Microsoft Entra ID 中的身份验证方法 - 电话选项

Microsoft 建议用户不使用短信或语音呼叫进行多重身份验证。 建议使用 Microsoft Authenticator 等新式身份验证方法。 有关详细信息,请参阅 It's Time to Hang Up on Phone Transports for Authentication(是时候放弃电话传输身份验证了)。 用户仍然可以在多重身份验证 (MFA) 或自助服务密码重置 (SSPR) 期间使用移动电话或办公室电话号码作为辅助的身份验证形式进行身份验证。

对于使用短信的直接身份验证,可以为用户配置和启用基于 SMS 的身份验证。 短信对一线工作人员来说很方便。 使用短信时,用户无需知道用户名和密码即可访问应用程序和服务。 用户的验证方式改为:输入其注册的手机号码,收到带有验证码的短信,并在登录界面中输入该验证码。

注意

具有试用订阅的 Microsoft Entra 租户无法使用电话验证。 例如,如果注册 Microsoft 企业移动性和安全性 (EMS) 试用许可证,则电话验证不可用。 电话号码必须以“+国家/地区代码 电话号码”格式提供,例如 +1 4251234567。 在国家/地区代码和电话号码之间必须有一个空格。

手机验证

对于 Microsoft Entra 多重身份验证或 SSPR,用户可以选择接收短信(其中含有要在登录界面中输入的验证码),或者选择接听电话呼叫。

如果用户不希望在目录中公开其移动电话号码,但想使用该号码来重置密码,则管理员不应在目录中填充该号码。 相反,用户应在“我的登录”中填充其身份验证电话。管理员可以在用户的个人资料中看到此信息,但不会将其发布到其他位置。

Microsoft Entra 管理中心的屏幕截图,其中显示了身份验证方法和已输入的电话号码

注意

仅办公室电话支持电话分机。

Microsoft 不保证同一号码提供一致的短信或基于语音的 Microsoft Entra 多重身份验证提示。 为了用户的利益,我们可能在进行路线调整以提高短信传送能力期间,随时添加或删除短代码。 Microsoft 不支持除美国和加拿大以外的国家/地区的简短代码。

注意

我们应用传递方法优化,以便拥有免费或试用订阅的租户可以接收短信或语音呼叫。

短信验证

如果在 SSPR 或 Microsoft Entra 多重身份验证期间使用短信验证,相应的手机号会接收到包含验证码的短信。 若要完成登录过程,需要在登录界面中输入提供的验证码。

短信可以通过短消息服务 (SMS)、富通信服务 (RCS) 或 WhatsApp 等渠道发送。

Android 用户可以在其设备上启用 RCS。 RCS 将通过短信提供加密和其他改进。 对于 Android,可以通过 RCS 而不是短信发送 MFA 文本消息。 MFA 文本消息类似于短信,但 RCS 消息具有更多的 Microsoft 品牌信息和经过验证的对号标志,以便用户知道他们可以信任该消息。

RCS 消息中的 Microsoft 品牌信息的屏幕截图。

某些用户可能会在 WhatsApp 中收到其验证码。 与 RCS 一样,这些消息与短信类似,但有更多 Microsoft 品牌标记和表示经过验证的勾号。 用户第一次在 WhatsApp 中收到验证码时,系统会通过短信通知更改行为。

只有拥有 WhatsApp 的用户才会通过此渠道收到验证码。 为了检查用户是否拥有 WhatsApp,我们会以无提示方式尝试使用用户已注册的用于短信验证的电话号码通过应用向其发送消息。

如果用户没有任何 Internet 连接,或者卸载 WhatsApp,他们会收到短信验证码。 与 Microsoft 的 WhatsApp Business Agent 关联的电话号码为 +1 (217) 302 1989

确认消息屏幕截图。

电话呼叫验证

如果在 SSPR 或 Microsoft Entra 多重身份验证期间使用电话呼叫验证方法,用户注册的电话号码会接收到一个自动语音呼叫。 为了完成登录过程,系统会提示用户在其键盘上按 # 键。

用户接收语音呼叫的呼叫号码因每个国家/地区而异。 请参阅电话呼叫设置,以查看所有可能的语音呼叫号码。

办公电话验证

在 SSPR 或 Microsoft Entra 多重身份验证期间使用办公室电话呼叫验证方法时,用户注册的电话号码会接收到一个自动语音呼叫。 为了完成登录过程,系统会提示用户在其键盘上按 # 键。

排查电话选项问题

如果在使用 Microsoft Entra ID 的手机身份验证时出现问题,请查看以下故障排除步骤:

  • 登录期间收到“你已达到验证呼叫限制”或“你已达到文本验证码限制”错误消息

    • Microsoft 可能会限制同一用户或组织在短时间内尝试重复执行身份验证的次数。 此限制不适用于 Microsoft Authenticator 或验证码。 如果你已达到这些限制,则可以使用 Authenticator 应用、验证码或在几分钟后尝试再次登录。
  • 登录期间收到“抱歉,我们无法验证你的帐户”错误消息

    • 由于语音或短信身份验证尝试次数过多,同一用户、电话号码或组织进行的语音或短信身份验证尝试可能会遭到 Microsoft 的限制或阻止。 如果遇到此错误,可以尝试其他方法,例如 Authenticator 或验证码,或者联系管理员获取支持。
  • 单个设备上阻止了呼叫方 ID。

    • 查看设备上配置的任何被阻拦的号码。
  • 电话号码错误或国家/地区代码不正确,或混淆个人电话号码和工作电话号码。

    • 对用户对象和配置的身份验证方法进行故障排除。 确保注册了正确的电话号码。
  • 输入了错误的 PIN。

    • 确认用户使用的是注册帐户时所用的正确的 PIN(仅限 MFA 服务器用户)。
  • 呼叫被转到语音信箱。

    • 确保用户的电话处于开启状态,并且所需服务在其区域中可用,或使用替代方法。
  • 用户被阻止

    • 让 Microsoft Entra 管理员在 Microsoft Entra 管理中心取消阻止用户。
  • 设备上未订阅短信、RCS 或 WhatsApp 等短信平台。

    • 让用户更改方法或在设备上激活短信平台。
  • 电信服务提供商有问题,如检测不到电话输入、DTMF 提示音缺失的问题、在多台设备上阻止了呼叫方 ID 或在多台设备上阻止了短信。

    • Microsoft 使用多家电信服务提供商来路由电话呼叫和短信进行身份验证。 如果发生上述任何问题,请让用户尝试在 5 分钟内至少使用此方法 5 次,而你在联系 Microsoft 支持人员时需提供该用户的信息。
  • 信号质量差。

    • 让用户通过安装 Authenticator 应用,以尝试使用 wi-fi 连接进行登录。
    • 也可使用短信而非电话(语音)身份验证。
  • 电话号码被阻止,无法用于语音 MFA

    • 除非 Microsoft Entra 管理员选择加入一些国家/地区代码,否则语音 MFA 会阻止这些国家/地区代码。 让 Microsoft Entra 管理员选择加入这些这些国家/地区代码,以接收其 MFA。

    • 或者,使用 Microsoft Authenticator 而不是语音身份验证。

后续步骤

若要开始,请参阅自助式密码重置 (SSPR) 的教程Microsoft Entra 多重身份验证

要详细了解 SSPR 概念,请参阅 Microsoft Entra 自助式密码重置的工作原理

若要详细了解 MFA 的概念,请参阅 Microsoft Entra 多重身份验证的工作原理

详细了解如何使用 Microsoft Graph REST API 配置身份验证方法。