Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
En av huvudfunktionerna i en identitetsplattform är att verifiera eller autentisera, autentiseringsuppgifter när en användare loggar in på en enhet, ett program eller en tjänst. I Microsoft Entra-ID innebär autentisering mer än bara verifiering av ett användarnamn och lösenord. Microsoft Entra-autentisering innehåller följande komponenter för att förbättra säkerheten och minska behovet av supporthjälp:
- Lösenordsåterställning via självbetjäning (SSPR)
- Multifaktorautentisering (MFA)
- Hybridintegrering för att skriva tillbaka lösenordsändringar till en lokal miljö
- Hybridintegrering för att framtvinga lösenordsskyddsprinciper för en lokal miljö
- Lösenordsfri autentisering
Om du vill veta mer om dessa autentiseringskomponenter kan du titta på vår korta video.
Förbättringar av användarupplevelsen
Microsoft Entra ID hjälper till att skydda användarnas identiteter och förenkla inloggningen. Med funktioner som SSPR kan användarna uppdatera eller ändra sina lösenord med hjälp av en webbläsare från valfri enhet. Den här funktionen är särskilt användbar när användare glömmer sina lösenord eller deras konton är låsta. Utan att vänta på att en supportavdelning eller administratör ska ge support kan användarna avblockera sig själva och fortsätta att arbeta.
Med MFA kan användarna välja ytterligare en form av autentisering under inloggningen, till exempel ett telefonsamtal eller ett mobilappmeddelande. Den här möjligheten minskar kravet på en enda, fast form av sekundär autentisering, till exempel en maskinvarutoken. Om användarna för närvarande inte har en form av ytterligare autentisering kan de välja en annan metod och fortsätta att fungera.
Lösenordsfri autentisering tar bort behovet av att användare skapar och kommer ihåg säkra lösenord. Med funktioner som Windows Hello för företag eller FIDO2-säkerhetsnycklar kan användarna logga in på enheter eller program utan lösenord. Den här möjligheten kan minska komplexiteten i att hantera lösenord i olika miljöer.
Lösenordsåterställning med självbetjäning
SSPR ger användarna möjlighet att ändra eller återställa sina lösenord utan administratörs- eller supportavdelningsengagemang. Om användarnas konton är låsta eller om de glömmer sina lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar supportsamtal och produktivitetsförlust när användarna inte kan logga in på sina enheter eller program.
SSPR fungerar i följande scenarier:
- Lösenordsändring: När en användare känner till lösenordet men vill ändra det till något nytt.
- Lösenordsåterställning: När en användare inte kan logga in (till exempel efter att ha glömt lösenordet) och vill återställa lösenordet.
- Kontolåsning: När en användare inte kan logga in eftersom kontot är låst och användaren vill låsa upp kontot.
När en användare uppdaterar eller återställer ett lösenord med hjälp av SSPR kan lösenordet också skrivas tillbaka till en lokal Active Directory-miljö. Tillbakaskrivning av lösenord ser till att en användare omedelbart kan använda de uppdaterade autentiseringsuppgifterna med lokala enheter och program.
Multifaktorautentisering
Multifaktorautentisering är en process där en användare uppmanas att ange ytterligare en form av identifiering under inloggningen. Användaren uppmanas till exempel att ange en kod på en telefon eller att tillhandahålla en fingeravtryckssökning.
Om du bara använder ett lösenord för att autentisera en användare lämnar det en icke-säkerhetsvektor för angrepp. Om lösenordet är svagt eller exponeras någon annanstans, är det verkligen användaren som loggar in med användarnamnet och lösenordet, eller är det en angripare? Att kräva en andra form av autentisering ökar säkerheten eftersom den här extra faktorn inte är lätt för en angripare att hämta eller duplicera.
Microsoft Entra MFA fungerar genom att kräva två eller flera av följande autentiseringsmetoder:
- Något som användaren känner till, vanligtvis ett lösenord
- Något som användaren har, till exempel en betrodd enhet eller en maskinvarunyckel som inte är lätt att duplicera
- Något som användaren är; biometri som fingeravtryck eller ansiktsgenomsökning
Användare kan registrera sig för både SSPR och MFA i ett steg för att förenkla registreringsupplevelsen. Administratörer kan definiera vilka former av sekundär autentisering som ska användas. Administratörer kan också kräva MFA när användare utför en lösenordsåterställning med självbetjäning för att ytterligare skydda den processen.
Lösenordsskydd
Som standard blockerar Microsoft Entra-ID svaga lösenord som Password1. Microsoft Entra-ID uppdateras automatiskt och framtvingar en lista över förbjudna lösenord som är kända för att vara svaga. En Microsoft Entra-användare som försöker ange ett lösenord till ett av dessa svaga lösenord får ett meddelande om att välja ett lösenord som är säkrare.
För att öka säkerheten kan du definiera anpassade principer för lösenordsskydd. Dessa principer kan använda filter för att blockera alla varianter av ett lösenord som innehåller ett namn, till exempel Contoso eller en plats som London.
För hybridsäkerhet kan du integrera Microsoft Entra-lösenordsskydd med en lokal Active Directory-miljö. En komponent som är installerad i den lokala miljön tar emot listan över förbjudna lösenord och anpassade principer för lösenordsskydd från Microsoft Entra-ID. Domänkontrollanter använder sedan den informationen för att bearbeta lösenordsändringar. Den här hybridmetoden ser till att du framtvingar användning av starka lösenord oavsett hur eller var användarna ändrar sina autentiseringsuppgifter.
Lösenordsfri autentisering
Målet för många miljöer är att ta bort användningen av lösenord som en del av inloggningshändelser. Funktioner som Azure-lösenordsskydd eller Microsoft Entra MFA bidrar till att förbättra säkerheten, men en kombination av användarnamn/lösenord är fortfarande en svag form av autentisering som kan exponeras eller råstyrkeattacker.
När användare loggar in utan lösenord anger de autentiseringsuppgifter med metoder som:
- Biometri med Windows Hello för företag.
- En FIDO2-säkerhetsnyckel.
En angripare kan inte enkelt duplicera dessa autentiseringsmetoder.
Med Microsoft Entra-ID kan du autentisera internt med hjälp av lösenordslösa metoder för att förenkla inloggningen för användare och minska risken för attacker.
Relaterat innehåll
- Kom igång genom att läsa självstudien för Microsoft Entra SSPR och självstudien för Microsoft Entra MFA.
- Mer information om SSPR-begrepp finns i Så här fungerar det: Lösenordsåterställning med Microsoft Entra självbetjäning.
- Mer information om MFA-begrepp finns i Så här fungerar det: Microsoft Entra multifaktorautentisering.