Dela via


Vilka autentiserings- och verifieringsmetoder är tillgängliga i Microsoft Entra ID?

Microsoft rekommenderar lösenordslösa autentiseringsmetoder som Windows Hello, Lösenord (FIDO2) och Microsoft Authenticator-appen eftersom de ger den säkraste inloggningsupplevelsen. Även om en användare kan logga in med andra vanliga metoder, till exempel användarnamn och lösenord, bör lösenord ersättas med säkrare autentiseringsmetoder.

Bild av styrkor och önskade autentiseringsmetoder i Microsoft Entra-ID.

Microsoft Entra multifaktorautentisering lägger till ytterligare säkerhet jämfört med att bara använda ett lösenord när en användare loggar in. Användaren kan uppmanas att ange ytterligare former av autentisering, till exempel att svara på ett push-meddelande, ange en kod från en programvaru- eller maskinvarutoken eller svara på ett sms eller telefonsamtal.

För att förenkla användarupplevelsen vid ombordstigning och registrera dig för både MFA och självbetjäning av lösenordsåterställning (SSPR) rekommenderar vi att du aktiverar kombinerad registrering av säkerhetsinformation. För återhämtning rekommenderar vi att du kräver att användarna registrerar flera autentiseringsmetoder. När en metod inte är tillgänglig för en användare vid inloggning eller SSPR kan de välja att autentisera med en annan metod. Mer information finns i Skapa en strategi för hantering av elastisk åtkomstkontroll i Microsoft Entra-ID.

Så här fungerar varje autentiseringsmetod

Vissa autentiseringsmetoder kan användas som den primära faktorn när du loggar in på ett program eller en enhet, till exempel att använda en FIDO2-säkerhetsnyckel eller ett lösenord. Andra autentiseringsmetoder är endast tillgängliga som en sekundär faktor när du använder Microsoft Entra multifaktorautentisering eller SSPR.

I följande tabell beskrivs när en autentiseringsmetod kan användas under en inloggningshändelse:

Metod Primär autentisering Sekundär autentisering
Windows Hello för företag Ja MFA*
Microsoft Authenticator-push Nej MFA och SSPR
Lösenordslös för Microsoft Authenticator Ja Nej*
Microsoft Authenticator-nyckel Ja Multifaktorautentisering
Authenticator Lite Nej Multifaktorautentisering
Nyckel (FIDO2) Ja Multifaktorautentisering
Certifikatbaserad autentisering Ja Multifaktorautentisering
OATH-maskinvarutoken (förhandsversion) Nej MFA och SSPR
OATH-programvarutoken Nej MFA och SSPR
Externa autentiseringsmetoder (förhandsversion) Nej Multifaktorautentisering
Tillfälligt åtkomstpass (TAP) Ja Multifaktorautentisering
SMS Ja MFA och SSPR
Röstsamtal Nej MFA och SSPR
Password Ja Nej

* Windows Hello för företag i sig fungerar inte som en stegvis MFA-autentiseringsuppgift. Till exempel en MFA-utmaning från inloggningsfrekvens eller SAML-begäran som innehåller forceAuthn=true. Windows Hello för företag kan fungera som en stegvis MFA-autentisering genom att användas i FIDO2-autentisering. Detta kräver att användare registreras för FIDO2-autentisering för att fungera.

* Lösenordsfri inloggning kan endast användas för sekundär autentisering om certifikatbaserad autentisering (CBA) används för primär autentisering. Mer information finns i Teknisk djupdykning i Microsoft Entra-certifikatbaserad autentisering.

Alla dessa autentiseringsmetoder kan konfigureras i administrationscentret för Microsoft Entra och i allt högre grad använda Microsoft Graph REST API.

Mer information om hur varje autentiseringsmetod fungerar finns i följande separata konceptuella artiklar:

Kommentar

I Microsoft Entra-ID är ett lösenord ofta en av de primära autentiseringsmetoderna. Du kan inte inaktivera autentiseringsmetoden för lösenord. Om du använder ett lösenord som primär autentiseringsfaktor ökar du säkerheten för inloggningshändelser med hjälp av Microsoft Entra multifaktorautentisering.

Följande ytterligare verifieringsmetoder kan användas i vissa scenarier:

  • Applösenord – används för gamla program som inte stöder modern autentisering och som kan konfigureras för microsoft Entra-multifaktorautentisering per användare.
  • Säkerhetsfrågor – används endast för SSPR
  • E-postadress – används endast för SSPR

Användbara och icke-användbara metoder

Administratörer kan visa metoder för användarautentisering i administrationscentret för Microsoft Entra. Användbara metoder visas först, följt av icke-användbara metoder.

Varje autentiseringsmetod kan bli icke-användbar av olika skäl. Ett tillfälligt åtkomstpass kan till exempel upphöra att gälla, eller så kan FIDO2-säkerhetsnyckeln misslyckas med attesteringen. Portalen uppdateras för att ange orsaken till varför metoden inte kan användas.

Autentiseringsmetoder som inte längre är tillgängliga på grund av "Kräv omregistrering av multifaktorautentisering" visas också här.

Skärmbild av autentiseringsmetoder som inte kan användas.

Nästa steg

Kom igång genom att läsa självstudien för självbetjäning av lösenordsåterställning (SSPR) och Microsoft Entra multifaktorautentisering.

Mer information om SSPR-begrepp finns i Så här fungerar självbetjäning av lösenordsåterställning i Microsoft Entra.

Mer information om MFA-begrepp finns i Så här fungerar Multifaktorautentisering i Microsoft Entra.

Läs mer om hur du konfigurerar autentiseringsmetoder med hjälp av Microsoft Graph REST API.

Mer information om vilka autentiseringsmetoder som används finns i Microsoft Entra multifaktorautentiseringsmetodanalys med PowerShell.