共用方式為


NIST 驗證器類型和對齊 Microsoft Entra 方法

當宣告者判斷提示其控制的多個驗證器中,有一個驗證器與訂閱者相關聯,驗證程序即開始。 訂閱者是個人或另一個實體。 使用下表來了解國家標準與技術研究所 (NIST) 驗證器類型和相關聯的 Microsoft Entra 驗證方法。

NIST 驗證器類型 Microsoft Entra 驗證方法
記住的秘密
(您已知的資訊)
密碼
查詢祕密
(您擁有的事物)
單一要素超出訊號範圍
(您擁有的事物)
Microsoft Authenticator 應用程式 (推播通知)
Microsoft Authenticator Lite (推播通知)
電話 (SMS):不建議使用
多重要素超出訊號範圍
(您擁有的事物 + 您已知的資訊/自身)
Microsoft Authenticator 應用程式 (電話登入)
單一要素單次性密碼 (OTP)
(您擁有的事物)
Microsoft Authenticator 應用程式 (OTP)
Microsoft Authenticator Lite (OTP)
單一因素硬體/軟體 OTP1
多重要素 OTP
(您擁有的事物 + 您已知的資訊/自身)
視為單一因素 OTP
單一要素加密軟體
(您擁有的事物)
單一要素軟體憑證
Microsoft Entra 將 2 與軟體 TPM 聯結
混合式 Microsoft Entra 將 2 與軟體 TPM 聯結
相容的行動裝置2
單一要素加密硬體
(您擁有的事物)
受單一因素硬體保護的憑證
Microsoft Entra 將 2 與硬體 TPM 聯結
混合式 Microsoft Entra 將 2 與硬體 TPM 聯結
多重要素加密軟體
(您擁有的事物 + 您已知的資訊/自身)
多重要素軟體憑證
使用軟體 TPM 的 Windows Hello 企業版
多重要素加密硬體
(您擁有的事物 + 您已知的資訊/自身)
多重要素硬體保護憑證
FIDO 2 安全性金鑰
適用於 macOS 的平臺 SSO (安全記憶體保護區)
使用硬體 TPM 的 Windows Hello 企業版
Microsoft Authenticator 中的 Passkey

1 30 秒或 60 秒 OATH-TOTP SHA-1 權杖

2 如需裝置加入狀態的詳細資訊,請參閱 Microsoft Entra 裝置身分識別

NIST 不建議使用 SMS 或語音。 裝置交換、SIM 變更、號碼移轉和其他行為的風險可能會造成問題。 如果這些動作是惡意的,可能會導致不安全的體驗。 雖然不建議使用 SMS/語音,但比起單獨使用密碼更好,因為這需要駭客付出更多努力。

下一步

NIST 概觀

深入了解 AAL

驗證基本資訊

NIST 驗證器類型

使用 Microsoft Entra ID 達成 NIST AAL1

使用 Microsoft Entra ID 達成 NIST AAL2

使用 Microsoft Entra ID 達成 NIST AAL3