Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式
Microsoft Authenticator 為您的Microsoft Entra 公司或學校帳戶或Microsoft帳戶提供另一層安全性。 它適用於 Android 和 iOS。 透過 Microsoft Authenticator 應用程式,用戶可以在登入期間以無密碼的方式進行驗證。 它們也可以在自助式密碼重設 (SSPR) 或多重要素驗證 (MFA) 事件期間使用它作為驗證選項。
Microsoft Authenticator 支援使用通知和驗證碼的通行密鑰、無密碼登入以及多因素驗證。
- 使用者可以使用 Authenticator 應用程式中的通行密鑰登入,並使用其生物特徵辨識登入或裝置 PIN 來完成抗網路釣魚驗證。
- 用戶可以設定 Authenticator 通知,並使用 Authenticator 登入,而不是其使用者名稱和密碼。
- 用戶可以在其行動裝置上收到 MFA 要求,並從手機核准或拒絕登入嘗試。
- 他們也可以使用 Authenticator 應用程式中的 OATH 驗證碼,並在登入介面中輸入。
如需詳細資訊,請參閱 使用 Microsoft Authenticator 啟用無密碼登入。
注意
具有 2111 以下公司入口網站版本的 Android 使用者(5.0.5333.0)在將公司入口網站應用程式更新為較新版本之前,無法註冊 Authenticator。
Passkey 登入
Authenticator 是一種免費的密碼金鑰解決方案,可讓使用者從自己的手機執行無密碼且防網路釣魚攻擊的驗證。 在 Authenticator 應用程式中使用通行金鑰的一些主要優點:
- 通行金鑰可以輕鬆地大規模部署。 然後,用戶手機上可取得行動裝置管理 (MDM) 和自備裝置 (BYOD) 案例的通行密鑰。
- Authenticator 中的通行金鑰不會增加成本,無論使用者走到哪裡都能使用。
- 身份驗證器中的通行密碼是與裝置綁定的,可確保通行密碼不會離開它所創建的裝置。
- 根據開放式 WebAuthn 標準,使用者可以隨時掌握最新的通行金鑰創新技術。
- 企業可以在驗證流程上分層其他功能,例如 聯邦資訊處理標準 (FIPS) 140 合規性。
裝置綁定通行金鑰
Authenticator 應用程式中的通行金鑰會與裝置繫結在一起,確保金鑰永遠不會離開其建立所在的裝置。 在 iOS 裝置上,Authenticator 會使用安全記憶體保護區來建立通行金鑰。 在 Android 上,我們會在支援此功能的裝置中的安全模組建立通行金鑰,或在不支援的情況下,退回到受信任執行環境 (TEE)。
通行金鑰證明如何與 Authenticator 搭配運作
在Passkey (FIDO2) 原則中啟用證明時,Microsoft Entra ID 會嘗試驗證安全性密鑰模型或通行碼提供者的合法性,並在其中建立通行碼。 當使用者在 Authenticator 中註冊通行密鑰時,證明會確認合法Microsoft Authenticator 應用程式使用 Apple 和 Google 服務建立通行密鑰。 以下是每個平台證明運作方式的詳細數據:
iOS:驗證器證明會使用 iOS 應用程式證明服務 ,以確保驗證器應用程式的合法性,再註冊通行密鑰。
Android:
- 對於 Play 完整性證明,Authenticator 證明會使用 Play 完整性 API 來確保驗證器應用程式的合法性,再註冊通行密鑰。
- 針對密鑰證明,驗證器證明會使用 Android 的密鑰證明來確認所註冊的通行密鑰是否由硬體支援。
注意
針對iOS和Android,Authenticator證明依賴Apple和Google服務來驗證 Authenticator 應用程式的真實性。 大量使用服務可能會導致密鑰註冊失敗,使用者可能需要再嘗試一次。 如果 Apple 和 Google 服務已關閉,Authenticator 證明會封鎖需要證明的註冊,直到服務還原為止。 若要監視Google Play完整性服務的狀態,請參閱 Google Play狀態儀錶板。 若要監視 iOS 應用程式證明服務的狀態,請參閱 系統狀態。
如需如何設定證明的詳細資訊,請參閱 如何在 Microsoft Authenticator 中啟用Microsoft Entra 標識碼的通行密鑰。
透過通知進行無密碼登入
使用者在輸入使用者名稱後,若已在 Authenticator 應用程式中啟用電話登入,則不會看到輸入密碼的提示,而會看到提示訊息要求在應用程式中輸入數字。 選取正確的數字時,登入程序即完成。
此驗證方法可提供高等級的安全性,使用者在登入時就不需要提供密碼。
若要開始使用無密碼登入,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
透過行動應用程式透過通知進行 MFA
Authenticator 應用程式可協助防止未經授權即存取帳戶,並藉由推播通知到您的手機或平板電腦來停止詐騙交易。 使用者需檢視通知,如果合法,則選取 [驗證]。 否則,他們可以選取 [拒絕]。
注意
自 2023 年 8 月開始,異常登入不會產生通知,與從不熟悉的位置登入不會產生通知的情況類似。 若要核准異常登入,使用者可以在 Outlook 等相關的隨附 App 中開啟 Microsoft Authenticator 或 Authenticator 精簡版。 然後,使用者可以下拉來重新整理,或點選 [重新整理],並核准要求。
在中國,無法在 Android 裝置上使用透過行動應用程式通知方法,因為 Google Play Services (包括推播通知) 在該區域遭到封鎖。 不過,iOS 通知正常運作。 若是 Android 裝置,請為這些使用者提供替代驗證方法。
行動應用程式的驗證碼
Authenticator 應用程式可以用作軟體權杖,來產生 OATH 驗證碼。 輸入使用者名稱和密碼之後,您可以在登入介面中輸入 Authenticator 應用程式所提供的代碼。 驗證碼提供第二種形式的驗證。
注意
Authenticator 所產生的 OATH 驗證碼不支援憑證型驗證。
使用者可設定最多 5 個 OATH 硬體權杖或驗證器應用程式 (例如 Authenticator 應用程式) 的組合,以在任何時間點使用。
Microsoft Entra 驗證符合 FIPS 140 標準
符合 國家標準與技術研究所(NIST)特別出版物800-63B中所述的指導方針,美國政府機關使用的驗證器必須使用 FIPS 140 驗證的密碼編譯。 本指南可協助美國政府機關符合行政命令 (EO) 14028 的要求。 此外,此指導方針可協助其他受管制產業 (例如使用管制藥物電子處方 (EPCS) 的醫療保健組織) 符合其法規要求。
FIPS 140 是美國政府標準,定義資訊技術產品和系統中密碼編譯模組的最低安全性需求。 密碼模組驗證計畫 (CMVP) 依據 FIPS 140 標準進行測試維護。
適用於 iOS 的 Microsoft Authenticator
從 6.6.8 版開始,適用於 iOS 的 Microsoft Authenticator 會在 Apple iOS FIPS 140 相容裝置上使用原生 Apple CoreCrypto 模組進行 FIPS 驗證密碼編譯。 使用防網路釣魚裝置繫結通行金鑰、發送多重要素驗證 (MFA)、無密碼電話登入 (PSI) 和有時限的一次性密碼 (TOTP) 的所有 Microsoft Entra 驗證均使用 FIPS 密碼編譯。
如需使用和相容 iOS 裝置的 FIPS 140 驗證密碼編譯模組的詳細資訊,請參閱 Apple iOS 安全性認證。
適用於 Android 的 Microsoft Authenticator
從 Microsoft Authenticator for Android 的 6.2409.6094 版開始,Microsoft Entra ID 中的所有認證,包括通行密鑰,均被認為符合 FIPS 標準。 Authenticator 使用 wolfSSL Inc. 密碼編譯模組,在 Android 裝置上達到 FIPS 140 安全性層級 1 合規性。 如需認證的詳細資訊,請參閱 密碼編譯模組驗證計劃。
在安全性資訊中判斷 Microsoft Authenticator 註冊類型
使用者可以存取 安全性資訊 (請參閱下一節中的 URL),或從 MyAccount 選取 [安全性資訊] 來管理和新增更多Microsoft Authenticator 註冊。 特定圖示是用來區分 Microsoft Authenticator 註冊是否為無密碼電話登入或 MFA。
| 驗證器註冊類型 | 圖示 |
|---|---|
| Microsoft Authenticator:無密碼手機登入 |
|
| Microsoft Authenticator:(通知/代碼) |
|
SecurityInfo 連結
| 雲端 | 安全性資訊 URL |
|---|---|
| Azure 商業 (包括政府社群雲端 (GCC)) | https://aka.ms/MySecurityInfo |
| 適用於美國政府的 Azure (包含 GCC High 和 DoD) | https://aka.ms/MySecurityInfo-us |
Authenticator 的更新
Microsoft 會持續更新 Authenticator,以維持高度安全性。 為了確保您的使用者能夠獲得最佳體驗,建議您讓他們持續更新其 Authenticator 應用程式。 在重大安全性更新的情況下,非最新狀態的應用程式版本可能無法運作,而且可能會封鎖使用者完成其驗證。 如果使用者使用不支援的應用程式版本,系統會提示他們升級至最新版本,然後才繼續登入。
Microsoft 也會定期淘汰較舊版本的 Authenticator 應用程式,以便維持您的組織享有高水平的安全標準。 如果使用者的裝置不支援新式版本的 Microsoft Authenticator,他們就無法使用應用程式登入。 建議您在 Microsoft Authenticator 中使用 OATH 驗證碼登入,以完成 MFA。
下一步
若要開始使用通行密鑰,請參閱 如何在 Microsoft Authenticator 中啟用 Microsoft Entra ID 的通行密鑰。
如需無密碼登入的相關資訊,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
深入了解如何使用 Microsoft Graph REST API 設定驗證方法。