Microsoft Entra ID 中有哪些可用的驗證和驗證方法?

Microsoft 建議使用無密碼驗證方法,例如 Windows Hello、FIDO2 安全性金鑰和 Microsoft Authenticator 應用程式,因為它們提供最安全的登入體驗。 雖然使用者可以使用例如使用者名稱和密碼等其他常見方法登入,但密碼應取代為更安全的驗證方法。

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

比起只用密碼登入,採用 Microsoft Entra 多重要素驗證能夠為使用者增加額外的安全性。 系統會提示使用者輸入其他形式的驗證,例如回應推播通知、輸入軟體或硬體權杖中的代碼,或回應簡訊或來電。

若要簡化使用者上線體驗,並註冊 MFA 和自助式密碼重設 (SSPR),建議您 啟用合併的安全性信息註冊。 為了復原目的,建議您要求使用者註冊多個驗證方法。 使用者在登入或 SSPR 期間若無法使用其中一種方法,即可選擇使用其他方法進行驗證。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中建立復原訪問控制管理策略。

以下是 我們建立的影片 ,可協助您選擇最佳的驗證方法來保護您的組織安全。

驗證方法強度和安全性

當您在組織中部署 Microsoft Entra 多重要素驗證之類的功能時,請參閱可用的驗證方法。 根據安全性、使用性和可用性,選擇符合或超越您需求的方法。 可能的話,請使用具有最高層級安全性的驗證方法。

下表概述可用驗證方法的安全性考量。 可用性是指使用者能夠使用驗證方法,而不是 Microsoft Entra ID 中的服務可用性:

驗證方法 安全性 可用性 可用性
Windows Hello 企業版
Microsoft 驗證器
Authenticator Lite
FIDO2 安全性金鑰
憑證型驗證
OATH 硬體權杖 (預覽)
OATH 軟體權杖
臨時存取密碼 (TAP)
簡訊
語音
密碼

如需安全性的最新資訊,請參閱我們的部落格文章:

提示

為了彈性和使用性,我們建議您使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。

每個驗證方法的運作方式

當您登入應用程式或裝置時,某些驗證方法可作為主要因素,例如使用 FIDO2 安全性金鑰或密碼。 當您使用 Microsoft Entra 多重要素驗證或 SSPR 時,其他驗證方法只會作為次要因素。

下表概述在登入事件期間可以使用驗證方法的時機:

方法 主要驗證 次要驗證
Windows Hello 企業版 Yes Mfa*
Microsoft Authenticator (Push) No MFA 和 SSPR
Microsoft Authenticator (無密碼) Yes 不*
Authenticator Lite No MFA
FIDO2 安全性金鑰 Yes MFA
憑證型驗證 Yes MFA
OATH 硬體權杖 (預覽) No MFA 和 SSPR
OATH 軟體權杖 No MFA 和 SSPR
臨時存取密碼 (TAP) Yes MFA
SMS Yes MFA 和 SSPR
語音通話 No MFA 和 SSPR
密碼 No

* Windows Hello 企業版 本身不會做為逐步的 MFA 認證。 例如,來自登入頻率或 SAML 要求的 MFA 挑戰,包含 forceAuthn=true。 Windows Hello 企業版 可用來作為 FIDO2 驗證中的逐步 MFA 認證。 這需要用戶啟用 FIDO2 驗證才能順利運作。

* 只有在憑證式驗證 (CBA) 用於主要驗證時,才能使用無密碼登入進行次要驗證。 如需詳細資訊,請參閱 Microsoft Entra 憑證型驗證技術深入探討

所有這些驗證方法都可以在 Microsoft Entra 系統管理中心設定,並越來越多地使用 Microsoft Graph REST API

若要深入瞭解每個驗證方法的運作方式,請參閱下列個別的概念性文章:

注意

在 Microsoft Entra ID 中,密碼通常是其中一種主要驗證方法。 您無法停用密碼驗證方法。 如果您使用密碼作為主要驗證因素,請使用 Microsoft Entra 多重要素驗證來提高登入事件的安全性。

下列其他驗證方法可用於某些案例:

  • 應用程式密碼 - 用於不支援新式驗證的舊應用程式,並可針對每個使用者的 Microsoft Entra 多重要素驗證進行設定。
  • 安全性問題 - 僅適用於 SSPR
  • 電子郵件位址 - 僅適用於 SSPR

可用和不可使用的方法

管理員 istrators 可以在 Microsoft Entra 系統管理中心檢視使用者驗證方法。 首先會列出可使用的方法,後面接著不可使用的方法。

每個驗證方法可能會因為不同原因而變成無法使用。 例如,暫時存取通行證可能會過期,或 FIDO2 安全性密鑰可能會失敗證明。 入口網站將會更新,以提供方法無法使用的原因。

這裡也會顯示因為「需要重新註冊多重要素驗證」而無法再使用的驗證方法。

Screenshot of non-usable authentication methods.

下一步

若要開始使用,請參閱 自助式密碼重設 (SSPR)Microsoft Entra 多重要素驗證的教學課程。

若要深入瞭解 SSPR 概念,請參閱 Microsoft Entra 自助式密碼重設的運作方式

若要深入瞭解 MFA 概念,請參閱 Microsoft Entra 多重要素驗證的運作方式

深入瞭解如何使用 Microsoft Graph REST API 設定驗證方法。

若要檢閱使用中的驗證方法,請參閱 使用 PowerShell 的 Microsoft Entra 多重要素驗證驗證方法分析。