Прощайте, пароли: переход на вход по телефону для проверки подлинности Microsoft
На протяжении десятилетий мы получали доступ к ИТ-системам, используя набор учетных данных, состоящий из имени пользователя и пароля. С тех пор, как конечные пользователи в основном работали в сеансе на мейнфрейме старой школы, вплоть до Active Directory, это в значительной степени имело место.
Системы (как их тогда называли) были защищены с помощью так называемых границ безопасности, таких как брандмауэры. Кроме того, когда потребность в возможности подключения к внутренним корпоративным системам через Интернет увидела свет, стали популярными сети периметра (известные также как DMZ) и виртуальные частные сети (VPN). Кроме того, организации начали развертывать двухфакторные решения для дальнейшей оптимизации безопасности.
В настоящее время большинство конечных пользователей корпоративных организаций по-прежнему используют имя пользователя и пароль (обычно на основе Active Directory) в сочетании с двухфакторной аутентификацией для доступа к облачным службам и локальным системам. Хотя этот метод работает довольно хорошо, Microsoft вложила много ресурсов в дальнейшее улучшение взаимодействия с конечным пользователем. Согласитесь, у нас уже есть Windows Hello для бизнеса, встроенный компонент Windows 10, который поддерживает распознавание лиц, PIN-код, графические пароли и динамическую блокировку на основе устройства, как показано ниже.
Если устройство конечного пользователя с Windows 10 присоединено либо к Azure AD, либо к Azure AD Hybrid, эти функции уже можно использовать для входа в систему для доступа к облачным службам Microsoft, таким как рабочие нагрузки в Office 365. И да, эти функции потрясающие и уже набирают популярность. импульс. Но что, если я скажу вам, что Microsoft только что сделала доступной новую функцию входа (в настоящее время развертывается для арендаторов по всему миру), которая позволяет входить в систему с вашей рабочей или учебной учетной записью без использования пароля или какой-либо из вышеперечисленных функций? Да, это звучит безумно, правда? Но дело в том, что теперь это возможно с использованием так называемого «входа по телефону». Те из вас, кто использует учетные записи Microsoft, возможно, уже знают об этой функции, так как Microsoft некоторое время назад сделала ее доступной для потребителей. В этой статье речь пойдет о «входе по телефону» для корпоративных организаций, для которых это совершенно новинка. Итак, как мне приступить к входу в систему с помощью телефона? Я слышу, как ты ворчишь. Ну, есть, конечно, определенные требования. Двумя наиболее важными из них являются: 1) ваша организация должна иметь арендатора Azure Active Directory и 2) ваши конечные пользователи уже должны использовать приложение Microsoft Authenticator для входа в приложения SaaS, такие как рабочие нагрузки в Office 365.
Примечание. Приложение Microsoft Authenticator доступно для платформ iOS и Android. Единственного читателя, все еще пользующегося Windows Phone, я должен разочаровать. Microsoft больше не предлагает приложение для вашей платформы. Время двигаться дальше…
Если ваша организация использует Office 365, у вас уже есть клиент Azure Active Directory, и ваши конечные пользователи, скорее всего, уже используют Microsoft Authenticator для многофакторных целей на основе Azure. Если это так, очень легко использовать «вход по телефону», который является функцией, управляемой исключительно пользователем. Если нет, то я настоятельно рекомендую вам переключиться на MFA на основе Microsoft Authenticator вместо SMS/текста. Если вы еще не используете MFA (включено или принудительно) в своей организации, вам следует отложить чашку кофе и немедленно прекратить чтение оставшейся части этой статьи. Вместо этого вам следует включить или применить MFA как можно скорее, поскольку в настоящее время вы используете настройку, чрезвычайно уязвимую для хакеров.
В этой статье я не буду рассказывать о внедрении приложения Microsoft Authenticator конечными пользователями. Для получения рекомендаций по этим вопросам см. документацию Microsoft здесь.
Включение входа с телефона на устройстве
Первое, что вам или вашим конечным пользователям необходимо сделать, чтобы воспользоваться преимуществами входа с помощью телефона, — это открыть приложение Microsoft Authenticator на устройстве iOS или Android. Теперь щелкните стрелку раскрывающегося списка справа от учетной записи, а затем включите вход по телефону, как показано ниже.
Теперь вы увидите следующий экран, где вам нужно нажать «Продолжить». Обратите внимание, что в данном конкретном случае мое мобильное устройство не зарегистрировано в Azure AD, поэтому у меня стоит желтый восклицательный знак.
В зависимости от того, зарегистрировано ли ваше устройство в Azure AD, вам может быть предложено зарегистрировать ваше устройство. Имейте в виду, что вы можете зарегистрировать вход по телефону только в одной организации за раз.
Тестирование аутентификации при входе по телефону
Чтобы протестировать аутентификацию при входе с помощью телефона, давайте сначала откроем браузер и войдем на портал Office 365. Одна вещь, которая изменилась с новым интерфейсом входа, запущенным несколько месяцев назад, заключалась в том, что имя пользователя и пароль были отделены друг от друга при входе в систему. Итак, на первой странице вы указываете имя пользователя (адрес электронной почты/UPN), а при нажатии «Далее» вы попадаете на страницу пароля.
На следующей странице происходит интересное, что касается входа в систему по телефону. Как вы можете видеть ниже, у нас есть возможность выбрать «Использовать приложение Microsoft Authenticator». Нажав на эту ссылку, мы переключаемся с входа на основе пароля на вход по телефону. В следующий раз, когда вы попытаетесь войти в систему, это будет настройка по умолчанию.
После перехода по ссылке нам открывается следующая страница, на которой будет отображаться случайное число (в данном случае 16).
При переходе на наше устройство iOS или Android нам нужно обработать запрос на утверждение. Запрос показывает три числа и нам, конечно же, нужно выбрать правильное.
После того, как мы выбрали правильный номер на нашем мобильном устройстве, нам предоставляется доступ к порталу Office 365.
Как видите, это очень полезная функция, которую следует приветствовать большинству пользователей. И это не останавливается здесь. Возможно, вы уже знаете, что можете одобрять запросы Azure MFA, направляемые в приложение Microsoft Authenticator с Apple Watch. Угадай, что? То же самое верно и для входа в систему по телефону.
Поэтому, прочитав эту статью, вы, вероятно, захотите переключиться на лабораторную среду, чтобы протестировать функцию входа в систему по телефону. Это все хорошо. Просто имейте в виду, что я сказал ранее. В настоящее время эта функция развертывается для клиентов Azure AD по всему миру, поэтому она, возможно, еще не появилась в вашем соответствующем клиенте. Кроме того, с учетом количества существующих клиентов Azure AD может пройти некоторое время, прежде чем функция станет доступной для вас (в зависимости от таких факторов, как регион и т. д.).
Кстати, дополнительные вопросы и ответы о входе в систему по телефону можно найти в разделе часто задаваемых вопросов на сайте Microsoft Docs. Вы можете найти его здесь, и он довольно всеобъемлющий. Например, в нем рассказывается о том, почему Microsoft считает безопасным вход в систему с помощью телефона, и о том, как вход в систему с помощью телефона работает в сочетании с Azure MFA.