Azure Active Directory 中有哪些可用的驗證方法?

Microsoft 建議無密碼驗證方法 (例如 Windows Hello、FIDO2 安全性金鑰和 Microsoft Authenticator 應用程式),因為其會提供最安全的登入體驗。 雖然使用者可以使用其他常見的方法 (例如使用者名稱和密碼)進行登入,但您應該將其取代為更安全的驗證方法。

Azure AD 中強度和慣用驗證方法的圖例。

Azure AD Multi-Factor Authentication (MFA) 在僅使用密碼的使用者登入之上,新增額外的安全性。 系統會提示使用者輸入其他形式的驗證,例如回應推播通知、輸入軟體或硬體權杖中的代碼,或回應簡訊或來電。

為了簡化使用者上線體驗,並註冊 MFA 和自助式密碼重設 (SSPR),我們建議您啟用合併的安全性資訊註冊。 為了復原目的,建議您要求使用者註冊多個驗證方法。 使用者在登入或 SSPR 期間若無法使用其中一種方法,即可選擇使用其他方法進行驗證。 如需詳細資訊,請參閱在 Azure AD 中建立具復原性的存取控制管理策略

以下是我們建立的影片,用來協助您選擇最佳的驗證方法,讓您的組織保持安全。

驗證方法強度和安全性

當您在組織中部署 Azure AD Multi-Factor Authentication 之類的功能時,請參閱可用的驗證方法。 根據安全性、使用性和可用性,選擇符合或超越您需求的方法。 可能的話,請使用具有最高層級安全性的驗證方法。

下表概述可用驗證方法的安全性考量。 可用性是指使用者可以使用驗證方法,而不是 Azure AD 中的服務可用性:

驗證方法 安全性 可用性 可用性
Windows Hello 企業版
Microsoft Authenticator 應用程式
FIDO2 安全性金鑰
憑證式驗證 (預覽)
OATH 硬體權杖 (預覽) 適中
OATH 軟體權杖
SMS
語音
密碼

如需有關安全性的最新資訊,請查看我們的部落格文章:

提示

為了彈性和使用性,我們建議您使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。

每個驗證方法的運作方式

當您登入應用程式或裝置 (例如使用 FIDO2 安全性金鑰或密碼) 時,某些驗證方法可以用作主要因素。 當您使用 Azure AD Multi-Factor Authentication 或 SSPR 時,其他驗證方法只會作為次要因素。

下表概述在登入事件期間可以使用驗證方法的時機:

方法 主要驗證 次要驗證
Windows Hello 企業版 MFA*
Microsoft Authenticator 應用程式 Yes MFA 和 SSPR
FIDO2 安全性金鑰 MFA
憑證式驗證 (預覽)
OATH 硬體權杖 (預覽) MFA 和 SSPR
OATH 軟體權杖 MFA 和 SSPR
sms Yes MFA 和 SSPR
語音通話 MFA 和 SSPR
密碼

* Windows Hello 企業版本身不是強化 MFA 認證。 例如,來自登入頻率的 MFA 挑戰,或包含 forceAuthn=true 的 SAML 要求。 Windows Hello 企業版可用於 FIDO2 驗證中,以作為強化 MFA 認證。 這需要使用者啟用 FIDO2 驗證才能順利運作。

所有這些驗證方法都可以在 Azure 入口網站中設定,而且逐漸使用 Microsoft Graph REST API

若要深入了解每個驗證方法的運作方式,請參閱下列個別的概念性文章:

注意

在 Azure AD 中,密碼通常是其中一種主要驗證方法。 您無法停用密碼驗證方法。 如果您使用密碼作為主要驗證因素,請使用 Azure AD Multi-Factor Authentication 來提高登入事件的安全性。

下列其他驗證方法可用於某些案例:

後續步驟

若要開始使用,請參閱自助式密碼重設 (SSPR) 的教學課程Azure AD Multi-Factor Authentication

若要深入了解 SSPR 概念,請參閱 Azure AD 自助式密碼重設的運作方式

若要深入了解 MFA 概念,請參閱 Azure AD Multi-Factor Authentication 的運作方式

深入了解如何使用 Microsoft Graph REST API 設定驗證方法。

若要檢閱使用中的驗證方法,請參閱搭配 PowerShell 的 Azure AD Multi-Factor Authentication 驗證方法分析