![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(291.2, 94%, 38%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Microsoft Graph
一种 Microsoft 可编程性模型,用于公开 REST API 和客户端库以访问 Microsoft 365 服务上的数据。
54 个问题
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(0, 96%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EYH%3C/text%3E%3C/svg%3E)
Microsoft identity platform采用了几种机制来确保用户使用的身份验证方法不被篡改或伪造,特别是当条件访问策略需要特定的方法(如FIDO身份验证或Microsoft Authenticator)时。
从公司层面上
防网络钓鱼多因素身份验证(PRMFA):这种方法主要使用密钥而不是密码,更安全,也更能抵御网络钓鱼攻击。密钥取代了密码,存储在用户的设备上,使其难以被拦截或伪造。
临时访问通行证(TAP):当用户的请求被验证时,他们会收到一个短期有效的临时访问通行证(TAP)。此TAP用于设置永久密码和多因素认证方法,以确保认证过程的安全性和限时性。
Gatekeeper核心架构:此服务使用语音生物识别和其他微服务来确保传输的数据经过加密、身份验证,并且没有被篡改。
从网络层面上
条件访问认证上下文:Microsoft identity platform使用OpenID Connect (OIDC)声明机制来强制执行条件访问策略。当需要特定的身份验证方法时,一旦用户满足policy,平台就会发出一个新的登录令牌,其中包含所需的身份验证上下文声明。这确保只使用指定的身份验证方法。
防网络钓鱼MFA:条件访问策略可能需要防网络钓鱼身份验证方法,如FIDO或Microsoft Authenticator。这些方法旨在防止篡改和伪造,确保用户无法绕过所需的身份验证方法。
这些机制共同帮助感知用户的身份验证模式并防止任何恶意篡改或伪造。
Hope this helps.
If the reply is helpful, please click Accept Answer and kindly upvote it. If you have additional questions about this answer, please click Comment.