NIST 验证器类型和保持一致的 Microsoft Entra 方法

当请求方声称其控制了与订阅方关联的一个或多个验证器时，会开始身份验证过程。订阅方可以是人员，也可以是其他实体。使用下表了解美国国家标准技术研究院 (NIST) 验证器类型和关联的 Microsoft Entra 身份验证方法。

NIST 验证器类型	Microsoft Entra 身份验证方法
记住的密码（已知内容）	密码
查找机密（已有内容）	无
单因素带外（已有内容）	Microsoft Authenticator 应用（推送通知） Microsoft Authenticator 精简版（推送通知）电话（短信）：不建议
多重带外（已有内容 + 已知内容或表明身份的内容）	Microsoft Authenticator 应用（手机登录）
单因素一次性密码 (OTP) （已有内容）	Microsoft Authenticator 应用 (OTP) Microsoft Authenticator 精简版 (OTP) 单因素硬件/软件 OTP¹
多因素 OTP （已有内容 + 已知内容或表明身份的内容）	被视为单因素 OTP
单因素加密软件（已有内容）	单因素软件证书已建立 Microsoft Entra 联接 ²，带软件 TPM 已建立混合 Microsoft Entra 联接 ²，带软件 TPM 合规的移动设备²
单因素加密硬件（已有内容）	单因素受硬件保护证书已建立 Microsoft Entra 联接 ²，带硬件 TPM 已建立混合 Microsoft Entra 联接 ²，带硬件 TPM
多重加密软件（已有内容 + 已知内容或表明身份的内容）	多因素软件证书带软件 TPM 的 Windows Hello 企业版
多重加密硬件（已有内容 + 已知内容或表明身份的内容）	多因素受硬件保护证书 FIDO 2 安全密钥适用于 macOS 的平台 SSO（安全 Enclave）带硬件 TPM 的 Windows Hello 企业版 Microsoft Authenticator 中的密钥

¹ 30 秒或 60 秒 OATH-TOTP SHA-1 令牌

² 有关设备联接状态的详细信息，请参阅 Microsoft Entra 设备标识

不建议使用公用交换机电话网络 (PSTN) 短信/语音

NIST 不建议使用短信或语音。设备交换、SIM 更改、数字移植和其他行为所面临的风险可能导致问题。如果这些为恶意操作，则可能导致不安全的体验。尽管不建议使用短信/语音，但这种方式比只使用密码要好，因为它们需要黑客耗费更多的精力。

NIST 验证器类型	Microsoft Entra 身份验证方法
记住的密码（已知内容）	密码
查找机密（已有内容）	无
单因素带外（已有内容）	Microsoft Authenticator 应用（推送通知） Microsoft Authenticator 精简版（推送通知）电话（短信）：不建议
多重带外（已有内容 + 已知内容或表明身份的内容）	Microsoft Authenticator 应用（手机登录）
单因素一次性密码 (OTP) （已有内容）	Microsoft Authenticator 应用 (OTP) Microsoft Authenticator 精简版 (OTP) 单因素硬件/软件 OTP¹
多因素 OTP （已有内容 + 已知内容或表明身份的内容）	被视为单因素 OTP
单因素加密软件（已有内容）	单因素软件证书已建立 Microsoft Entra 联接 ²，带软件 TPM 已建立混合 Microsoft Entra 联接 ²，带软件 TPM 合规的移动设备²
单因素加密硬件（已有内容）	单因素受硬件保护证书已建立 Microsoft Entra 联接 ²，带硬件 TPM 已建立混合 Microsoft Entra 联接 ²，带硬件 TPM
多重加密软件（已有内容 + 已知内容或表明身份的内容）	多因素软件证书带软件 TPM 的 Windows Hello 企业版
多重加密硬件（已有内容 + 已知内容或表明身份的内容）	多因素受硬件保护证书 FIDO 2 安全密钥适用于 macOS 的平台 SSO（安全 Enclave）带硬件 TPM 的 Windows Hello 企业版 Microsoft Authenticator 中的密钥