你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Active Directory 中的身份验证方法 - Microsoft Authenticator 应用

Microsoft Authenticator 应用为 Azure AD 工作或学校帐户或 Microsoft 帐户提供附加的安全级别,并可用于 AndroidiOS。 使用 Microsoft Authenticator 应用,用户可以在登录期间以无密码方式进行身份验证,或在自助服务密码重置 (SSPR) 或多重身份验证事件期间将这种方式作为附加的身份验证选项使用。

用户可能会通过移动应用收到通知,并在其中批准或拒绝,或使用 Authenticator 应用生成可在登录界面中输入的 OATH 验证码。 如果同时启用了通知和验证码,注册 Authenticator 应用的用户可以使用任一方法验证其身份。

若想在出现登录提示时使用 Authenticator 应用而不是用户名和密码的组合,请参阅启用使用 Microsoft Authenticator 进行无密码登录

注意

用户启用 SSPR 后不会得到用于注册其移动应用的选项。 而用户可以在 https://aka.ms/mfasetup 或通过 https://aka.ms/setupsecurityinfo 的组合的安全信息注册过程注册他们的移动应用。

无密码登录

在 Authenticator 应用中启用手机登录的用户在输入用户名后,看到的不是密码提示,而是一条消息,让他们在应用中输入一个数字。 如果选择了正确的数字,则登录过程完成。

要求用户批准登录的浏览器登录示例。

此身份验证方法提供的安全级别高,并且无需用户在登录时提供密码。

若要开始使用无密码登录,请参阅启用使用 Microsoft Authenticator 进行无密码登录

通过移动应用发送通知

Authenticator 应用通过将通知推送到智能手机或平板电脑,可帮助防止对帐户进行未经授权的访问,以及停止欺诈性交易。 用户将查看通知,如果信息合法,则选择“验证”。 否则,可以选择“拒绝”。

提示 Authenticator 应用通知以完成登录过程的 Web 浏览器提示示例的屏幕截图。

注意

如果你的组织有员工在中国工作或要前往中国,则 Android 设备上的移动应用通知方法在该国家/地区不起作用,因为 Google Play 服务(包括推送通知)在该区域被阻止。 但 iOS 通知可以正常工作。 对于 Android 设备,应向这些用户提供备用身份验证方法。

通过移动应用发送验证码

Authenticator 应用可用作生成 OATH 验证码所需的软件令牌。 输入用户名和密码后,在登录界面中输入 Authenticator 应用提供的代码。 验证码提供了第二种形式的身份验证。

用户可以具有最多 5 个 OATH 硬件令牌或验证器应用程序(如配置为可随时使用的 Authenticator 应用)的组合。

警告

对于自助密码重置,如果只需使用一种方法来执行重置,则验证码是可供用户用于确保最高级别安全性的唯一选项。

如果需要两种方法,则用户可以使用通知或验证码进行重置,此外还能使用其他任何已启用的方法。

符合 FIPS 140 标准的 Azure AD 身份验证

从版本 6.6.8 开始,适用于 iOS 的 Microsoft Authenticator 在使用以下方法的所有 Azure AD 身份验证中都符合美国联邦信息处理标准 (FIPS) 140:推送多重身份验证 (MFA)、无密码手机登录 (PSI) 和基于时间的一次性密码 (TOTP)。  

根据 NIST SP 800-63B 中概述的准则,验证器需要使用经 FIPS 140 验证的加密技术。 这有助于联邦机构满足行政命令 (EO) 14028 和使用受管制物质电子处方 (EPCS) 的医疗保健组织的要求。 

FIPS 140 是美国政府标准,用于定义信息技术产品和系统中加密模块的最低安全要求。 针对 FIPS 140 标准的测试由加密模块验证计划 (CMVP) 维护。

无需在 Microsoft Authenticator 或 Azure 门户中更改配置即可实现 FIPS 140 合规性。 从适用于 iOS 的 Microsoft Authenticator 版本 6.6.8 开始,Azure AD 身份验证默认符合 FIPS 140 标准。

从 Microsoft Authenticator 版本 6.6.8 开始,验证器利用本机 Apple 加密在 Apple iOS 设备上实现 FIPS 140 安全级别 1 的合规性。 有关所使用的认证的详细信息,请参阅 Apple CoreCrypto 模块。 

针对适用于 Android 的 Microsoft Authenticator 的 FIPS 140 合规性的工作还在进展中,很快会推出。

后续步骤