Vilka autentiserings- och verifieringsmetoder är tillgängliga i Azure Active Directory?

Microsoft rekommenderar lösenordslösa autentiseringsmetoder som Windows Hello, FIDO2-säkerhetsnycklar och Microsoft Authenticator-appen eftersom de ger den säkraste inloggningsupplevelsen. Även om en användare kan logga in med andra vanliga metoder, till exempel användarnamn och lösenord, bör lösenord ersättas med säkrare autentiseringsmetoder.

Bild av styrkor och önskade autentiseringsmetoder i Azure AD.

Azure AD Multi-Factor Authentication (MFA) lägger till ytterligare säkerhet jämfört med att bara använda ett lösenord när en användare loggar in. Användaren kan uppmanas att ange ytterligare former av autentisering, till exempel att svara på ett push-meddelande, ange en kod från en programvaru- eller maskinvarutoken eller svara på ett SMS eller telefonsamtal.

För att förenkla användarupplevelsen vid ombordstigning och registrera dig för både MFA och självbetjäning av lösenordsåterställning (SSPR) rekommenderar vi att du aktiverar kombinerad registrering av säkerhetsinformation. För återhämtning rekommenderar vi att du kräver att användarna registrerar flera autentiseringsmetoder. När en metod inte är tillgänglig för en användare vid inloggning eller SSPR kan de välja att autentisera med en annan metod. Mer information finns i Skapa en strategi för hantering av elastisk åtkomstkontroll i Azure AD.

Här är en video som vi har skapat som hjälper dig att välja den bästa autentiseringsmetoden för att skydda din organisation.

Styrka och säkerhet för autentiseringsmetod

När du distribuerar funktioner som Azure AD Multi-Factor Authentication i din organisation läser du de tillgängliga autentiseringsmetoderna. Välj de metoder som uppfyller eller överskrider dina krav när det gäller säkerhet, användbarhet och tillgänglighet. Använd om möjligt autentiseringsmetoder med den högsta säkerhetsnivån.

I följande tabell beskrivs säkerhetsöverväganden för de tillgängliga autentiseringsmetoderna. Tillgänglighet är en indikation på att användaren kan använda autentiseringsmetoden, inte för tjänstens tillgänglighet i Azure AD:

Autentiseringsmetod Säkerhet Användbarhet Tillgänglighet
Windows Hello för företag Högt Högt Högt
Microsoft Authenticator-appen Högt Högt Högt
FIDO2-säkerhetsnyckel Högt Högt Högt
Certifikatbaserad autentisering (förhandsversion) Högt Högt Högt
OATH-maskinvarutoken (förhandsversion) Medel Medel Högt
OATH-programvarutoken Medel Medel Högt
SMS Medel Högt Medel
Röst Medel Medel Medel
Lösenord Lågt Högt Högt

Den senaste informationen om säkerhet finns i våra blogginlägg:

Tips

För flexibilitet och användbarhet rekommenderar vi att du använder Microsoft Authenticator-appen. Den här autentiseringsmetoden ger den bästa användarupplevelsen och flera lägen, till exempel lösenordslösa, MFA-push-meddelanden och OATH-koder.

Så här fungerar varje autentiseringsmetod

Vissa autentiseringsmetoder kan användas som primär faktor när du loggar in på ett program eller en enhet, till exempel med en FIDO2-säkerhetsnyckel eller ett lösenord. Andra autentiseringsmetoder är bara tillgängliga som en sekundär faktor när du använder Azure AD Multi-Factor Authentication eller SSPR.

I följande tabell beskrivs när en autentiseringsmetod kan användas under en inloggningshändelse:

Metod Primär autentisering Sekundär autentisering
Windows Hello för företag Yes MFA*
Microsoft Authenticator-appen Yes MFA och SSPR
FIDO2-säkerhetsnyckel Yes Multifaktorautentisering
Certifikatbaserad autentisering (förhandsversion) Ja Inga
OATH-maskinvarutoken (förhandsversion) No MFA och SSPR
OATH-programvarutoken No MFA och SSPR
SMS Yes MFA och SSPR
Röstsamtal No MFA och SSPR
Lösenord Yes

* Windows Hello för företag i sig inte fungerar som en step-up MFA-autentiseringsuppgift. Till exempel en MFA-utmaning från inloggningsfrekvens eller SAML-begäran som innehåller forceAuthn=true. Windows Hello för företag kan fungera som en stegvis MFA-autentiseringsuppgift genom att användas i FIDO2-autentisering. Detta kräver att användare aktiveras för att FIDO2-autentisering ska fungera.

Alla dessa autentiseringsmetoder kan konfigureras i Azure Portal och i allt högre grad använda Microsoft Graph REST API.

Mer information om hur varje autentiseringsmetod fungerar finns i följande separata konceptuella artiklar:

Anteckning

I Azure AD är ett lösenord ofta en av de primära autentiseringsmetoderna. Du kan inte inaktivera autentiseringsmetoden för lösenord. Om du använder ett lösenord som primär autentiseringsfaktor ökar du säkerheten för inloggningshändelser med hjälp av Azure AD Multi-Factor Authentication.

Följande ytterligare verifieringsmetoder kan användas i vissa scenarier:

  • Applösenord – används för gamla program som inte stöder modern autentisering och kan konfigureras för Azure AD multifaktorautentisering per användare.
  • Säkerhetsfrågor – används endast för SSPR
  • Email adress – används endast för SSPR

Nästa steg

Kom igång genom att läsa självstudien för självbetjäning av lösenordsåterställning (SSPR) och Azure AD Multi-Factor Authentication.

Mer information om SSPR-begrepp finns i Så här fungerar Azure AD självbetjäning av lösenordsåterställning.

Mer information om MFA-begrepp finns i Så här fungerar Azure AD Multi-Factor Authentication.

Läs mer om hur du konfigurerar autentiseringsmetoder med hjälp av Rest-API:et för Microsoft Graph.

Information om vilka autentiseringsmetoder som används finns i Azure AD analys av multifaktorautentiseringsmetoden med PowerShell.