Microsoft Entra ID 中有哪些可用的驗證和驗證方法?
Microsoft 建議無密碼驗證方法 (例如 Windows Hello、Passkeys (FIDO2) 和 Microsoft Authenticator 應用程式),因為其會提供最安全的登入體驗。 雖然使用者可以使用例如使用者名稱和密碼等其他常見方法登入,但密碼應取代為更安全的驗證方法。
Microsoft Entra 多重要素驗證會在使用者登入時,只使用密碼,新增另一層安全性。 您可以提示使用者進行其他形式的驗證,例如回應推播通知、從軟體或硬體令牌輸入程式碼,或響應簡訊或電話。
為了簡化使用者上線體驗,並註冊 MFA 和自助式密碼重設 (SSPR),我們建議您啟用合併的安全性資訊註冊。 為了復原目的,建議您要求使用者註冊多個驗證方法。 使用者在登入或 SSPR 期間若無法使用其中一種方法,即可選擇使用其他方法進行驗證。 如需詳細資訊,請參閱在 Microsoft Entra ID 中建立具復原性的存取控制管理策略。
每個驗證方法的運作方式
當您登入應用程式或裝置 (例如使用 FIDO2 安全性金鑰或密碼) 時,某些驗證方法可以用作主要因素。 當您使用 Microsoft Entra 多重要素驗證或 SSPR 時,其他驗證方法只會作為次要因素。
下表概述在登入事件期間可以使用驗證方法的時機:
方法 | 主要驗證 | 次要驗證 |
---|---|---|
Windows Hello 企業版 | Yes | MFA* |
Microsoft驗證器推送 | No | MFA 和 SSPR |
Microsoft驗證器無密碼 | Yes | 不* |
Microsoft Authenticator 複雜密鑰 | Yes | MFA |
Authenticator Lite | No | MFA |
Passkey (FIDO2) | Yes | MFA |
憑證型驗證 | Yes | MFA |
硬體 OATH 令牌 (預覽) | No | MFA 和 SSPR |
軟體 OATH 權杖 | No | MFA 和 SSPR |
外部驗證方法 (預覽) | No | MFA |
臨時存取密碼 (TAP) | Yes | MFA |
Text | Yes | MFA 和 SSPR |
語音通話 | No | MFA 和 SSPR |
密碼 | 是 | No |
* Windows Hello 企業版本身不是強化 MFA 認證。 例如,來自登入頻率的 MFA 挑戰,或包含 forceAuthn=true 的 SAML 要求。 Windows Hello 企業版可用於 FIDO2 驗證中,以作為強化 MFA 認證。 這需要使用者註冊 FIDO2 驗證才能順利運作。
* 只有在憑證式驗證 (CBA) 用於主要驗證時,才能使用無密碼登入進行次要驗證。 如需詳細資訊,請參閱 Microsoft Entra 憑證式驗證技術深入探討。
所有這些驗證方法都可以在 Microsoft Entra 系統管理中心中設定,而且逐漸使用 Microsoft Graph REST API。
若要深入了解每個驗證方法的運作方式,請參閱下列個別的概念性文章:
- Windows Hello 企業版
- Microsoft Authenticator 應用程式
- Authenticator 精簡版
- Passkey (FIDO2)
- 憑證式驗證
- 硬體 OATH 令牌 (預覽)
- 軟體 OATH 令牌
- 外部驗證方法 (預覽)
- 臨時存取密碼 (TAP)
- SMS 登入和驗證
- 語音通話驗證
- 密碼
注意
在 Microsoft Entra ID 中,密碼通常是其中一種主要驗證方法。 您無法停用密碼驗證方法。 如果您使用密碼作為主要驗證因素,請使用 Microsoft Entra 多重要素驗證來提高登入事件的安全性。
這些其他驗證方法可用於特定案例:
可用和不可使用的方法
系統管理員可以在 Microsoft Entra 系統管理中心檢視使用者驗證方法。 首先會列出可使用的方法,後面接著不可使用的方法。
每個驗證方法可能會因為不同原因而變成不可使用。 例如,「臨時存取密碼」可能會過期,或 FIDO2 安全性金鑰可能無法通過證明。 入口網站會更新,以提供方法無法使用的原因。
由於 [需要重新註冊多重要素驗證] 而 不再可用的驗證 方法也會出現在這裡。
相關內容
若要開始使用,請參閱自助式密碼重設 (SSPR) 的教學課程和 Microsoft Entra 多重要素驗證。
若要深入了解 SSPR 概念,請參閱 Microsoft Entra 自助式密碼重設的運作方式。
若要深入了解多重要素驗證的概念,請參閱 Microsoft Entra 多重要素驗證的運作方式。
深入了解如何使用 Microsoft Graph REST API 設定驗證方法。
若要檢閱使用中的驗證方法,請參閱搭配 PowerShell 的 Microsoft Entra 多重要素驗證驗證方法分析。