Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
Firma Microsoft zaleca metody uwierzytelniania bez hasła, takie jak Windows Hello, passkeys (FIDO2) i aplikacja Microsoft Authenticator, ponieważ zapewniają one najbezpieczniejsze środowisko logowania. Chociaż użytkownik może zalogować się przy użyciu innych typowych metod, takich jak nazwa użytkownika i hasło, hasła powinny zostać zastąpione bardziej bezpiecznymi metodami uwierzytelniania.
Uwierzytelnianie wieloskładnikowe firmy Microsoft dodaje kolejną warstwę zabezpieczeń tylko przy użyciu hasła, gdy użytkownik się zaloguje. Użytkownik może być monitowany o inne formy uwierzytelniania, takie jak odpowiadanie na powiadomienie wypychane, wprowadzanie kodu z tokenu oprogramowania lub sprzętu albo odpowiadanie na wiadomość SMS lub rozmowę telefoniczną.
Aby uprościć środowisko dołączania użytkownika i zarejestrować się zarówno w przypadku uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła (SSPR), zalecamy włączenie połączonej rejestracji informacji zabezpieczających. Aby zapewnić odporność, zalecamy, aby użytkownicy musieli zarejestrować wiele metod uwierzytelniania. Jeśli jedna metoda nie jest dostępna dla użytkownika podczas logowania lub samoobsługowego resetowania hasła, może zdecydować się na uwierzytelnianie za pomocą innej metody. Aby uzyskać więcej informacji, zobacz Tworzenie odpornej strategii zarządzania kontrolą dostępu w usłudze Microsoft Entra ID.
Jak działa każda metoda uwierzytelniania
Niektóre metody uwierzytelniania mogą być używane jako podstawowy czynnik podczas logowania się do aplikacji lub urządzenia, na przykład przy użyciu klucza zabezpieczeń FIDO2 lub hasła. Inne metody uwierzytelniania są dostępne tylko jako czynnik pomocniczy, gdy używasz uwierzytelniania wieloskładnikowego firmy Microsoft lub samoobsługowego resetowania hasła.
W poniższej tabeli przedstawiono, kiedy można użyć metody uwierzytelniania podczas zdarzenia logowania:
Method | Uwierzytelnianie podstawowe | Uwierzytelnianie pomocnicze |
---|---|---|
Windows Hello for Business | Tak | MFA* |
Wypychanie aplikacji Microsoft Authenticator | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
Bez hasła aplikacji Microsoft Authenticator | Tak | Nie* |
Klucz dostępu aplikacji Microsoft Authenticator | Tak | Uwierzytelnianie wieloskładnikowe |
Authenticator Lite | Nie. | Uwierzytelnianie wieloskładnikowe |
Klucz dostępu (FIDO2) | Tak | Uwierzytelnianie wieloskładnikowe |
Uwierzytelnianie oparte na certyfikatach | Tak | Uwierzytelnianie wieloskładnikowe |
Sprzętowe tokeny OATH (wersja zapoznawcza) | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
Tokeny OATH oprogramowania | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
Metody uwierzytelniania zewnętrznego (wersja zapoznawcza) | Nie. | Uwierzytelnianie wieloskładnikowe |
Dostęp tymczasowy (TAP) | Tak | Uwierzytelnianie wieloskładnikowe |
Tekst | Tak | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
Połączenie głosowe | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła |
Password | Tak | Nie. |
* Windows Hello dla firm sama w sobie nie służy jako poświadczenie uwierzytelniania wieloskładnikowego. Na przykład żądanie uwierzytelniania wieloskładnikowego z częstotliwości logowania lub żądanie SAML zawierające forceAuthn=true. Windows Hello dla firm może służyć jako krok poświadczeń uwierzytelniania wieloskładnikowego przez użycie uwierzytelniania FIDO2. Wymaga to pomyślnego zarejestrowania użytkowników na potrzeby uwierzytelniania FIDO2.
* Logowanie bez hasła może być używane do uwierzytelniania pomocniczego tylko wtedy, gdy uwierzytelnianie oparte na certyfikatach (CBA) jest używane do uwierzytelniania podstawowego. Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie techniczne uwierzytelniania opartego na certyfikatach firmy Microsoft.
Wszystkie te metody uwierzytelniania można skonfigurować w centrum administracyjnym firmy Microsoft Entra i coraz częściej korzystać z interfejsu API REST programu Microsoft Graph.
Aby dowiedzieć się więcej o tym, jak działa każda metoda uwierzytelniania, zobacz następujące oddzielne artykuły koncepcyjne:
- Windows Hello for Business
- Aplikacja Microsoft Authenticator
- Authenticator Lite
- Klucz dostępu (FIDO2)
- Uwierzytelnianie oparte na certyfikatach
- Sprzętowe tokeny OATH (wersja zapoznawcza)
- Tokeny OATH oprogramowania
- Metody uwierzytelniania zewnętrznego (wersja zapoznawcza)
- Dostęp tymczasowy (TAP)
- Logowanie i weryfikacja wiadomości SMS
- Weryfikacja połączeń głosowych
- Hasło
Uwaga
W usłudze Microsoft Entra ID hasło jest często jedną z podstawowych metod uwierzytelniania. Nie można wyłączyć metody uwierzytelniania haseł. Jeśli używasz hasła jako podstawowego czynnika uwierzytelniania, zwiększ bezpieczeństwo zdarzeń logowania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
Te inne metody weryfikacji mogą być używane w niektórych scenariuszach:
- Hasła aplikacji — używane w przypadku starych aplikacji, które nie obsługują nowoczesnego uwierzytelniania i można je skonfigurować do uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników.
- Pytania zabezpieczające — używane tylko w przypadku samoobsługowego resetowania hasła
- Adres e-mail — używany tylko do samoobsługowego resetowania hasła
Metody użyteczne i niezdatne do użycia
Administratorzy mogą wyświetlać metody uwierzytelniania użytkowników w centrum administracyjnym firmy Microsoft Entra. Metody do użycia są wymienione jako pierwsze, a następnie metody niezdatne do użycia.
Każda metoda uwierzytelniania może stać się bezużyteczna z różnych powodów. Na przykład dostęp tymczasowy może wygaśnieć lub zaświadczanie klucza zabezpieczeń FIDO2 może zakończyć się niepowodzeniem. Portal zostanie zaktualizowany, aby podać przyczynę braku użycia metody.
Metody uwierzytelniania, które nie są już dostępne ze względu na wymaganie ponownego zarejestrowania uwierzytelniania wieloskładnikowego, są również wyświetlane tutaj.
Powiązana zawartość
Aby rozpocząć, zobacz samouczek dotyczący samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego firmy Microsoft Entra.
Aby dowiedzieć się więcej na temat pojęć związanych z samoobsługowym resetowaniem hasła, zobacz Jak działa samoobsługowe resetowanie haseł firmy Microsoft.
Aby dowiedzieć się więcej na temat pojęć dotyczących uwierzytelniania wieloskładnikowego, zobacz Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft.
Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph.
Aby sprawdzić, jakie metody uwierzytelniania są używane, zobacz Microsoft Entra multifactor authentication method analysis with PowerShell (Analiza metod uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu programu PowerShell).