通过

Microsoft Entra ID 防网络钓鱼无密码身份验证部署中特定角色的注意事项

每个角色在抗网络钓鱼无密码部署期间通常都会面临各自的挑战和注意事项。 确定需要包含哪些角色时,应将这些注意事项纳入部署项目规划中。 接下来的各部分将为每种角色提供具体指导。

管理员和高度管控用户的部署

管理员和高度管控的用户代表组织中最安全敏感的角色,并在防钓鱼无密码部署期间需要特别考虑。 这些用户通常使用特权访问、处理敏感数据或在符合性要求严格的环境中运行。 尽管它们将安全性优先于便利性,但成功部署仍需要仔细规划来解决其独特的挑战。

IT 专业人员/DevOps 工作者

IT 专业人员和 DevOps 辅助角色尤其依赖于远程访问和多个用户帐户,这就是为什么他们被视为不同于信息工作者的原因。 防网络钓鱼无密码技术给 IT 专业人员带来的许多挑战都是由于他们对远程访问系统和运行自动化能力的需求增加造成的。

显示 IT 专业工作者要求示例的图示。

了解使用 RDP 进行防网络钓鱼的支持选项,尤其是对于此角色。

请务必了解用户在何处使用脚本(这些脚本在用户上下文中运行)并因此目前未使用 MFA。 指导 IT 专业人员正确使用服务主体和托管标识运行自动化。 还应考虑允许 IT 专业人员和其他专业人员请求新服务主体并为其分配适当的权限的流。

IT 专业人员/DevOps 工作者部署流

IT 专业人员/DevOps 工作者部署流的阶段 1-3 通常应遵循前图所示的标准部署流,适用于用户的主帐户。 IT 专业人员/DevOps 工作者通常有需要考虑不同因素的辅助帐户。 根据主帐户环境需要调整每个步骤中使用的方法:

显示 IT 专业人员/DevOps 工作者部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 阶段 2:便携式凭据注册
    1. Microsoft Authenticator 应用通行密钥(首选)
    2. FIDO2 安全密钥
  3. 阶段 3:本地凭据注册
    1. Windows Hello 企业版
    2. 平台 SSO 安全 Enclave 密钥

如果 IT 专业人员/DevOps 工作人员有备用帐户,则可能需要以不同的方式处理这些帐户。 例如,对于辅助帐户,可以选择使用替代的便携式凭据,而完全放弃计算设备上的本地凭据:

显示 IT 专业人员/DevOps 工作者替代部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务(首选)
    2. 为 IT 专业人员/DevOps 工作者提供辅助帐户 TAP 的替代流程
  2. 阶段 2:便携式凭据注册
    1. Microsoft Authenticator 中的 Passkey(首选)
    2. FIDO2 安全密钥
    3. 智能卡
  3. 阶段 3:使用便携式凭据而不是本地凭据

高度管控的工作者

高度管控的工作者比普通信息工作者面临更多的挑战,因为他们可能在锁定的设备上工作、在锁定的环境中工作,或者具有他们必须满足的特殊严格要求。

显示高度管控工作者要求示例的图示。

高度管控的工作者通常使用智能卡,因为受监管的环境已经大量采用 PKI 和智能卡基础设施。 但是,请考虑何时需要和必需智能卡,以及何时可以使用更友好的选项(例如 Windows Hello 企业版)进行平衡。

高度管控工作者的部署流(无 PKI)

如果不打算使用证书、智能卡和 PKI,则高度管控的工作者部署与信息工作者部署非常相似。 有关更多信息,请参阅信息工作者

高度管控工作者的部署流(有 PKI)

如果打算使用证书、智能卡和 PKI,则高度管控工作者的部署流通常在关键环节上与信息工作者设置流不同。 需要确定本地身份验证方法是否对某些用户可行。 同样,你需要确定是否有一些用户需要仅便携式凭据(例如智能卡),这些凭据可以在没有互联网连接的情况下工作。 根据你的需求,你可以进一步调整部署流,并根据环境中识别的各种用户角色对其进行定制。 根据环境需要调整每个步骤中使用的方法:

显示高度管控工作者部署流的图示。

  1. 阶段 1:载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务(首选)
    2. 按照标识证明流程操作,代表用户注册智能卡
  2. 阶段 2:便携式凭据注册
    1. 智能卡(首选)
    2. FIDO2 安全密钥
    3. Microsoft Authenticator 中的 Passkey
  3. 阶段 3(可选):本地凭据注册
    1. 可选:Windows Hello 企业版
    2. 可选:平台 SSO 安全 Enclave 密钥

注意

始终建议用户至少注册两个凭据。 这可确保用户在其他凭据出现问题时有可用的备份凭据。 对于高度管控的工作者,除了部署的任何智能卡外,还建议部署通行密钥或 Windows Hello 企业版。

针对非管理员用户的部署

非管理员用户的部署需要适当的通信和支持。 这通常涉及说服用户在其手机上安装某些应用、在用户不会使用应用的地方分发安全密钥、解决关于生物识别的问题以及开发流程以帮助用户从部分或完全丢失凭据中恢复。

信息工作者

信息工作者的要求通常最简单,并且最容易开始防网络钓鱼的无密码部署。 但是,为这些用户部署时,仍有一些经常出现的问题。 常见示例包括:

显示信息工作者要求示例的图示。

信息工作者部署流

信息工作者的部署流的步骤 1-3 通常应遵循标准部署流,如下图所示。 根据环境需要调整每个步骤中使用的方法:

显示信息工作者部署流的图示。

  1. 载入
    1. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 移动凭据注册
    1. 同步的密钥(首选)
    2. Microsoft Authenticator 中的 Passkey
    3. FIDO2 安全密钥
  3. 本地凭据注册
    1. Windows Hello 企业版
    2. 平台 SSO 安全 Enclave 密钥

一线工作者

由于对凭据便携性的要求越来越高,以及在零售或生产环境中对可携带设备的限制,一线工作者的要求往往更加复杂。 同步的通行密钥是一线工作人员的绝佳选择。 在无法使用同步的密钥的情况下,安全密钥和智能卡是其他防钓鱼选项。

显示一线工作者要求示例的图示。

一线工作者部署流

一线工作人员的部署流程中,步骤 1 到 3 通常应遵循一个强调凭据可移植性的修改后的流程。 许多一线工作者可能没有永久的计算设备,并且从不需要 Windows 或 Mac 工作站上的本地凭据。 相反,其主要依赖于可在不同设备之间随身携带的便携式凭据。 根据环境需要调整每个步骤中使用的方法:

显示一线工作者部署流的图示。

  1. 阶段 1:载入
    1. FIDO2 安全密钥代注册(首选)
    2. 用于获取临时访问密码的 Microsoft Entra 验证 ID 服务
  2. 阶段 2:便携式凭据注册
    1. 同步的密钥(首选)
    2. FIDO2 安全密钥
    3. Microsoft Authenticator 中的 Passkey
    4. 智能卡
  3. 阶段 3(可选):本地凭据注册
    1. 可选:Windows Hello 企业版
    2. 可选:平台 SSO 安全 Enclave 密钥

一般注意事项

处理生物识别问题时,请确保了解 Windows Hello 企业版等技术如何处理生物识别。 生物识别数据仅存储在设备本地,即使被盗,也不能转换回原始生物识别数据。 有关详细信息,请参阅 Windows Hello 企业生物识别数据存储

后续步骤

在 Microsoft Entra ID 中部署防网络钓鱼的无密码身份验证部署

Microsoft Entra ID 中抵抗网络钓鱼的无密码身份验证部署中的远程桌面连接注意事项

  • Last updated on