Microsoft Entra ID 中有哪些可用的身份验证和验证方法?

Microsoft 建议使用无密码身份验证方法(例如 Windows Hello、FIDO2 安全密钥和 Microsoft Authenticator 应用),因为它们提供最安全的登录体验。 尽管用户可使用其他常见方法(例如用户名和密码)登录,但应将密码替换为更安全的身份验证方法。

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

与用户登录时仅使用密码相比,Microsoft Entra 多重身份验证提供的安全性更高。 可以提示用户完成其他形式的身份验证,例如,对推送通知做出响应、输入软件或硬件令牌中的代码,或者对短信或电话呼叫做出响应。

若要简化用户加入体验并注册 MFA 和自助式密码重置 (SSPR),我们建议启用组合式安全信息注册。 为了提供复原能力,建议要求用户注册多种身份验证方法。 在登录或 SSPR 期间,当用户无法使用某种方法时,他们可以选择使用另一种方法进行身份验证。 有关详细信息,请参阅在 Microsoft Entra ID 中创建可复原的访问控制管理策略

我们制作了此视频帮助你选择最佳的身份验证方法来保护组织的安全。

身份验证方法强度和安全性

在组织中部署 Microsoft Entra 多重身份验证等功能时,请查看可用的身份验证方法。 选择在安全性,易用性和可用性方面满足或超过你的要求的方法。 如果可能,请使用具有最高安全性级别的身份验证方法。

下表概述了可用身份验证方法的安全注意事项。 可用性是指用户能够使用这种身份验证方法,而不是 Microsoft Entra ID 中的服务可用性:

身份验证方法 安全性 可用性 可用性
Windows Hello 企业版
Microsoft Authenticator
Authenticator Lite
FIDO2 安全密钥
基于证书的身份验证
OATH 硬件令牌(预览版)
OATH 软件令牌
临时访问密码 (TAP)
SMS
语音
Password

有关安全性的最新信息,请查看我们的博客文章:

提示

为实现灵活性和可用性,建议使用 Microsoft Authenticator 应用。 此身份验证方法提供最佳用户体验和多种模式,如无密码、MFA 推送通知和 OATH 代码。

每种身份验证方法的工作原理

登录到应用程序或设备时,可将某些身份验证方法用作主要因素,如使用 FIDO2 安全密钥或密码。 其他身份验证方法仅在使用 Microsoft Entra 多重身份验证或 SSPR 时用作次要因素。

下表概述了在登录事件期间,何时可以使用身份验证方法:

方法 主要身份验证 辅助身份验证
Windows Hello 企业版 MFA*
Microsoft Authenticator(推送) MFA 和 SSPR
Microsoft Authenticator(无密码) 否*
Authenticator Lite MFA
FIDO2 安全密钥 MFA
基于证书的身份验证 MFA
OATH 硬件令牌(预览版) MFA 和 SSPR
OATH 软件令牌 MFA 和 SSPR
临时访问密码 (TAP) MFA
SMS MFA 和 SSPR
语音呼叫 MFA 和 SSPR
密码

* Windows Hello 企业版本身不用作升级 MFA 凭据。 例如,来自登录频率的 MFA 质询或包含 forceAuthn=true 的 SAML 请求。 Windows Hello 企业版可以通过在 FIDO2 身份验证中使用作为升级 MFA 凭据。 这需要为用户启用 FIDO2 身份验证才能成功工作。

* 仅当基于证书的身份验证 (CBA) 用于主要身份验证时,才能使用无密码登录进行辅助身份验证。 有关详细信息,请参阅 Microsoft Entra 基于证书的身份验证技术深入研究

所有这些身份验证方法都可以在 Microsoft Entra 管理中心内进行配置,使用 Microsoft Graph REST API 进行配置也越来越流行。

若要详细了解每种身份验证方法的工作原理,请参阅以下单独的概念文章:

注意

在 Microsoft Entra ID 中,密码通常是主要身份验证方法之一。 不能禁用密码身份验证方法。 如果你使用密码作为主要身份验证因素,请使用 Microsoft Entra 多重身份验证提高登录事件的安全性。

在某些情况下,可使用以下附加验证方法:

可使用和不可使用的方法

管理员可以在 Microsoft Entra 管理中心查看用户身份验证方法。 首先列出可使用的方法,然后列出不可使用的方法。

每种身份验证方法可能由于不同原因而变得不可用。 例如,临时访问密码可能过期,或者 FIDO2 安全密钥可能未通过证明。 门户将更新,提供方法不可用的原因。

此处还显示了由于“需要重新注册多重身份验证”而不再可用的身份验证方法。

Screenshot of non-usable authentication methods.

后续步骤

若要开始,请参阅自助式密码重置 (SSPR) 的教程Microsoft Entra 多重身份验证

要详细了解 SSPR 概念,请参阅 Microsoft Entra 自助式密码重置的工作原理

若要详细了解 MFA 的概念,请参阅 Microsoft Entra 多重身份验证的工作原理

详细了解如何使用 Microsoft Graph REST API 配置身份验证方法。

若要审查正在使用的身份验证方法,请参阅使用 PowerShell 进行 Microsoft Entra 多重身份验证的身份验证方法分析