Skapa motståndskraft med hantering av autentiseringsuppgifter

När en autentiseringsuppgift visas för Microsoft Entra-ID i en tokenbegäran kan det finnas flera beroenden som måste vara tillgängliga för validering. Den första autentiseringsfaktorn förlitar sig på Microsoft Entra-autentisering och i vissa fall på externa (icke-Entra ID)-beroenden, till exempel lokal infrastruktur. Mer information om hybridautentiseringsarkitekturer finns i Skapa motståndskraft i din hybridinfrastruktur.

Den säkraste och mest motståndskraftiga strategin för autentiseringsuppgifter är att använda lösenordslös autentisering. Windows Hello för företag och nyckelnycklar (FIDO 2.0) har färre beroenden än andra MFA-metoder. För macOS-användare kan kunder aktivera plattformsautentiseringsuppgifter för macOS. När du implementerar dessa metoder kan användarna utföra stark lösenordsfri och nätfiskeresistent Multi-Factor Authentication (MFA).

Bild av önskade autentiseringsmetoder och beroenden

Dricks

En djupdykning i videoserien om hur du distribuerar dessa autentiseringsmetoder finns i Nätfiskebeständig autentisering i Microsoft Entra-ID

Om du implementerar en andra faktor läggs beroendena för den andra faktorn till i beroendena för den första. Om din första faktor till exempel är via genomströmningsautentisering (PTA) och din andra faktor är SMS, är dina beroenden följande.

  • Microsoft Entra-autentiseringstjänster
  • Microsoft Entra multifaktorautentiseringstjänst
  • Lokal infrastruktur
  • Telefonioperatör
  • Användarens enhet (inte på bilden)

Bild av återstående autentiseringsmetoder och beroenden.

Din strategi för autentiseringsuppgifter bör ta hänsyn till beroendena för varje autentiseringstyp och etableringsmetoder som undviker en enskild felpunkt.

Eftersom autentiseringsmetoder har olika beroenden är det en bra idé att göra det möjligt för användare att registrera sig för så många andra faktoralternativ som möjligt. Se till att inkludera andra faktorer med olika beroenden, om möjligt. Röstsamtal och SMS som andra faktorer delar till exempel samma beroenden, så att ha dem som enda alternativ minskar inte risken.

För andra faktorer har Microsoft Authenticator-appen eller andra autentiseringsappar som använder tidsbaserat engångslösenord (TOTP) eller OAuth-maskinvarutoken minst beroenden och är därför mer motståndskraftiga.

Ytterligare information om externa (icke-Entra) beroenden

Autentiseringsmetod Externt (icke-Entra)-beroende Mer information
Certifikatbaserad autentisering (CBA) I de flesta fall (beroende på konfiguration) kräver cba en återkallningskontroll. Detta lägger till ett externt beroende av CRL-distributionsplatsen (CDP) Förstå processen för återkallande av certifikat
Genomströmningsautentisering (PTA) PTA använder lokala agenter för att bearbeta lösenordsautentiseringen. Hur fungerar Direktautentisering i Microsoft Entra?
Federation Federationsservrar måste vara online och tillgängliga för att kunna bearbeta autentiseringsförsöket Ad FS-distribution med hög tillgänglighet mellan geografiska platser i Azure med Azure Traffic Manager
Externa autentiseringsmetoder (EAM) EAM tillhandahåller en sökväg för kunder att använda externa MFA-leverantörer. Hantera en extern autentiseringsmetod i Microsoft Entra-ID (förhandsversion)

Hur hjälper flera autentiseringsuppgifter motståndskraft?

Etablering av flera typer av autentiseringsuppgifter ger användarna alternativ som passar deras inställningar och miljöbegränsningar. Därför blir interaktiv autentisering där användare uppmanas till multifaktorautentisering mer motståndskraftiga mot specifika beroenden som inte är tillgängliga vid tidpunkten för begäran. Du kan optimera omautentiseringsprompter för multifaktorautentisering.

Förutom den individuella användaråterhämtning som beskrivs ovan bör företag planera oförutsedda händelser för storskaliga störningar, till exempel driftsfel som medför en felkonfiguration, en naturkatastrof eller ett resursfel i hela företaget för en lokal federationstjänst (särskilt när de används för multifaktorautentisering).

Hur gör jag för att implementera elastiska autentiseringsuppgifter?

Nästa steg

Motståndskraftsresurser för administratörer och arkitekter

Motståndskraftsresurser för utvecklare