Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одной из основных функций платформы удостоверений является проверка подлинности или проверки подлинности, учетных данных при входе пользователя на устройство, приложение или службу. В идентификаторе Microsoft Entra проверка подлинности включает не только проверку имени пользователя и пароля. Чтобы повысить безопасность и уменьшить потребность в технической помощи, проверка подлинности Microsoft Entra включает следующие компоненты:
- Самостоятельный сброс пароля (SSPR)
- Многофакторная проверка подлинности (MFA)
- Гибридная интеграция для записи изменений паролей обратно в локальную среду
- Гибридная интеграция для применения политик защиты паролей для локальной среды
- Проверка подлинности без пароля
Дополнительные сведения об этих компонентах проверки подлинности см. в кратком видео.
Улучшения пользовательского интерфейса
Идентификатор Microsoft Entra помогает защитить удостоверения пользователей и упростить процесс входа. Такие функции, как SSPR, позволяют пользователям обновлять или изменять пароли с помощью веб-браузера с любого устройства. Эта функция особенно полезна, если пользователи забудут свои пароли или учетные записи заблокированы. Не ожидая предоставления поддержки или администратора, пользователи могут разблокировать себя и продолжать работать.
MFA позволяет пользователям выбирать дополнительную форму проверки подлинности во время входа, например телефонный звонок или уведомление мобильного приложения. Эта возможность снижает требование для одной фиксированной формы вторичной проверки подлинности, например маркера оборудования. Если у пользователей нет одной формы дополнительной проверки подлинности, они могут выбрать другой метод и продолжить работу.
Проверка подлинности без пароля устраняет необходимость создания и запоминания безопасных паролей пользователями. Такие возможности, как ключи безопасности Windows Hello для бизнеса или FIDO2, позволяют пользователям входить на устройства или приложения без пароля. Эта возможность может снизить сложность управления паролями в разных средах.
Самостоятельный сброс пароля
SSPR предоставляет пользователям возможность изменять или сбрасывать пароли без участия администратора или службы технической поддержки. Если учетные записи пользователей заблокированы или они забывают свои пароли, они могут следовать запросам разблокировать себя и вернуться к работе. Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователи не могут войти на свои устройства или приложения.
SSPR работает в следующих сценариях:
- Изменение пароля: когда пользователь знает пароль, но хочет изменить его на что-то новое.
- Сброс пароля: если пользователь не может войти (например, после того как забыл пароль) и хочет сбросить пароль.
- Разблокировка учетной записи. Если пользователь не может войти, так как учетная запись заблокирована, и пользователь хочет разблокировать учетную запись.
Когда пользователь обновляет или сбрасывает пароль с помощью SSPR, этот пароль также можно записать обратно в локальную среду Active Directory. Обратная запись паролей гарантирует, что пользователь может немедленно использовать обновленные учетные данные с локальными устройствами и приложениями.
Многофакторная проверка подлинности
Многофакторная проверка подлинности — это процесс, в котором пользователю предлагается дополнительная форма идентификации во время входа. Например, пользователю предлагается ввести код на телефоне или предоставить сканирование отпечатков пальцев.
Если вы используете только пароль для проверки подлинности пользователя, он оставляет небезопасный вектор для атаки. Если пароль слаб или предоставляется в другом месте, это действительно пользователь, который входит с помощью имени пользователя и пароля или это злоумышленник? Требование второй формы проверки подлинности повышает безопасность, так как этот дополнительный фактор не прост для злоумышленника для получения или дублирования.
Microsoft Entra MFA работает, требуя двух или более следующих методов проверки подлинности:
- Что-то, что пользователь знает, как правило, пароль
- Что-то, что пользователь имеет, например доверенное устройство или аппаратный ключ, который не легко дублируется
- То, что есть у пользователя; то есть биометрические данные, такие как отпечаток пальца или сканирование лица
Пользователи могут зарегистрировать себя как для SSPR, так и MFA на одном шаге, чтобы упростить подключение. Администраторы могут определить, какие формы вторичной проверки подлинности следует использовать. Администраторы также могут требовать многофакторную проверку подлинности, когда пользователи выполняют самостоятельный сброс пароля для дальнейшего обеспечения безопасности этого процесса.
Защита паролей
По умолчанию идентификатор Microsoft Entra блокирует слабые пароли, такие как Password1. Идентификатор Microsoft Entra автоматически обновляет и применяет список запрещенных паролей, которые, как известно, являются слабыми. Пользователь Microsoft Entra, который пытается задать пароль одному из этих слабых паролей, получает уведомление, чтобы выбрать пароль, более безопасный.
Чтобы повысить безопасность, можно определить пользовательские политики для защиты паролей. Эти политики могут использовать фильтры для блокировки любого варианта пароля, содержащего имя, например Contoso или расположение, например Лондон.
Для гибридной безопасности можно интегрировать защиту паролей Microsoft Entra с локальной средой Active Directory. Компонент, установленный в локальной среде, получает список запрещенных паролей и настраиваемые политики защиты паролей от идентификатора Microsoft Entra. Затем контроллеры домена используют эти сведения для обработки изменений паролей. Этот гибридный подход гарантирует, что независимо от того, как или где пользователи изменяют свои учетные данные, применяется использование надежных паролей.
Проверка подлинности без пароля
Цель многих сред — удалить использование паролей в рамках событий входа. Такие функции, как защита паролей Azure или Microsoft Entra MFA, способствуют улучшению безопасности, но сочетание имени пользователя и пароля остается слабой формой проверки подлинности, которая может быть уязвима или атакована методом перебора.
При входе пользователей без пароля они предоставляют учетные данные с помощью таких методов:
- Биометрические данные с Windows Hello для бизнеса.
- Ключ безопасности FIDO2.
Злоумышленник не может легко дублировать эти методы проверки подлинности.
Идентификатор Microsoft Entra предоставляет способы проверки подлинности с помощью методов без пароля, чтобы упростить вход пользователей и снизить риск атак.
Связанный контент
- Чтобы приступить к работе, ознакомьтесь с руководством по Microsoft Entra SSPR и руководству по Microsoft Entra MFA.
- Дополнительные сведения о концепциях SSPR см. в статье "Как это работает: самостоятельный сброс пароля Microsoft Entra".
- Дополнительные сведения о концепциях MFA см. в статье "Как это работает: Многофакторная проверка подлинности Microsoft Entra".