運作方式:Microsoft Entra 多重要素驗證
多重要素驗證是在登入過程中,提示使用者出示其他身分識別形式的程序,例如手機上輸入密碼或指紋掃描。
如果您只使用密碼來驗證使用者,則會留下不安全的攻擊媒介。 如果密碼弱式或已公開到別處,攻擊者可以使用它來取得存取權。 當您需要第二種形式的驗證時,安全性會增加,因為這個額外的因素並不容易讓攻擊者取得或複製。
Microsoft Entra 多重要素驗證的運作方式是要求下列兩種或多個驗證方法:
- 您知道的東西,通常是密碼。
- 您擁有的專案,例如不容易複製的受信任裝置,例如手機或硬體金鑰。
- 您是一些生物特徵辨識技術,例如指紋或臉部掃描。
Microsoft Entra 多重要素驗證也可以進一步保護密碼重設。 當使用者自行註冊 Microsoft Entra 多重要素驗證時,他們也可以在一個步驟中註冊自助式密碼重設。 管理員istrators 可以選擇次要驗證的形式,並根據設定決策來設定 MFA 的挑戰。
您不需要變更應用程式和服務,即可使用 Microsoft Entra 多重要素驗證。 驗證提示是 Microsoft Entra 登入的一部分,會在需要時自動要求及處理 MFA 挑戰。
注意
提示語言是由瀏覽器地區設定所決定。 如果您使用自訂問候語,但瀏覽器地區設定中識別的語言沒有自訂問候語,預設會使用英文。 不論自訂問候語為何,網路原則伺服器 (NPS) 預設一律會使用英文。 如果無法識別瀏覽器地區設定,則預設也會使用英文。
可用的驗證方法
當使用者登入應用程式或服務並收到 MFA 提示時,他們可以從其中一種已註冊的其他驗證形式中選擇。 使用者可以存取 我的設定檔 來編輯或新增驗證方法。
下列其他形式的驗證可以搭配 Microsoft Entra 多重要素驗證使用:
- Microsoft 驗證器
- Authenticator Lite (在 Outlook 中)
- Windows Hello 企業版
- FIDO2 安全性金鑰
- OATH 硬體權杖 (預覽)
- OATH 軟體權杖
- 簡訊
- 語音通話
如何啟用及使用 Microsoft Entra 多重要素驗證
您可以在 Microsoft Entra 租使用者中使用 安全性預設值 ,快速為所有使用者啟用 Microsoft Authenticator。 您可以啟用 Microsoft Entra 多重要素驗證,以在登入期間提示使用者和群組進行其他驗證。
如需更細微的控制項,您可以使用 條件式存取 原則來定義需要 MFA 的事件或應用程式。 當使用者在公司網路或已註冊的裝置上時,這些原則可以允許定期登入,但在使用者是遠端或個人裝置時,提示輸入其他驗證因素。
下一步
若要瞭解授權,請參閱 Microsoft Entra 多重要素驗證 的功能和授權。
若要深入瞭解不同的驗證和驗證方法,請參閱 Microsoft Entra ID 中的驗證方法。
若要查看作用中的 MFA,請在下列教學課程中為一組測試使用者啟用 Microsoft Entra 多重要素驗證: