探索無密碼驗證選項

  • 9 分鐘

多重要素驗證 (MFA) 等功能是保護貴組織的絕佳方式,但使用者通常會因為必須記住密碼而對額外的安全性層感到挫折。 無密碼驗證方法會更方便,因為密碼會移除,並以您擁有或您知道的內容取代。

此圖顯示高低安全性與方便且不方便的安全性方法之間的關聯性。

每個組織在驗證方面都有不同的需求。 Microsoft Azure 和 Azure Government 提供下列五個與 Microsoft Entra ID 整合的無密碼驗證選項:

  • Windows Hello 企業版
  • macOS 的平台認證
  • 使用智慧卡驗證的 macOS 平臺單一登錄 (PSSO)
  • Microsoft Authenticator
  • FIDO2) (機碼
  • 憑證型驗證

下列各節會檢查這些無密碼驗證選項。

其他閲讀資源。 如需這些無密碼驗證方法的詳細資訊,請參閱 Microsoft Entra ID 的無密碼驗證選項

Windows Hello 企業版

Windows Hello 企業版 適用於擁有自己指定 Windows 計算機的資訊工作者。 Windows Hello 企業版會使用強式雙因素驗證取代裝置上的密碼。 此驗證包含系結至裝置的使用者認證類型。 它需要具有內建信賴平臺模組的計算機 (TPM) ,並使用 PIN 或生物特徵辨識。 生物特徵辨識和 PIN 認證會直接系結至用戶的電腦,這會防止擁有者以外的任何人存取。 透過公鑰基礎結構 (PKI) 整合,以及單一登錄 (SSO) 的內建支援,Windows Hello 企業版 提供便利的方法來順暢地存取內部部署和雲端中的公司資源。 它適用於能夠單一登錄裝置和應用程式的專用工作電腦。

您可能想知道 PIN 碼如何比密碼更能協助保護裝置。 密碼是共用的秘密。 使用者在裝置上輸入它們,並透過網路將之傳輸到伺服器。 任何位置的任何人都可以使用攔截的帳戶名稱和密碼。 由於組織會將使用者名稱和密碼儲存在伺服器上,所以伺服器缺口可能會顯示這些儲存的認證。

Windows Hello 企業版 可讓使用者使用臉部、指紋或 PIN 登入其裝置和應用程式。 他們使用的登入方法取決於裝置的功能,以及組織所設定的驗證方法。 Windows Hello 企業版會將生物特徵辨識資料安全地儲存在裝置本身,而其他應用程式或網路則無法存取它。

Windows Hello 企業版也可以與內部部署的 Active Directory 和 Microsoft Entra ID 整合,以跨多個裝置和應用程式提供單一登錄體驗。 此設計可讓使用者安全且方便地存取其資源,而無需記住多個使用者名稱和密碼。

Windows Hello 企業版也支援多重要素驗證 (MFA)。 MFA 要求使用者在存取敏感性資源之前,先提供額外的驗證,例如智慧卡或手機型驗證方法。 MFA 有助於防範身分識別竊取和其他安全性威脅。 總而言之,Windows Hello 企業版符合企業層級的安全性和合規性需求,同時也提供易於使用且方便使用的體驗。

Windows Hello 解決了下列密碼問題:

  • 強式密碼可能難以記住,而且使用者通常會在多個網站上重複使用密碼。
  • 伺服器漏洞可能會暴露對稱網路認證 (密碼)。
  • 密碼容易遭受重新執行攻擊。 當攻擊者在雙方之間複製一串訊息,並將資料流重新執行至一方或多方時,就會發生重新執行攻擊。 除非降低風險,否則受攻擊的電腦會將資料流處理為合法訊息,進而產生一系列不良後果,例如項目的重複訂單。
  • 使用者可能因網路釣魚攻擊而不慎公開其密碼。

Windows Hello 企業版可讓使用者驗證至:

  • Microsoft 帳戶。
  • 內部部署的 Active Directory 帳戶。
  • Microsoft Entra 帳戶。
  • 支援 Fast ID Online (FIDO) 2.0 版 驗證的身分識別提供者服務或信賴憑證者服務。

當使用者在其裝置上的註冊期間完成初始的雙步驟驗證時,系統即會設定 Windows Hello 企業版。 此時,Windows 會要求使用者設定手勢,它可以是生物特徵辨識,例如指紋或 PIN 碼。 使用者提供手勢來驗證其身分識別。 Windows 接著會使用 Windows Hello 企業版來驗證使用者。

身為企業或教育組織的系統管理員,您可以在連線到您組織的 Windows 10 和 11 的裝置上建立原則來管理 Windows Hello 企業版的使用。

macOS 的平台認證

macOS 的平台認證是 macOS 上使用 Microsoft Enterprise 單一登錄延伸模組 (SSOe) 啟用的新功能。 它會佈建安全記憶體保護區支援的硬體系結密碼編譯密鑰,用於使用 Microsoft Entra ID 進行驗證之應用程式的 SSO。 使用者的本機帳戶密碼不會受到影響,而且必須登入Mac。

適用於 macOS 的平台認證可讓使用者藉由設定 Touch ID 來解除鎖定裝置,以進行無密碼操作。 然後,它會使用以 Windows Hello 企業版 技術為基礎的防網路釣魚認證。 此設計可藉由移除安全性密鑰的需求來節省客戶組織的費用。 它也會使用與安全記憶體保護區的整合來提升 零信任 目標。

顯示使用macOS平台認證時平臺登入畫面的螢幕快照。

macOS 的平台認證也可用來作為防網路釣魚認證,以用於 WebAuthn 挑戰 (包括瀏覽器重新驗證案例) 。 系統管理員必須為此功能啟用 FIDO2 安全性金鑰驗證方法。 如果您在 FIDO 原則中使用金鑰限制原則,則必須將 macOS 平台認證的 AAGUID 新增至允許的 AAGUID 清單: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

使用 SmartCard 的 macOS 平台單一登錄

適用於 macOS 的平臺單一登入 (PSSO) 可讓使用者使用 SmartCard 驗證方法進行無密碼。 使用者使用外部智慧卡或智慧卡相容硬式令牌 (例如 Yubikey) 登入電腦。 一旦裝置解除鎖定,智慧卡會與 Microsoft Entra ID 搭配使用,在使用憑證式驗證 Microsoft Entra ID 進行驗證的應用程式之間授與 SSO (CBA) 。 必須設定並啟用 CBA,使用者才能讓此功能運作。 如需設定 CBA,請參閱如何設定 Microsoft Entra 憑證式驗證

若要啟用 PSSO,系統管理員必須透過 Microsoft Intune 或其他支援的 MDM 來設定 PSSO。

Microsoft Authenticator

Microsoft Authenticator 應用程式是由Microsoft開發的創新行動應用程式,可增強使用者帳戶的安全性。 它會實作雙因素驗證,這會新增健全的保護層,以防範未經授權的存取和網路釣魚嘗試。 Authenticator 應用程式不僅提供方便的多重要素驗證方法以及傳統密碼,還可讓您的員工使用手機作為無密碼驗證方法。 如果您已經使用 Microsoft Authenticator 進行多重要素驗證,您也可以使用它作為無密碼選項,簡化登入程式,同時維持高安全性標準。

Authenticator 應用程式會將任何 iOS 或 Android 手機轉換成強式、無密碼的認證。 用戶可以透過收到手機通知來登入任何平臺或瀏覽器,將螢幕上顯示的號碼與手機上顯示的號碼相符。 然後,他們可以使用其生物特徵辨識 (觸控或臉部) 或 PIN 進行確認。 如需安裝詳細數據,請參閱 下載並安裝Microsoft驗證器

使用 Authenticator 應用程式的無密碼驗證遵循與 Windows Hello 企業版 相同的基本模式。 這會稍微複雜一些,因為需要識別使用者,讓 Microsoft Entra ID 可以找到所使用的 Authenticator 應用程式版本。 Microsoft Authenticator 的運作方式是產生以時間為基礎的單次密碼 (TOTP) 或需要使用者核准的推播通知。

  • 以時間為基礎的單次密碼。 TOTP 是一種雙重要素驗證類型,涉及產生唯一且限時的密碼。 當使用者在驗證程序中輸入 TOTP 代碼作為第二個因素時,Microsoft Entra 多重要素驗證會使用 TOTP 來驗證使用者的身分識別。 Microsoft Authenticator、Google Authenticator 和 Authy 等行動裝置應用程式通常會使用 TOTP。 TOTP 演算法會使用共用秘密金鑰和目前的時間,來產生每隔幾秒就變更一次的唯一密碼。 此密碼僅有效一小段時間,通常為 30 秒。 Microsoft Authenticator 接著會以新的驗證器取代它。 使用者必須輸入 TOTP 密碼及其使用者名稱和密碼,才能完成雙重要素驗證程序。
  • 推播通知。 推播通知是應用程式的訊息或警示,例如 Microsoft Authenticator 或網站會傳送至使用者的行動裝置、計算機或其他裝置。 它會將通知「推送」至裝置,而非要求使用者檢查應用程式或網站以查看更新。 當使用者輸入需要 MFA 的服務登入 (例如 Microsoft 365 或 Microsoft Entra ID) 時,Microsoft Authenticator 會將推播通知傳送至使用者的行動裝置。 使用者的裝置會提示他們核准或拒絕通知內的驗證要求。 如果使用者核准要求,Microsoft Authenticator 會將密碼編譯驗證訊息傳送至正在處理驗證要求的 Microsoft 雲端服務。 驗證訊息包含對使用者裝置和該特定驗證要求而言唯一的密碼編譯簽章。 雲端服務會驗證簽章,以確保使用者核准驗證要求,然後授與所要求資源的存取權。 Microsoft Authenticator 使用推播通知做為 MFA 中的第二個要素,提供安全且方便的方式讓使用者完成驗證程序,而無需手動輸入 TOTP 或權杖。 這項功能有助於改善使用者體驗,並鼓勵更多使用者針對其帳戶採用 MFA。

服務提供者通常會決定是否要使用 TOTP 或推播通知,雖然使用者可能也對設定有部分控制權。 一般而言,使用 Microsoft Authenticator 時,推播通知是慣用的驗證方法,因為它們提供更安全且易於使用的驗證體驗。 推播通知比 TOTP 代碼更快且更容易使用,其會要求使用者從 Authenticator 應用程式手動輸入代碼。 此外,推播通知較安全,因為它們已加密,且攻擊者無法攔截或重新執行它們。

分析推播通知和 TOTP 時,請務必注意:

  • 某些服務不支援推播通知作為驗證方法。
  • 使用者可以將其帳戶設定為使用 TOTP 代碼作為慣用方法。

在這些情況下,當使用者嘗試登入服務時,Microsoft Authenticator 會產生 TOTP 代碼。 Microsoft Authenticator 應用程式會顯示 TOTP 代碼,而使用者必須手動輸入該代碼才能完成驗證程序。

Microsoft Authenticator 應用程式可在 iOS 和 Android 裝置上免費使用。 使用者可以使用它來登入任何 Microsoft Entra 帳戶,而無需使用密碼。 Microsoft Authenticator 會使用金鑰型驗證來啟用使用者繫結至裝置的使用者認證,其中裝置會使用 PIN 或生物特徵辨識。

組織可以在任何裝置平臺上使用此驗證技術,包括行動裝置。 他們也可以將這項技術與任何與 Microsoft 驗證連結庫整合的應用程式或網站搭配使用。

使用 Microsoft Authenticator 進行多重要素驗證 (MFA) 提供數個優點,包括:

  • 安全性。 除了使用者名稱和密碼之外,應用程式還提供額外的安全性層級。 它會使用推播通知或單次代碼來驗證使用者的身分識別,讓未經授權的使用者更難以存取帳戶。
  • 方便。 Microsoft Authenticator 可讓您快速且輕鬆地進行驗證,而無需手動輸入代碼。 您也可以離線或在連線有限的區域中,使用該應用程式。
  • 以時間為基礎的單次密碼 (TOTP) 支援。 Microsoft Authenticator 支援 TOTP,這表示您可以將它與支援 TOTP 型驗證的任何服務搭配使用。
  • 多個帳戶。 使用者可以將多個帳戶新增至應用程式,這是一個方便的方法,可在單一位置管理其所有帳戶的 MFA。
  • 生物特徵辨識支援。 在支援的裝置上,使用者可以使用生物特徵辨識驗證 (例如指紋或臉部辨識),快速且安全地存取其帳戶。

從 Microsoft Authenticator 啟用手機登入的人員,會在登入期間看到一則訊息,要求他們點選其應用程式中的號碼。 應用程式不會向他們要求使用者名稱或密碼。 若要在應用程式中完成登入程序,使用者必須:

  1. 在 [Microsoft Authenticator] 對話方塊中,輸入他們在登入畫面上看到的號碼。
  2. 選取 [核准]
  3. 提供其 PIN 碼或生物特徵辨識。

您必須符合下列必要條件,才能在 Android 和 iOS 裝置上搭配 Microsoft Authenticator 使用無密碼手機登入:

  • Microsoft 建議您啟用 Microsoft Entra 多重要素驗證,並允許推播通知作為驗證方法。 將推播通知推送至智慧型手機或平板電腦可協助 Authenticator 應用程式防止未經授權的帳戶存取,並阻止詐騙交易。 Authenticator 應用程式會在設定為執行推播通知時自動產生代碼。 即使使用者的裝置沒有連線能力,使用者還是有備份登入方法。

  • 在執行 iOS 或 Android 的裝置上安裝最新版的 Microsoft Authenticator。

  • 針對 Android 裝置,您必須向個別使用者註冊執行 Microsoft Authenticator 的裝置。

  • 針對 iOS 裝置,您必須向您使用裝置的每個租用戶註冊裝置。 例如,使用者可以向 Contoso 和 Wingtip Toys 註冊裝置,以允許使用該裝置的所有使者帳戶進行登入。 例如:

    • AlexM@contoso.com
    • AlexM@wingtiptoys.com 和 PaulF@wingtiptoys

  • 針對 iOS 裝置,Microsoft 建議您啟用可讓 Microsoft 收集使用狀況資料的 Microsoft Authenticator 選項。 Microsoft 預設不會啟用此選項。 若要在 Microsoft Authenticator 中啟用它,請移至 [設定],然後移至 [使用狀況資料]

若要在 Microsoft Entra ID 中使用無密碼驗證,請先啟用合併註冊體驗,然後啟用使用者的無密碼方法。

FIDO2) (機碼

FIDO (Fast IDentity Online) Alliance 可協助提升開放式驗證標準,並減少使用密碼作為驗證形式。 FIDO2 是將 Web 驗證 (WebAuthn) 標準併入的最新標準。

FIDO2 安全性金鑰是以標準為基礎的無密碼驗證方法,可採用任何外形規格。 快速身分識別在線 (FIDO) 是無密碼驗證的開放式標準。 FIDO 可讓使用者和組織使用裝置內建的外部安全性密鑰或平臺密鑰,套用標準來登入其資源,而不需要使用者名稱或密碼。

用戶可以在登入介面註冊並選取 FIDO2 安全性金鑰,作為其主要的驗證方法。 這些 FIDO2 安全性金鑰通常是 USB 裝置,但也可以使用藍牙或 NFC。 使用處理驗證的硬體裝置時,帳戶的安全性會增加,因為沒有可公開或猜測的密碼。

您可以使用 FIDO2 安全性金鑰來登入您的 Microsoft Entra ID 或 Microsoft Entra 混合式加入 Windows 10 和 11 個裝置,並取得雲端和內部部署資源的單一登錄。 您也可以登入支援的瀏覽器。 FIDO2 安全性密鑰是適用於對安全性非常敏感,或有案例或員工不願意或無法使用手機做為第二個因素的企業而言,是很好的選擇。 它適用於共享計算機,且行動電話不是可行的選項,例如技術支援人員、公用 Kiosk 或醫院小組。

顯示 Web 登入畫面的螢幕快照,可讓您選取安全性密鑰驗證選項。

其他閲讀資源。 如需詳細資訊,請參閱使用 Microsoft Entra ID 支援 FIDO2 驗證。 如需開發人員最佳做法,請參閱 在開發的應用程式中支援 FIDO2 驗證

憑證型驗證

Microsoft Entra 憑證式驗證 (CBA) 可讓客戶允許或要求使用者針對應用程式和瀏覽器登入的 Microsoft Entra ID 直接使用 X.509 憑證進行驗證。 CBA 可讓客戶採用防網路釣魚驗證,並使用 X.509 憑證針對其公鑰基礎結構 (PKI) 登入。

此圖顯示使用憑證式驗證時的登入工作流程。

使用憑證型驗證 Microsoft Entra 的主要優點包括:

  • 絕佳的用戶體驗

    • 需要憑證式驗證的用戶現在可以直接針對 Microsoft Entra ID 進行驗證。 他們不再需要投資同盟 AD FS。
    • 入口網站 UI 可讓使用者輕鬆地設定如何將憑證字段對應至用戶物件屬性,以在租用戶中查閱使用者 (憑證使用者名稱系 結)
    • 入口網站 UI 可讓系統管理員 設定驗證原則 ,以協助判斷哪些憑證是單一因素與多重要素。

  • 易於部署和管理

    • Microsoft Entra CBA 是免費的功能。 您不需要任何付費版本的 Microsoft Entra ID 即可使用它。
    • 不需要複雜的內部部署或網路設定。
    • 直接對 Microsoft Entra ID 進行驗證。

  • 安全

    • 內部部署密碼不需要以任何形式儲存在雲端中。
    • 藉由順暢地使用 Microsoft Entra 條件式存取原則來保護您的用戶帳戶,包括 Phishing-Resistant 多重要素驗證 (MFA 需要授權版本) 並封鎖舊版驗證。
    • 強式驗證支援,使用者可以透過簽發者或原則 OID 等憑證欄位定義驗證原則, (對象標識碼) ,以判斷哪些憑證符合單一要素與多重要素的資格。
    • 此功能可順暢地搭配條件式存取功能和驗證強度功能運作,以強制執行 MFA 來協助保護您的使用者。