Udostępnij za pośrednictwem


Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?

Firma Microsoft zaleca metody uwierzytelniania bez hasła, takie jak Windows Hello, passkeys (FIDO2) i aplikacja Microsoft Authenticator, ponieważ zapewniają one najbezpieczniejsze środowisko logowania. Chociaż użytkownik może zalogować się przy użyciu innych typowych metod, takich jak nazwa użytkownika i hasło, hasła powinny zostać zastąpione bardziej bezpiecznymi metodami uwierzytelniania.

Ilustracja przedstawiająca mocne strony i preferowane metody uwierzytelniania w usłudze Microsoft Entra ID.

Uwierzytelnianie wieloskładnikowe firmy Microsoft dodaje kolejną warstwę zabezpieczeń tylko przy użyciu hasła, gdy użytkownik się zaloguje. Użytkownik może być monitowany o inne formy uwierzytelniania, takie jak odpowiadanie na powiadomienie wypychane, wprowadzanie kodu z tokenu oprogramowania lub sprzętu albo odpowiadanie na wiadomość SMS lub rozmowę telefoniczną.

Aby uprościć środowisko dołączania użytkownika i zarejestrować się zarówno w przypadku uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła (SSPR), zalecamy włączenie połączonej rejestracji informacji zabezpieczających. Aby zapewnić odporność, zalecamy, aby użytkownicy musieli zarejestrować wiele metod uwierzytelniania. Jeśli jedna metoda nie jest dostępna dla użytkownika podczas logowania lub samoobsługowego resetowania hasła, może zdecydować się na uwierzytelnianie za pomocą innej metody. Aby uzyskać więcej informacji, zobacz Tworzenie odpornej strategii zarządzania kontrolą dostępu w usłudze Microsoft Entra ID.

Jak działa każda metoda uwierzytelniania

Niektóre metody uwierzytelniania mogą być używane jako podstawowy czynnik podczas logowania się do aplikacji lub urządzenia, na przykład przy użyciu klucza zabezpieczeń FIDO2 lub hasła. Inne metody uwierzytelniania są dostępne tylko jako czynnik pomocniczy, gdy używasz uwierzytelniania wieloskładnikowego firmy Microsoft lub samoobsługowego resetowania hasła.

W poniższej tabeli przedstawiono, kiedy można użyć metody uwierzytelniania podczas zdarzenia logowania:

Method Uwierzytelnianie podstawowe Uwierzytelnianie pomocnicze
Windows Hello for Business Tak MFA*
Wypychanie aplikacji Microsoft Authenticator Nie. Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła
Bez hasła aplikacji Microsoft Authenticator Tak Nie*
Klucz dostępu aplikacji Microsoft Authenticator Tak Uwierzytelnianie wieloskładnikowe
Authenticator Lite Nie. Uwierzytelnianie wieloskładnikowe
Klucz dostępu (FIDO2) Tak Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie oparte na certyfikatach Tak Uwierzytelnianie wieloskładnikowe
Sprzętowe tokeny OATH (wersja zapoznawcza) Nie. Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła
Tokeny OATH oprogramowania Nie. Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła
Metody uwierzytelniania zewnętrznego (wersja zapoznawcza) Nie. Uwierzytelnianie wieloskładnikowe
Dostęp tymczasowy (TAP) Tak Uwierzytelnianie wieloskładnikowe
Tekst Tak Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła
Połączenie głosowe Nie. Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła
Password Tak Nie.

* Windows Hello dla firm sama w sobie nie służy jako poświadczenie uwierzytelniania wieloskładnikowego. Na przykład żądanie uwierzytelniania wieloskładnikowego z częstotliwości logowania lub żądanie SAML zawierające forceAuthn=true. Windows Hello dla firm może służyć jako krok poświadczeń uwierzytelniania wieloskładnikowego przez użycie uwierzytelniania FIDO2. Wymaga to pomyślnego zarejestrowania użytkowników na potrzeby uwierzytelniania FIDO2.

* Logowanie bez hasła może być używane do uwierzytelniania pomocniczego tylko wtedy, gdy uwierzytelnianie oparte na certyfikatach (CBA) jest używane do uwierzytelniania podstawowego. Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie techniczne uwierzytelniania opartego na certyfikatach firmy Microsoft.

Wszystkie te metody uwierzytelniania można skonfigurować w centrum administracyjnym firmy Microsoft Entra i coraz częściej korzystać z interfejsu API REST programu Microsoft Graph.

Aby dowiedzieć się więcej o tym, jak działa każda metoda uwierzytelniania, zobacz następujące oddzielne artykuły koncepcyjne:

Uwaga

W usłudze Microsoft Entra ID hasło jest często jedną z podstawowych metod uwierzytelniania. Nie można wyłączyć metody uwierzytelniania haseł. Jeśli używasz hasła jako podstawowego czynnika uwierzytelniania, zwiększ bezpieczeństwo zdarzeń logowania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

Te inne metody weryfikacji mogą być używane w niektórych scenariuszach:

Metody użyteczne i niezdatne do użycia

Administratorzy mogą wyświetlać metody uwierzytelniania użytkowników w centrum administracyjnym firmy Microsoft Entra. Metody do użycia są wymienione jako pierwsze, a następnie metody niezdatne do użycia.

Każda metoda uwierzytelniania może stać się bezużyteczna z różnych powodów. Na przykład dostęp tymczasowy może wygaśnieć lub zaświadczanie klucza zabezpieczeń FIDO2 może zakończyć się niepowodzeniem. Portal zostanie zaktualizowany, aby podać przyczynę braku użycia metody.

Metody uwierzytelniania, które nie są już dostępne ze względu na wymaganie ponownego zarejestrowania uwierzytelniania wieloskładnikowego, są również wyświetlane tutaj.

Zrzut ekranu przedstawiający metody uwierzytelniania nienadające się do użycia.

Aby rozpocząć, zobacz samouczek dotyczący samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego firmy Microsoft Entra.

Aby dowiedzieć się więcej na temat pojęć związanych z samoobsługowym resetowaniem hasła, zobacz Jak działa samoobsługowe resetowanie haseł firmy Microsoft.

Aby dowiedzieć się więcej na temat pojęć dotyczących uwierzytelniania wieloskładnikowego, zobacz Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft.

Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph.

Aby sprawdzić, jakie metody uwierzytelniania są używane, zobacz Microsoft Entra multifactor authentication method analysis with PowerShell (Analiza metod uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu programu PowerShell).