通过

什么是Microsoft Entra 身份验证?

  • 项目

标识平台的主要功能之一就是在用户登录到设备、应用程序或服务时,对凭据进行验证或身份验证。 在Microsoft Entra ID 中,身份验证不仅仅是用户名和密码的验证。 为了提高安全性并减少支持人员协助的需求,Microsoft Entra 身份验证包括以下组件:

  • 自助密码重置
  • Microsoft Entra 多重身份验证
  • 用于将密码更改写回到本地环境的混合集成
  • 为本地环境强制实施密码保护策略的混合集成
  • 无密码身份验证

查看我们的简短视频,了解有关这些身份验证组件的详细信息。

改进最终用户体验

Microsoft Entra ID 有助于保护用户的标识并简化其登录体验。 自助服务密码重置等功能允许用户从任何设备使用 Web 浏览器更新或更改其密码。 当用户忘记了其密码或帐户被锁定时,此功能特别有用。 无需等待支持人员或管理员提供支持,用户就可以解除阻止自己并继续工作。

Microsoft Entra 多重身份验证允许用户在登录期间选择其他形式的身份验证,例如电话呼叫或移动应用通知。 此功能减少了单一固定形式的辅助身份验证(如硬件令牌)的要求。 如果用户当前没有一种其他身份验证形式,则可以选择其他方法并继续工作。

登录屏幕中使用的身份验证方法

无密码身份验证无需用户创建并记住安全密码。 Windows Hello 企业版或 FIDO2 安全密钥等功能允许用户在没有密码的情况下登录到设备或应用程序。 此功能可以减少跨不同环境管理密码的复杂性。

自助密码重置

自助服务密码重置使用户能够更改或重置其密码,无需管理员或技术支持参与。 如果用户的帐户被锁定或忘记了密码,他们可以按照提示解除锁定并恢复工作。 当用户无法登录到其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。

自助密码重置在以下情况下有效:

  • 密码更改 - 当用户知道其密码但想要将其更改为新密码时,
  • 密码重置 - 用户无法登录(例如忘记密码时),并想要重置其密码。
  • 帐户解锁 - 当用户因为帐户被锁定而无法登录,并希望解锁帐户时。

当用户使用自助密码重置更新或重置其密码时,也可以将密码写回到本地 Active Directory 环境。 密码写回可确保用户可以立即将其更新的凭据用于本地设备和应用程序。

Microsoft Entra 多重身份验证

多重身份验证是在登录过程中提示用户输入其他形式的标识的过程,例如在其手机中输入代码或提供指纹扫描。

如果仅使用密码对用户进行身份验证,它将留下不安全的攻击途径。 如果密码过于简单或已泄露在其他地方,那么使用用户名和密码登录的到底是用户本人,还是攻击者? 当你需要第二种形式的身份验证时,安全性会增加,因为此附加因素并不容易让攻击者获取或复制。

不同形式的多重身份验证的概念图像

Microsoft Entra 多重身份验证的工作原理是需要以下两种或多种身份验证方法:

  • 你知道的某样东西,通常为密码。
  • 你拥有的事物,例如不容易复制的受信任设备,如一部手机或硬件密钥。
  • 自身的特征 - 生物识别,如指纹或面部扫描。

用户可以在一个步骤中注册自助密码重置和Microsoft Entra 多重身份验证,以简化载入体验。 管理员可以定义可以使用哪种形式的辅助身份验证。 当用户执行自助密码重置以进一步保护该过程时,还需要Microsoft Entra 多重身份验证。

密码保护

默认情况下,Microsoft Entra ID 会阻止弱密码,例如 Password1。 全局禁止密码列表会自动更新并强制实施,其中包括已知的弱密码。 如果 Microsoft Entra 用户尝试将其密码设置为这些弱密码之一,他们会收到一条通知,以选择更安全的密码。

若要提高安全性,可以定义自定义密码保护策略。 这些策略可以使用筛选器来阻止任何包含名称(如 Contoso)或位置(如 伦敦)的密码变体,例如。

若要实现混合安全性,可以将 Microsoft Entra 密码保护与本地 Active Directory 环境集成。 在本地环境中安装的组件接收来自 Microsoft Entra ID 的全局禁止密码列表和自定义密码保护策略,域控制器使用这些策略来处理密码更改事件。 此混合方法可确保无论用户如何或在哪里更改其凭据,都强制使用强密码。

无密码身份验证

许多环境的最终目标是删除密码作为登录事件的一部分。 Azure 密码保护或Microsoft Entra 多重身份验证等功能有助于提高安全性,但用户名和密码仍然是可以公开或暴力攻击的弱身份验证形式。

在身份验证过程中,安全性与便利性之间的权衡导致无密码

使用无密码方法登录时,将使用 Windows Hello 企业版生物识别或 FIDO2 安全密钥等方法提供凭据。 攻击者无法轻松复制这些身份验证方法。

Microsoft Entra ID 提供了使用无密码方法进行本机身份验证的方法,以简化用户的登录体验并降低攻击风险。

后续步骤

若要开始,请参阅 教程以了解自助密码重置(SSPR)Microsoft Entra 多重身份验证

若要详细了解自助密码重置概念,请参阅 Microsoft Entra 自助式密码重置的工作原理

若要详细了解多重身份验证概念,请参阅 Microsoft Entra 多重身份验证的工作原理