你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Active Directory 中的身份验证方法 - Microsoft Authenticator 应用
Microsoft Authenticator 应用为 Azure AD 工作或学校帐户或 Microsoft 帐户提供附加的安全级别,并可用于 Android 和 iOS。 使用 Microsoft Authenticator 应用,用户可以在登录期间以无密码方式进行身份验证,或在自助服务密码重置 (SSPR) 或多重身份验证事件期间将这种方式作为附加的身份验证选项使用。
用户可能会通过移动应用收到通知,并在其中批准或拒绝,或使用 Authenticator 应用生成可在登录界面中输入的 OATH 验证码。 如果同时启用了通知和验证码,注册 Authenticator 应用的用户可以使用任一方法验证其身份。
若想在出现登录提示时使用 Authenticator 应用而不是用户名和密码的组合,请参阅启用使用 Microsoft Authenticator 进行无密码登录。
注意
用户启用 SSPR 后不会得到用于注册其移动应用的选项。 而用户可以在 https://aka.ms/mfasetup 或通过 https://aka.ms/setupsecurityinfo 的组合的安全信息注册过程注册他们的移动应用。
无密码登录
在 Authenticator 应用中启用手机登录的用户在输入用户名后,看到的不是密码提示,而是一条消息,让他们在应用中输入一个数字。 如果选择了正确的数字,则登录过程完成。
此身份验证方法提供的安全级别高,并且无需用户在登录时提供密码。
若要开始使用无密码登录,请参阅启用使用 Microsoft Authenticator 进行无密码登录。
通过移动应用发送通知
Authenticator 应用通过将通知推送到智能手机或平板电脑,可帮助防止对帐户进行未经授权的访问,以及停止欺诈性交易。 用户将查看通知,如果信息合法,则选择“验证”。 否则,可以选择“拒绝”。
注意
如果你的组织有员工在中国工作或要前往中国,则 Android 设备上的移动应用通知方法在该国家/地区不起作用,因为 Google Play 服务(包括推送通知)在该区域被阻止。 但 iOS 通知可以正常工作。 对于 Android 设备,应向这些用户提供备用身份验证方法。
通过移动应用发送验证码
Authenticator 应用可用作生成 OATH 验证码所需的软件令牌。 输入用户名和密码后,在登录界面中输入 Authenticator 应用提供的代码。 验证码提供了第二种形式的身份验证。
用户可以具有最多 5 个 OATH 硬件令牌或验证器应用程序(如配置为可随时使用的 Authenticator 应用)的组合。
警告
对于自助密码重置,如果只需使用一种方法来执行重置,则验证码是可供用户用于确保最高级别安全性的唯一选项。
如果需要两种方法,则用户可以使用通知或验证码进行重置,此外还能使用其他任何已启用的方法。
符合 FIPS 140 标准的 Azure AD 身份验证
从版本 6.6.8 开始,适用于 iOS 的 Microsoft Authenticator 在使用以下方法的所有 Azure AD 身份验证中都符合美国联邦信息处理标准 (FIPS) 140:推送多重身份验证 (MFA)、无密码手机登录 (PSI) 和基于时间的一次性密码 (TOTP)。
根据 NIST SP 800-63B 中概述的准则,验证器需要使用经 FIPS 140 验证的加密技术。 这有助于联邦机构满足行政命令 (EO) 14028 和使用受管制物质电子处方 (EPCS) 的医疗保健组织的要求。
FIPS 140 是美国政府标准,用于定义信息技术产品和系统中加密模块的最低安全要求。 针对 FIPS 140 标准的测试由加密模块验证计划 (CMVP) 维护。
无需在 Microsoft Authenticator 或 Azure 门户中更改配置即可实现 FIPS 140 合规性。 从适用于 iOS 的 Microsoft Authenticator 版本 6.6.8 开始,Azure AD 身份验证默认符合 FIPS 140 标准。
从 Microsoft Authenticator 版本 6.6.8 开始,验证器利用本机 Apple 加密在 Apple iOS 设备上实现 FIPS 140 安全级别 1 的合规性。 有关所使用的认证的详细信息,请参阅 Apple CoreCrypto 模块。
针对适用于 Android 的 Microsoft Authenticator 的 FIPS 140 合规性的工作还在进展中,很快会推出。
后续步骤
若要开始使用无密码登录,请参阅启用使用 Microsoft Authenticator 进行无密码登录。
详细了解如何使用 Microsoft Graph REST API 配置身份验证方法。