你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Active Directory 中的身份验证方法 - Microsoft Authenticator 应用

项目
12/05/2022

Microsoft Authenticator 应用为 Azure AD 工作或学校帐户或 Microsoft 帐户提供附加的安全级别，并可用于 Android 和 iOS。使用 Microsoft Authenticator 应用，用户可以在登录期间以无密码方式进行身份验证，或在自助服务密码重置 (SSPR) 或多重身份验证事件期间将这种方式作为附加的身份验证选项使用。

用户可能会通过移动应用收到通知，并在其中批准或拒绝，或使用 Authenticator 应用生成可在登录界面中输入的 OATH 验证码。如果同时启用了通知和验证码，注册 Authenticator 应用的用户可以使用任一方法验证其身份。

若想在出现登录提示时使用 Authenticator 应用而不是用户名和密码的组合，请参阅启用使用 Microsoft Authenticator 进行无密码登录。

注意

用户启用 SSPR 后不会得到用于注册其移动应用的选项。而用户可以在 https://aka.ms/mfasetup 或通过 https://aka.ms/setupsecurityinfo 的组合的安全信息注册过程注册他们的移动应用。

在 Authenticator 应用中启用手机登录的用户在输入用户名后，看到的不是密码提示，而是一条消息，让他们在应用中输入一个数字。如果选择了正确的数字，则登录过程完成。

要求用户批准登录的浏览器登录示例。

此身份验证方法提供的安全级别高，并且无需用户在登录时提供密码。

若要开始使用无密码登录，请参阅启用使用 Microsoft Authenticator 进行无密码登录。

通过移动应用发送通知

Authenticator 应用通过将通知推送到智能手机或平板电脑，可帮助防止对帐户进行未经授权的访问，以及停止欺诈性交易。用户将查看通知，如果信息合法，则选择“验证”。否则，可以选择“拒绝”。

提示 Authenticator 应用通知以完成登录过程的 Web 浏览器提示示例的屏幕截图。

注意

如果你的组织有员工在中国工作或要前往中国，则 Android 设备上的移动应用通知方法在该国家/地区不起作用，因为 Google Play 服务（包括推送通知）在该区域被阻止。但 iOS 通知可以正常工作。对于 Android 设备，应向这些用户提供备用身份验证方法。

通过移动应用发送验证码

Authenticator 应用可用作生成 OATH 验证码所需的软件令牌。输入用户名和密码后，在登录界面中输入 Authenticator 应用提供的代码。验证码提供了第二种形式的身份验证。

用户可以具有最多 5 个 OATH 硬件令牌或验证器应用程序（如配置为可随时使用的 Authenticator 应用）的组合。

警告

对于自助密码重置，如果只需使用一种方法来执行重置，则验证码是可供用户用于确保最高级别安全性的唯一选项。

如果需要两种方法，则用户可以使用通知或验证码进行重置，此外还能使用其他任何已启用的方法。

符合 FIPS 140 标准的 Azure AD 身份验证

从版本 6.6.8 开始，适用于 iOS 的 Microsoft Authenticator 在使用以下方法的所有 Azure AD 身份验证中都符合美国联邦信息处理标准 (FIPS) 140：推送多重身份验证 (MFA)、无密码手机登录 (PSI) 和基于时间的一次性密码 (TOTP)。

根据 NIST SP 800-63B 中概述的准则，验证器需要使用经 FIPS 140 验证的加密技术。这有助于联邦机构满足行政命令 (EO) 14028 和使用受管制物质电子处方 (EPCS) 的医疗保健组织的要求。

FIPS 140 是美国政府标准，用于定义信息技术产品和系统中加密模块的最低安全要求。针对 FIPS 140 标准的测试由加密模块验证计划 (CMVP) 维护。

无需在 Microsoft Authenticator 或 Azure 门户中更改配置即可实现 FIPS 140 合规性。 从适用于 iOS 的 Microsoft Authenticator 版本 6.6.8 开始，Azure AD 身份验证默认符合 FIPS 140 标准。

从 Microsoft Authenticator 版本 6.6.8 开始，验证器利用本机 Apple 加密在 Apple iOS 设备上实现 FIPS 140 安全级别 1 的合规性。有关所使用的认证的详细信息，请参阅 Apple CoreCrypto 模块。

针对适用于 Android 的 Microsoft Authenticator 的 FIPS 140 合规性的工作还在进展中，很快会推出。

后续步骤

若要开始使用无密码登录，请参阅启用使用 Microsoft Authenticator 进行无密码登录。
详细了解如何使用 Microsoft Graph REST API 配置身份验证方法。