NIST 驗證器類型和對齊 Microsoft Entra 方法
當宣告者判斷提示其控制的多個驗證器中,有一個驗證器與訂閱者相關聯,驗證程序即開始。 訂閱者是個人或另一個實體。 使用下表來了解國家標準與技術研究所 (NIST) 驗證器類型和相關聯的 Microsoft Entra 驗證方法。
NIST 驗證器類型 | Microsoft Entra 驗證方法 |
---|---|
記住的秘密 (您已知的資訊) |
密碼 |
查詢祕密 (您擁有的事物) |
無 |
單一要素超出訊號範圍 (您擁有的事物) |
Microsoft Authenticator 應用程式 (推播通知) Microsoft Authenticator Lite (推播通知) 電話 (SMS):不建議使用 |
多重要素超出訊號範圍 (您擁有的事物 + 您已知的資訊/自身) |
Microsoft Authenticator 應用程式 (電話登入) |
單一要素單次性密碼 (OTP) (您擁有的事物) |
Microsoft Authenticator 應用程式 (OTP) Microsoft Authenticator Lite (OTP) 單一因素硬體/軟體 OTP1 |
多重要素 OTP (您擁有的事物 + 您已知的資訊/自身) |
視為單一因素 OTP |
單一要素加密軟體 (您擁有的事物) |
單一要素軟體憑證 Microsoft Entra 將 2 與軟體 TPM 聯結 混合式 Microsoft Entra 將 2 與軟體 TPM 聯結 相容的行動裝置2 |
單一要素加密硬體 (您擁有的事物) |
受單一因素硬體保護的憑證 Microsoft Entra 將 2 與硬體 TPM 聯結 混合式 Microsoft Entra 將 2 與硬體 TPM 聯結 |
多重要素加密軟體 (您擁有的事物 + 您已知的資訊/自身) |
多重要素軟體憑證 使用軟體 TPM 的 Windows Hello 企業版 |
多重要素加密硬體 (您擁有的事物 + 您已知的資訊/自身) |
多重要素硬體保護憑證 FIDO 2 安全性金鑰 適用於 macOS 的平臺 SSO (安全記憶體保護區) 使用硬體 TPM 的 Windows Hello 企業版 Microsoft Authenticator 中的 Passkey |
1 30 秒或 60 秒 OATH-TOTP SHA-1 權杖
2 如需裝置加入狀態的詳細資訊,請參閱 Microsoft Entra 裝置身分識別
不建議使用公用電話交換器網路 (PSTN) SMS/語音
NIST 不建議使用 SMS 或語音。 裝置交換、SIM 變更、號碼移轉和其他行為的風險可能會造成問題。 如果這些動作是惡意的,可能會導致不安全的體驗。 雖然不建議使用 SMS/語音,但比起單獨使用密碼更好,因為這需要駭客付出更多努力。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1