Як технології Microsoft Passport та Azure AD зроблять захист корпоративних гаджетів зручнішим

Хоча паролі – це перевірений часом ефективний метод збереження власних даних, сьогодні їм уже бракує зручності в повсякденному використанні. Розробники намагаються знайти вихід, створюючи одноразові паролі, смарт-картки, багатофакторну аутентифікацію. У цих підходів є свої недоліки, від яких позбавляє нове рішення на базі технологій Microsoft Passport та Azure AD.

Навіщо потрібно вигадувати нове

Хоча паролі використовуються повсюдно, вони мають певні недоліки: їх важко зберігати, їх треба регулярно змінювати, їх легко викрасти за допомогою фішингу або підгледіти. Тому корпорації впроваджують інші інструменти захисту: вводять мінімальну довжину та складність паролю, роблять їх одноразовими, залучають мобільний телефон чи роздають співробітникам ідентифікаційні картки. Такі методи мають ліпший рівень безпеки, але його досягають за рахунок зручності чи великих фінансових затрат на обладнання.

Рішення на базі Microsoft Passport та Azure AD покликане сумістити зручність та простоту паролів із безпекою смарт-карток.

Що таке Microsoft Passport

Microsoft Passport – це система ідентифікації корпоративних користувачів, яка вбудована у Windows 10. Для її використання власник гаджета має створити жест, за допомогою якого він входить до облікового запису в операційній системі. Цей жест перетворюється спеціальним криптографічним процесором Trusted Platform Module (TPM) на приватний ключ, яким підписуються запити авторизації в Azure AD.

Як це працює

Схематично роботу нової системи можна показати на малюнку:

Під час першого входу до операційної системи Windows запропонує створити жест для авторизації. Після цього ОС на його основі генерує приватний ключ, яких захищає TPM або звичайне шифрування. Для завершення реєстрації до Azure AD разом із публічним ключем відправляється атестаційний модуль, який виконує перевірку TPM.

Процес авторизації починає гаджет з Windows, який прохає користувача ввести встановлений жест, котрий розблокує TPM. Після цього запит на аутентифікацію відправляється до Azure AD, який відправляє назад поточний час. Це послання підписується приватним ключем користувача і повторно відправляється до Azure AD. Коли Azure AD отримує його, то перевіряє правильність підпису за допомогою публічного ключа. Якщо проблем не виникло, Azure AD надає гаджету користувача жетон авторизації.

Як виглядає перший запуск

При першому вході до пристрою на базі Windows 10, який входить у корпоративну директорію Azure AD, система попросить налаштувати Microsoft Passport. Замість жесту використовується PIN-код:

Після цього екрану необхідно вказати PIN-код:

 

Цей PIN-код надає доступ до всіх програм, які працюють у корпоративному Azure AD. Схема аутентифікації за допомогою Microsoft Passport виглядає так:

 

Звичайне використання Microsoft Passport

Авторизація за допомогою Microsoft Passport мало відрізняється від звичного паролю. При вході треба просто ввести вказаний раніше PIN-код.

 

Схема пересилання даних виглядатиме так:

 

Після входу Windows надсилає до Azure AD запит авторизації, який не містить імені користувача або його секретний код. Azure AD у відповідь надсилає поточний час. Windows за допомогою TPM підписує це послання та відправляє його назад разом з ідентифікатором ID, який створили в Azure AD при налаштуванні. Потім Azure AD порівнює наявні дані та дозволяє користувачеві вхід.

Microsoft Passport для роботи

Адміністратори Azure AD можуть керувати Microsoft Passport, змінюючи доступні їм параметри:

Політики Коментар
Microsoft Passport enabled Служба Passport за замовчуванням активована. Проте її можна вимкнути на обраних пристроях за допомогою цього налаштування.
Hardware TPM required За замовчуванням система намагається створити Passport за допомогою апаратного модуля шифрування TPM. Якщо він відсутній або недоступний, тоді використовується програмне шифрування. Ця опція забороняє використання гаджетів без апаратного шифрування для роботи з Microsoft Passport.
Pin complexity Базовий жест для Microsoft Passport є 4-значним цифровим PIN-кодом. Ця політика дозволяє збільшити його складність.
Enable biometrics Ця опція дозволяє вимкнути біометричну ідентифікацію, яка ввімкнена за замовчуванням.

Ці налаштування дозволяють встановлювати правила аутентифікації для різних груп користувачів чи пристроїв. При цьому налаштування гаджетів мають більшу силу над параметрами профілю власника. Наприклад, якщо адміністратор вимкнув Passport на певному пристрої, усі його користувачі не зможуть користуватися цією службою.

На гаджетах ці політики встановлюються за допомогою інструментів управління Mobile Device Manager (MDM), одним з яких є Microsoft Intune. Microsoft співпрацює з постачальниками MDM над інтеграцією нових налаштувань у їхні продукти.

На завершення

Рішення Microsoft Passport та Azure AD дозволяють компаніям легко відмовитися від паролів. Широке впровадження цієї технології буде відбуватися в рамках стандарту FIDO 2.0.