条件访问身份验证强度工作原理
本主题介绍条件访问身份验证强度如何限制允许哪些身份验证方法访问资源。
身份验证强度如何与身份验证方法策略配合使用
有两种策略可确定可用于访问资源的身份验证方法。 如果在任一策略中为用户启用了某种身份验证方法,则用户可以使用该方法登录。
“安全”>“身份验证方法”>“策略”是管理特定用户和组的身份验证方法的一种更现代的方法。 可以为不同的方法指定用户和组。 还可以配置参数来控制方法的使用方式。
“安全”>“多重身份验证”>“其他基于云的多重身份验证设置”是控制租户中所有用户的多重身份验证方法的传统方式。
用户可以注册已经为其启用的身份验证方法。 管理员还可以使用基于证书的身份验证等方法配置用户的设备。
如何在登录期间评估身份验证强度策略
身份验证强度条件访问策略定义了可以使用的方法。 Microsoft Entra ID 在登录期间检查策略以确定用户对资源的访问权限。 例如,管理员可使用需要通行密钥(FIDO2 安全密钥)或密码 + 文本消息的自定义身份验证强度配置条件访问策略。 用户访问受此策略保护的资源。
在登录期间,将检查所有设置以确定允许哪些方法、注册哪些方法以及条件访问策略需要哪些方法。 若要登录,必须允许此方法、由用户注册此方法(在访问请求之前或者作为访问请求的一部分),并满足身份验证强度。
如何评估多个条件访问身份验证强度策略
通常,当有多个条件访问策略应用于登录时,必须满足所有策略中的所有条件。 同样,当有多个条件访问身份验证强度策略应用于登录时,用户必须满足所有身份验证强度条件。 例如,如果两个不同的身份验证强度策略都要求使用通行密钥 (FIDO2),则用户可以使用 FIDO2 安全密钥来满足这两个策略。 如果两个身份验证强度策略具有不同的方法集,则用户必须使用多种方法来同时满足这两个策略。
如何评估多个条件访问身份验证强度策略以注册安全信息
对于安全信息注册中断模式,会用不同的方式来处理身份验证强度评估 - 针对“注册安全信息”的用户操作的身份验证强度优先于针对“所有资源(以前称为‘所有云应用’)”的其他身份验证强度策略。 登录范围内的其他条件访问策略的所有其他授权控制(例如“要求将设备标记为合规”)将照常应用。
例如,假设 Contoso 希望要求其用户始终使用多重身份验证方法从合规设备登录。 Contoso 还希望允许新员工使用临时访问密码 (TAP) 注册这些 MFA 方法。 TAP 不能用于任何其他资源。 若要实现此目标,管理员可以执行以下步骤:
- 创建名为“启动和恢复”的自定义身份验证强度,其中包含临时访问密码身份验证组合,它还可包含任何 MFA 方法。
- 创建名为“对登录执行 MFA”的自定义身份验证强度,其中包含所有允许的 MFA 方法,但不包含临时访问密码。
- 创建一个条件访问策略,该策略针对“所有资源(以前称为‘所有云应用’)”,并要求使用“对登录执行 MFA”身份验证强度和“需要合规设备”授权控制。
- 创建一个条件访问策略,该策略针对“注册安全信息”用户操作,并要求使用“启动和恢复”身份验证强度。
这样,合规设备上的用户将能够使用临时访问密码注册任何 MFA 方法,然后使用新注册的方法向其他资源(例如 Outlook)进行身份验证。
注意
如果多个条件访问策略针对“注册安全信息”用户操作,并且每个策略应用一个身份验证强度,则用户必须满足所有这些身份验证强度才能登录。
无法从中断模式注册某些无密码和防钓鱼方法。 有关详细信息,请参阅注册无密码身份验证方法。
用户体验
以下因素决定了用户是否可以访问资源:
- 以前使用哪种身份验证方法?
- 哪些方法可用于身份验证强度?
- 身份验证方法策略中允许用户采用哪些方法登录?
- 用户是否注册了任何可用的方法?
当用户访问受身份验证强度条件访问策略保护的资源时,Microsoft Entra ID 会评估他们之前使用的方法是否满足身份验证强度。 如果使用了令人满意的方法,Microsoft Entra ID 将授予对该资源的访问权限。 例如,假设用户使用密码 + 短信进行登录。 用户访问受 MFA 身份验证强度保护的资源。 在这种情况下,用户无需其他身份验证提示即可访问资源。
让我们假设他们接下来访问受防网络钓鱼 MFA 身份验证强度保护的资源。 此时,系统将提示他们提供防网络钓鱼的身份验证方法,例如 Windows Hello 企业版。
如果用户没有注册任何满足认证强度的方法,则用户将被重定向到组合注册。
用户只需注册一个满足身份验证强度要求的身份验证方法。
如果身份验证强度不包含用户可以注册和使用的方法,则会阻止用户登录资源。
注册无密码身份验证方法
不能在组合注册中断模式中注册以下身份验证方法。 在你应用可能会要求使用这些方法登录的条件访问策略之前,请确保用户已注册这些方法。 如果没有为这些方法注册用户,则在注册所需的方法之前,用户无法访问资源。
方法 | 注册要求 |
---|---|
Microsoft Authenticator(手机登录) | 可以从 Authenticator 应用注册。 |
通行密钥 (FIDO2) | 可以使用组合注册管理模式进行注册,并使用组合注册向导模式按照身份验证强度来强制实施策略 |
基于证书的身份验证 | 需要管理员设置,用户无法注册。 |
Windows Hello for Business | 可以通过 Windows 开箱即用体验 (OOBE) 或 Windows 设置菜单注册。 |
联合用户体验
对于联合域,可以由 Microsoft Entra 条件访问或本地联合提供程序通过设置 federatedIdpMfaBehavior 强制执行 MFA。 如果 federatedIdpMfaBehavior 设置被设置为 enforceMfaByFederatedIdp,则用户必须在他们的 federated IdP 上进行身份验证,并且只能满足身份验证强度要求的“联合多重”组合。 有关联合设置的详细信息,请参阅规划 MFA 支持。
如果来自联合域的用户在分阶段部署的范围内具有多重身份验证设置,则用户可以在云中完成多重身份验证并满足任何“联合单因素 + 你拥有的”组合。 有关分阶段推出的详细信息,请参阅启用分阶段推出。