Microsoft Entra ID 的無密碼驗證選項

多重要素驗證 (MFA) 等功能是保護貴組織的絕佳方式,但使用者通常會因為必須記住其密碼而感到沮喪的額外安全性層。 無密碼驗證方法由於移除了密碼,並取代為您擁有的內容,加上代表您身分的事物或您知道的資訊,因此更加方便。

驗證 您有的項目 代表您本人或您所知的事物
無密碼 Windows 10 裝置、手機或安全性金鑰 生物特徵辨識或 PIN 碼

每個組織對於驗證都有不同的需求。 Microsoft Azure 和 Azure Government 提供下列四個無密碼驗證選項,可與 Microsoft Entra ID 整合:

  • Windows Hello 企業版
  • Microsoft 驗證器
  • FIDO2 安全性金鑰
  • 憑證型驗證

Authentication: Security versus convenience

Windows Hello 企業版

Windows Hello 企業版非常適用於擁有專屬 Windows PC 的資訊工作者。 生物特徵辨識和 PIN 認證會直接繫結至使用者的電腦,以防止擁有者以外的任何人存取。 使用公開金鑰基礎結構 (PKI) 整合和內建的單一登入支援 (SSO),Windows Hello 企業版提供便利的方法,讓您無縫存取內部部署和雲端中的公司資源。

Example of a user sign-in with Windows Hello for Business

下列步驟顯示登入程式如何與 Microsoft Entra ID 搭配運作:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. 使用者使用生物特徵辨識或 PIN 手勢登入 Windows。 手勢會解除鎖定 Windows Hello 企業版 私鑰,並傳送至雲端驗證安全性支援提供者,稱為 Cloud AP 提供者
  2. 雲端 AP 提供者會從 Microsoft Entra ID 要求 nonce(一個只可使用一次的隨機任意數位)。
  3. Microsoft Entra ID 會傳回 5 分鐘有效的 nonce。
  4. Cloud AP 提供者會使用使用者的私鑰簽署 nonce,並將已簽署的 nonce 傳回給 Microsoft Entra ID。
  5. Microsoft Entra ID 會使用使用者安全註冊的公鑰,針對 nonce 簽章驗證已簽署的 nonce。 Microsoft Entra ID 會驗證簽章,然後驗證傳回的已簽署 nonce。 驗證 nonce 時,Microsoft Entra ID 會建立主要重新整理令牌 (PRT),其中會話密鑰會加密至裝置的傳輸密鑰,並將其傳回給 Cloud AP 提供者。
  6. 雲端 AP 提供者會接收具有會話金鑰的加密 PRT。 雲端 AP 提供者會使用裝置的私人傳輸金鑰來解密會話密鑰,並使用裝置的受信任平台模組 (TPM) 保護會話密鑰。
  7. Cloud AP 提供者會將成功的驗證回應傳回給 Windows。 然後,使用者就可以存取 Windows 以及雲端和內部部署應用程式,而不需要再次驗證 (SSO)。

Windows Hello 企業版 規劃指南可用來協助您決定 Windows Hello 企業版 部署的類型,以及您需要考慮的選項。

Microsoft 驗證器

您也可以讓員工的電話成為無密碼的驗證方法。 您可能已經使用 Authenticator 應用程式作為除了密碼之外便利的多重要素驗證選項。 您也可以使用 Authenticator 應用程式作為無密碼選項。

Sign in to Microsoft Edge with the Microsoft Authenticator

Authenticator 應用程式能將任何 iOS 或 Android 手機變成強式無密碼認證。 使用者可以透過手機取得通知、比對畫面上顯示的數字與其手機上的數字,然後使用其生物特徵辨識 (觸控或臉部) 或 PIN 進行確認,來登入任何平台或瀏覽器。 如需 安裝詳細數據,請參閱下載並安裝 Microsoft Authenticator

使用 Authenticator 應用程式的無密碼驗證會遵循與 Windows Hello 企業版 相同的基本模式。 這有點複雜,因為使用者需要識別,以便 Microsoft Entra ID 可以找到正在使用的 Authenticator 應用程式版本:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. 使用者輸入其用戶名稱。
  2. Microsoft Entra ID 會偵測使用者具有強認證,並啟動強認證流程。
  3. 通知會透過 iOS 裝置上的 Apple 推播通知服務 (APNS) 或 Android 裝置上的 Firebase 雲端通訊 (FCM) 傳送至應用程式。
  4. 使用者會收到推播通知,並開啟應用程式。
  5. 應用程式會呼叫 Microsoft Entra 識別符,並收到存在證明挑戰和 Nonce。
  6. 使用者輸入生物特徵辨識或 PIN 以解除鎖定私鑰,以完成挑戰。
  7. nonce 會使用私鑰簽署,並傳回 Microsoft Entra ID。
  8. Microsoft Entra ID 會執行公開/私鑰驗證,並傳回令牌。

若要開始使用無密碼登入,請完成下列操作說明:

FIDO2 安全性金鑰

FIDO (快速線上身分識別) 聯盟有助於提升開放式驗證標準,並減少使用密碼的驗證形式。 FIDO2 是加入 Web 驗證 (WebAuthn) 標準的最新標準。

FIDO2 安全性金鑰是無法網路釣魚的標準無密碼驗證方法,可以是任何規格。 Fast Identity Online (FIDO) 是一種無密碼驗證開放標準。 FIDO 可讓使用者和組織利用標準,以外部安全性金鑰或裝置內建的平台金鑰來登入其資源,而不需要使用者名稱或密碼。

使用者可以註冊,然後在登入介面選取 FIDO2 安全性金鑰,昨為其主要的驗證方法。 這些 FIDO2 的安全性金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 使用硬體裝置處理驗證,帳戶的安全性增加了,因為沒有可能公開或猜測的密碼。

可以使用 FIDO2 安全性金鑰來登入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的 Windows 10 裝置,並取得單一登入其雲端和內部部署資源。 使用者也可以登入支援的瀏覽器。 針對非常注重安全性的企業,或有不願意或無法以其電話作為第二個因素的狀況或員工,FIDO2 安全性金鑰便是絕佳的選擇。

我們有一份參考檔,其中 瀏覽器支援使用 Microsoft Entra ID 進行 FIDO2 驗證,以及想要 在所開發應用程式中支援 FIDO2 驗證的開發人員的最佳做法。

Sign in to Microsoft Edge with a security key

當使用者使用 FIDO2 安全性金鑰登入時,會使用下列程式:

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. 使用者會將 FIDO2 安全性金鑰插入其電腦。
  2. Windows 會偵測 FIDO2 安全性金鑰。
  3. Windows 會傳送驗證要求。
  4. Microsoft Entra ID 會傳回 nonce。
  5. 使用者完成其手勢,以解除鎖定儲存在 FIDO2 安全性金鑰安全記憶體保護區中的私鑰。
  6. FIDO2 安全性金鑰會使用私鑰簽署 nonce。
  7. 具有已簽署 nonce 的主要重新整理令牌 (PRT) 令牌要求會傳送至 Microsoft Entra ID。
  8. Microsoft Entra ID 會使用 FIDO2 公鑰來驗證已簽署的 nonce。
  9. Microsoft Entra ID 會傳回 PRT,以啟用內部部署資源的存取。

FIDO2 安全性金鑰提供者

下列提供者提供與無密碼體驗相容的不同尺寸 FIDO2 安全性密鑰。 我們鼓勵您透過連絡廠商及 FIDO 聯盟,評估這些金鑰的安全性屬性。

提供者 生物 USB NFC BLE
AuthenTrend y y y y
Acs n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Ensurity y y n n
Excelsecu y y y y
飛天 y y y y
Fortinet n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
n y y n
HIDEEZ n y y y
Hypersecu n y n n
Hypr y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
肯 辛 頓 y y n n
KONA I y n y y
NeoWave n y y n
尼米 y n y n
Octatco y y n n
OneSpan Inc. n y n y
PONE 生物特徵辨識 y n n y
精確度生物特徵辨識 n y n n
Rsa n y n n
哨兵 n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales Group y y y n
Thetis y y y y
Token2 瑞士 y y y n
Token Ring y n y n
TrustKey 解決方案 y y n n
VinCSS n y n n
WiSECURE 技術 n y n n
Yubico y y y n

注意

如果您購買並計劃使用 NFC 型安全性金鑰,則需要安全性金鑰支援的 NFC 讀取器。 NFC 讀取器不是 Azure 需求或限制。 請洽詢廠商以 NFC 為基礎的安全性金鑰,以取得支援的 NFC 讀取器清單。

如果您是廠商,且想要將此支援的裝置清單上取得您的裝置,請參閱我們的指引,以 瞭解如何成為 Microsoft 相容的 FIDO2 安全性密鑰廠商

若要開始使用 FIDO2 安全性金鑰,請完成下列操作說明:

憑證型驗證

Microsoft Entra 憑證型驗證 (CBA) 可讓客戶針對應用程式和瀏覽器登入的 Microsoft Entra 識別符,允許或要求使用者直接使用 X.509 憑證進行驗證。 CBA 可讓客戶採用網路釣魚防護驗證,並使用 X.509 憑證登入其公鑰基礎結構 (PKI)。

Diagram of Microsoft Entra certificate-based authentication.

使用 Microsoft Entra CBA 的主要優點

福利 描述
絕佳的用戶體驗 - 需要憑證式驗證的用戶現在可以直接根據 Microsoft Entra 標識符進行驗證,而不需要投資同盟 AD FS。
- 入口網站 UI 可讓使用者輕鬆地設定如何將憑證欄位對應至使用者物件屬性,以在租使用者中查閱使用者(憑證使用者名稱系結)
- 用來設定驗證原則入口網站 UI,以協助判斷哪些憑證是單一因素與多重要素。
易於部署和管理 - Microsoft Entra CBA 是免費的功能,您不需要任何付費版本的 Microsoft Entra ID 即可使用它。
- 不需要複雜的內部部署或網路設定。
- 直接根據 Microsoft Entra 識別碼進行驗證。
安全 - 內部部署密碼不需要以任何形式儲存在雲端中。
- 使用 Microsoft Entra 條件式存取原則順暢地保護您的用戶帳戶,包括網路釣魚防護 多重要素驗證 (MFA 需要 授權版本),以及封鎖舊版驗證。
- 用戶可透過憑證欄位定義驗證原則的強身份驗證支援,例如簽發者或原則 OID(物件標識符),以判斷哪些憑證符合單一因素與多重要素的資格。
- 此功能可與條件式存取功能和驗證強度功能順暢地搭配運作,以強制執行 MFA 來協助保護您的使用者。

支援的案例

支援下列案例:

  • 使用者在所有平臺上登入網頁瀏覽器型應用程式。
  • 使用者登入 iOS/Android 平臺上的 Office 行動應用程式,以及 Windows 中的 Office 原生應用程式,包括 Outlook、OneDrive 等等。
  • 行動原生瀏覽器上的使用者登入。
  • 支援使用憑證簽發者 主體原則 OID 進行多重要素驗證的細微驗證規則。
  • 使用任何憑證欄位設定憑證對用戶帳戶系結:
    • 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
    • 主體金鑰標識碼 (SKI) 和 SHA1PublicKey
  • 使用任何使用者物件屬性來設定憑證對使用者帳戶系結:
    • 使用者主體名稱
    • onPremisesUserPrincipalName
    • CertificateUserIds

支援的案例

應注意下列考量:

  • 管理員 istrators 可以為其租用戶啟用無密碼驗證方法。
  • 管理員 istrators 可以鎖定所有使用者,或針對每個方法選取其租使用者內的使用者/安全組。
  • 用戶可以在其帳戶入口網站中註冊和管理這些無密碼驗證方法。
  • 使用者可以使用這些無密碼驗證方法登入:
    • 驗證器應用程式:適用於使用 Microsoft Entra 驗證的案例,包括跨所有瀏覽器、Windows 10 設定期間,以及在任何作業系統上使用整合式行動應用程式。
    • 安全性密鑰:在 Microsoft Edge 等支援瀏覽器的 Windows 10 和 Web 鎖定畫面上運作(舊版和新 Edge)。
  • 使用者可以使用無密碼認證來存取其為來賓的租使用者中的資源,但仍可能需要在該資源租用戶中執行 MFA。 如需詳細資訊,請參閱 可能的雙重多重要素驗證
  • 使用者可能不會在來賓的租用戶中註冊無密碼認證,其方式與該租使用者中未管理密碼的方式相同。

不支援的情節

針對任何用戶帳戶的每個無密碼方法,我們建議不超過 20 組密鑰。 隨著新增更多索引鍵,用戶物件大小會增加,而且您可能會發現某些作業降低。 在此情況下,您應該移除不必要的索引鍵。 如需詳細資訊和要查詢和移除密鑰的 PowerShell Cmdlet,請參閱使用 WHfBTools PowerShell 模組來清除孤立的 Windows Hello 企業版 金鑰。 本主題使用 /UserPrincipalName 選擇性參數來查詢特定使用者的索引鍵。 所需的許可權是以系統管理員或指定的使用者身分執行。

當您使用PowerShell建立包含所有現有金鑰的 CSV 檔案時,請仔細識別您需要保留的金鑰,並從 CSV 中移除那些資料列。 然後使用修改後的 CSV 搭配 PowerShell 來刪除其餘密鑰,以將帳戶金鑰計數帶入限制之下。

安全地刪除 CSV 中回報為 「Orphaned」=「True」 的任何密鑰。 孤立的密鑰是一個裝置的金鑰,該裝置在 Entra 識別碼中未註冊。 如果移除所有孤立者仍然不會讓使用者帳戶低於限制,則必須查看 「DeviceId」 和 「CreationTime」 資料行,以識別要刪除的目標密鑰。 請小心移除 CSV 中的任何資料列,以取得您想要保留的金鑰。 用戶主動使用之裝置的任何 DeviceID 金鑰,都應該在刪除步驟之前從 CSV 中移除。

選擇無密碼方法

這三個無密碼選項之間的選擇取決於您公司的安全性、平台和應用程式需求。

以下是選擇 Microsoft 無密碼技術時需要考慮的一些因素:

Windows Hello 企業版 使用 Authenticator 應用程式進行無密碼登入 FIDO2 安全性金鑰
必要條件 Windows 10,版本 1809 或更新版本
Microsoft Entra ID
Authenticator 應用程式核准要求
電話 (iOS 和 Android 裝置)
Windows 10 版本 1903 或更新版本
Microsoft Entra ID
模式 平台 軟體 硬體
系統和裝置 具有內建信任平台模組的電腦 (TPM)
PIN 和生物特徵辨識
手機上的 PIN 和生物特徵辨識 與 Microsoft 相容的 FIDO2 安全性裝置
使用者體驗 使用 PIN 或生物特徵辨識(臉部、鳶尾花或指紋)與 Windows 裝置登入。
Windows Hello 驗證系結至裝置;使用者需要裝置和登入元件,例如 PIN 或生物特徵辨識因素,才能存取公司資源。
使用具有指紋掃描、臉部或虹膜辨識或 PIN 的行動電話登入。
用戶從電腦或行動電話登入公司或個人帳戶。
使用 FIDO2 安全性裝置登入 (生物特徵辨識、PIN 和 NFC)
用戶可以根據組織控制來存取裝置,並根據PIN、生物特徵辨識技術,使用USB安全性密鑰和已啟用 NFC 功能的智慧卡、密鑰或可穿戴裝置進行驗證。
已啟用的案例 Windows 裝置的無密碼體驗。
適用於專用工作計算機,能夠單一登錄裝置和應用程式。
使用行動電話的無密碼解決方案。
適用於從任何裝置存取網路上的工作或個人應用程式。
使用生物特徵辨識、PIN 和 NFC 的無密碼背景工作體驗。
適用於共享電腦,以及行動電話不是可行的選項(例如技術支援人員、公用 Kiosk 或醫院小組)

使用下表來選擇哪一種方法將支援您的需求和使用者。

角色 案例 Environment 無密碼技術
系統管理員 保護裝置的存取以進行管理工作 指派的 Windows 10 裝置 Windows Hello 企業版和/或 FIDO2 安全性金鑰
系統管理員 非 Windows 裝置上的管理工作 行動裝置或非 Windows 裝置 使用 Authenticator 應用程式進行無密碼登入
資訊工作者 生產力工作 指派的 Windows 10 裝置 Windows Hello 企業版和/或 FIDO2 安全性金鑰
資訊工作者 生產力工作 行動裝置或非 Windows 裝置 使用 Authenticator 應用程式進行無密碼登入
前線工作者 工廠、工廠、零售或數據輸入中的 Kiosk 共用 Windows 10 裝置 FIDO2 安全性金鑰

下一步

若要開始使用 Microsoft Entra ID 中的無密碼,請完成下列其中一個操作說明: