介绍多重身份验证
多重身份验证是一种过程,在该过程中,系统会在用户登录时提示其输入其他形式的标识,例如在其手机上输入代码或提供指纹扫描。
多重身份验证极大地提高了身份的安全性,同时对用户来说仍然简单易用。 额外的身份验证因素必须是攻击者难以获取或复制的因素。
Microsoft Entra 多重身份验证需要以下各项才能正常进行:
- 你知道的信息 -(通常为密码或 PIN)以及
- 你拥有的东西 - 例如不容易复制的受信任设备(如电话或硬件密钥)或
- 你自身的特征 - 生物识别属性,例如指纹或面部扫描。
多重身份验证的验证提示配置为 Microsoft Entra 登录事件的一部分。 Microsoft Entra ID 会自动请求和处理多重身份验证,无需对应用程序或服务进行任何更改。 用户登录时,他们会收到多重身份验证提示,并且他们可以从已注册的其他验证窗体中选择一个。
管理员可以要求使用特定的验证方法,或者用户可以访问他们自己的 MyAccount 来编辑或添加验证方法。
可将下面额外形式的验证(如上一单元所述)与 Microsoft Entra 多重身份验证一起使用:
- Microsoft Authenticator 应用
- Windows Hello for Business
- FIDO2 安全密钥
- OATH 硬件令牌(预览版)
- OATH 软件令牌
- SMS
- 语音呼叫
安全默认值和多重身份验证
安全默认值是 Microsoft 推荐的一组基本标识安全机制。 启用后,会在你的组织中自动强制实施这些建议。 目标是确保所有组织能在不增加费用的情况下实现基本级别的安全防护。 这些默认值可实现一些最常见的安全功能和控制,其中包括:
- 为所有用户强制实施 Microsoft Entra 多重身份验证注册。
- 强制管理员使用多重身份验证。
- 需要时要求所有用户完成多重身份验证。
如果组织希望提高其安全状况但不知道从何处入手,或者正在使用 Microsoft Entra ID 许可的免费层,那么安全默认值对它们来说是一个不错的选择。 安全默认值可能不适用于具有 Microsoft Entra ID P1 或 P2 许可证或更复杂的安全要求的组织。 若要了解详细信息,请访问什么是安全默认值?