия могут передавать другие возможности на основе потоков проверки подлинности, таких как федеральные стандарты обработки информации (FIPS) 140 соответствия.
Секретный ключ, привязанный к устройству
Секретные ключи в приложении Authenticator привязаны к устройству, чтобы гарантировать, что они никогда не покидают устройство, на которое они были созданы. На устройстве iOS Authenticator использует безопасный анклава для создания ключа доступа. В Android мы создадим секретный ключ в защищенном элементе на устройствах, поддерживающих его, или вернемся к доверенной среде выполнения (TEE).
Как работает аттестация ключей с Authenticator
Если аттестация включена в политике Passkey (FIDO2), идентификатор Microsoft Entra ID пытается проверить легитимность модели ключей безопасности или поставщика ключей доступа, где создается ключ доступа. Когда пользователь регистрирует секретный ключ в Authenticator, аттестация проверяет, что законное приложение Microsoft Authenticator создало секретный ключ с помощью служб Apple и Google. Ниже приведены сведения о том, как работает аттестация для каждой платформы:
iOS: аттестация Authenticator использует службу аттестации приложений iOS для обеспечения легитимности приложения Authenticator перед регистрацией ключа доступа.
Android:
- Для аттестации целостности воспроизведения аттестация Authenticator использует API целостности воспроизведения, чтобы обеспечить легитимность приложения Authenticator перед регистрацией ключа доступа.
- Для аттестации ключей аттестация Authenticator использует аттестацию ключей Android , чтобы убедиться, что зарегистрированный ключ поддерживается оборудованием.
Примечание.
Для iOS и Android аттестация Authenticator использует службы Apple и Google для проверки подлинности приложения Authenticator. Интенсивное использование службы может привести к сбою регистрации секретного ключа, и пользователям может потребоваться повторить попытку. Если службы Apple и Google отключены, проверка подлинности блокирует регистрацию, требующую аттестации, пока службы не будут восстановлены. Чтобы отслеживать состояние службы целостности Google Play, см . панель мониторинга состояния Google Play. Сведения о состоянии службы аттестации приложений iOS см. в разделе "Состояние системы".
Дополнительные сведения о настройке аттестации см. в статье "Как включить ключи доступа в Microsoft Authenticator для идентификатора Microsoft Entra ID".
Вход без пароля с помощью уведомлений
Вместо того, чтобы просмотреть запрос на ввод пароля после ввода имени пользователя, пользователи, которые могут включить вход телефона из приложения Authenticator, увидит сообщение, чтобы ввести номер в своем приложении. Если номер выбран правильно, процесс входа завершается.
Этот метод проверки подлинности обеспечивает высокий уровень безопасности и избавляет пользователя от необходимости вводить пароль при входе.
Чтобы активировать вход без пароля, см. статью Включение входа без пароля с помощью Microsoft Authenticator.
MFA через уведомления через мобильное приложение
Приложение Microsoft Authenticator помогает предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции, отправив уведомление на смартфон или планшет. Пользователи могут просмотреть уведомление и, если оно подлинное, щелкнуть Подтвердить. В противном случае можно щелкнуть Отклонить.
Примечание.
Начиная с августа 2023 года аномальные входы не создают уведомления, аналогично тому, как входы из незнакомых расположений не создают уведомления. Чтобы утвердить аномальный вход, пользователи могут открыть Microsoft Authenticator или Authenticator Lite в соответствующем приложении-компаньоне, например Outlook. Затем они могут выполнить вытягивание, чтобы обновить или коснитесь элемента "Обновить" и утвердить запрос.
В Китае уведомление через метод мобильного приложения на устройствах Android не работает, так как службы Google Play (включая push-уведомления) блокируются в регионе. Однако уведомления iOS работают. Для устройств Android альтернативные методы проверки подлинности должны быть доступны для этих пользователей.
Код проверки от мобильного приложения
Приложение Microsoft Authenticator можно использовать в качестве программного маркера для создания кода проверки OATH. После ввода имени пользователя и пароля в интерфейсе входа требуется ввести код, предоставленный приложением Microsoft Authenticator. Код проверки выступает вторым методом проверки подлинности.
Примечание.
Коды проверки OATH, созданные Authenticator, не поддерживаются для проверки подлинности на основе сертификатов.
Пользователи могут иметь сочетание до пяти аппаратных маркеров OATH или приложений проверки подлинности, таких как приложение Authenticator, настроенное для использования в любое время.
Соответствие FIPS 140 для проверки подлинности Microsoft Entra
В соответствии с рекомендациями, описанными в NIST Special Publication 800-63B, аутентификаторы, используемые государственными учреждениями США, необходимы для использования криптографии FIPS 140. Это руководство помогает государственным учреждениям США соответствовать требованиям Исполнительного указа (EO) 14028. Кроме того, это руководство помогает другим регулируемым отраслям, таким как медицинские организации, работающие с электронными рецептами для контролируемых веществ (EPCS) соответствуют их нормативным требованиям.
FIPS 140 — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах и системах информационных технологий. Программа проверки криптографического модуля (CMVP) поддерживает тестирование по стандарту FIPS 140.
Microsoft Authenticator для iOS
Начиная с версии 6.6.8 Microsoft Authenticator для iOS использует собственный модуль Apple CoreCrypto для проверки шифрования FIPS на устройствах, совместимых с Apple iOS FIPS 140. Все проверки подлинности Microsoft Entra с помощью фишинговых ключей, привязанных к устройству, отправки многофакторной проверки подлинности (MFA), входа без пароля телефона (PSI) и однократного секретного кода на основе времени (TOTP) используют криптографию FIPS.
Дополнительные сведения об проверенных модулях шифрования FIPS 140, используемых и совместимых устройствах iOS, см. в сертификатах безопасности Apple iOS.
Microsoft Authenticator для Android
Начиная с версии 6.2409.6094 в Microsoft Authenticator для Android, все проверки подлинности в идентификаторе Microsoft Entra, включая секретные ключи, считаются совместимыми с FIPS. Authenticator использует криптографический модуль wolfSSL Inc., чтобы достичь соответствия FIPS 140, уровню безопасности 1 на устройствах Android. Дополнительные сведения о сертификации см . в программе проверки криптографических модулей.
Определение типа регистрации Microsoft Authenticator в сведениях о безопасности
Пользователи могут получить доступ к сведениям о безопасности (см. URL-адреса в следующем разделе) или выбрав сведения о безопасности из MyAccount для управления и добавления дополнительных регистраций Microsoft Authenticator. Специальные значки используются для различения того, является ли регистрация Microsoft Authenticator без пароля или MFA.
| Тип регистрации Authenticator | Icon |
|---|---|
| Microsoft Authenticator: вход без пароля |  |
| Microsoft Authenticator: (уведомление или код) |  |
Ссылки SecurityInfo
| Облако | URL-адрес сведений о безопасности |
|---|---|
| Коммерческая служба Azure (включает облако сообщества для государственных организаций (GCC)) | https://aka.ms/MySecurityInfo |
| Azure для государственных организаций США (включая GCC High и DoD) | https://aka.ms/MySecurityInfo-us |
Обновления для Authenticator
Корпорация Майкрософт постоянно обновляет Authenticator для обеспечения высокого уровня безопасности. Чтобы убедиться, что пользователи получают лучший интерфейс, рекомендуется постоянно обновлять приложение Authenticator. В случае критических обновлений системы безопасности версии приложений, которые не являются актуальными, могут не работать, и могут блокировать выполнение проверки подлинности пользователей. Если пользователь использует версию приложения, которое не поддерживается, он будет предложено обновить до последней версии, прежде чем продолжить вход.
Корпорация Майкрософт также периодически удаляет старые версии приложения Authenticator, чтобы поддерживать высокий уровень безопасности для вашей организации. Если устройство пользователя не поддерживает современные версии Microsoft Authenticator, они не могут подписаться с приложением. Мы рекомендуем этим пользователям войти с помощью кода проверки OATH в Microsoft Authenticator, чтобы завершить MFA.
Следующие шаги
Сведения о начале работы с ключами доступа см. в статье "Включение ключей доступа" в Microsoft Authenticator для идентификатора Microsoft Entra.
Дополнительные сведения о входе без пароля см. в разделе "Включить вход без пароля" с помощью Microsoft Authenticator.
Узнайте, как настроить способы проверки подлинности с помощью REST API Microsoft Graph.