Microsoft Entra ID 中的身份验证方法 - Microsoft Authenticator 应用

  • 项目

Microsoft Authenticator 应用为 Microsoft Entra 工作/学校帐户或 Microsoft 帐户提供另一安全级别,并可用于 AndroidiOS。 使用 Microsoft Authenticator 应用,用户可以在登录期间以无密码方式进行身份验证,或在自助服务密码重置 (SSPR) 或多重身份验证事件期间将这种方式作为另一验证选项使用。

你现在可以应用通行密钥进行用户身份验证。 接下来,用户可以通过其移动应用接收通知,以批准或拒绝 Authenticator 应用生成 OATH 验证码。 然后,用户可以在登录界面中输入该代码。 如果你同时启用了通知和验证码,注册 Authenticator 应用的用户可以使用任一方法通过通行密钥验证其身份。

注意

在 Microsoft Authenticator 中准备密钥支持时,用户可能会在 iOS 和 Android 设备上将 Authenticator 视为密钥提供程序。 有关详细信息,请参阅通行密钥登录(预览版)

若想在出现登录提示时使用 Authenticator 应用而不是用户名和密码的组合,请参阅启用使用 Microsoft Authenticator 进行无密码登录

注意

  • 用户启用 SSPR 后不会得到用于注册其移动应用的选项。 而用户可以在 https://aka.ms/mfasetup 或通过 https://aka.ms/setupsecurityinfo 的组合的安全信息注册过程注册他们的移动应用。
  • iOS 和 Android 的 Beta 版本可能不支持 Authenticator 应用。 此外,从 2023 年 10 月 20 日开始,Android 上的 Authenticator 应用不再支持旧版本的 Android 公司门户。 公司门户版本低于 2111 (5.0.5333.0) 的 Android 用户无法重新注册或注册 Authenticator 的新实例,除非将公司门户应用程序更新到较新版本。

通行密钥登录(预览版)

Authenticator 是一种免费的通行密钥解决方案,可让用户通过自己的手机进行无密码的、防网络钓鱼的身份验证。 在 Authenticator 应用中使用通行密钥的一些主要好处:

  • 可以轻松地大规模部署通行密钥。 然后,用户手机上的通行密钥可用于移动设备管理 (MDM) 和自带设备 (BYOD) 方案。
  • Authenticator 中的通行密钥无需支付任何费用,无论用户走到哪里都可以使用。
  • Authenticator 中的通行密钥是进行了设备绑定的,这可确保通行密钥不会离开创建它的设备。
  • 用户可以随时了解基于开放 WebAuthn 标准的最新通行密钥创新。
  • 企业可以在身份验证流之上添加其他功能,例如 FIPS 140 合规性

注意

随着部署进展到预览就绪状态,管理员和用户可能会将通行密钥看作一种跨不同 Microsoft Entra 界面(包括管理中心、Authenticator 应用、Authentication Insights 等)的登录方法。

设备绑定通行密钥

Authenticator 应用中的通行密钥是设备绑定的,可确保它们永远不会离开创建它们的设备。 在 iOS 设备上,Authenticator 使用安全 Enclave 创建通行密钥。 在 Android 上,我们在支持它的设备上的安全元素中创建通行密钥,或者回退到受信任执行环境 (TEE)。

通行密钥证明如何与 Authenticator 配合使用

目前,Authenticator 中的通行密钥未经验证。 Authenticator 计划在未来版本中提供对通行密钥的证明支持。

在 Authenticator 中备份和还原通行密钥

Authenticator 中的通行密钥未进行备份,无法在新设备上还原。 若要在新设备上创建通行密钥,请在较旧的设备上使用通行密钥,或使用其他身份验证方法重新创建通行密钥。

无密码登录

在 Authenticator 应用中启用手机登录的用户在输入用户名后,看到的不是密码提示,而是一条消息,让他们在应用中输入一个数字。 如果选择了正确的数字,则登录过程完成。

要求用户批准登录的浏览器登录示例。

此身份验证方法提供的安全级别高,并且无需用户在登录时提供密码。

若要开始使用无密码登录,请参阅启用使用 Microsoft Authenticator 进行无密码登录

通过移动应用发送通知

Authenticator 应用通过将通知推送到智能手机或平板电脑,可帮助防止对帐户进行未经授权的访问,以及停止欺诈性交易。 用户将查看通知,如果信息合法,则选择“验证”。 否则,可以选择“拒绝”。

注意

从 2023 年 8 月开始,异常登录不会生成通知,就像从不熟悉的位置登录不会生成通知一样。 若要批准异常登录,用户可以打开 Microsoft Authenticator,或在 Outlook 等相关配套应用中打开 Authenticator Lite。 然后,他们可下拉进行刷新或点击“刷新”,然后批准请求。

提示 Authenticator 应用通知以完成登录过程的 Web 浏览器提示示例的屏幕截图。

在中国,无法在 Android 设备上使用移动应用通知方法,因为 Google Play 服务(包括推送通知)在该区域被阻止。 不过,iOS 通知可以正常工作。 对于 Android 设备,应向这些用户提供备用身份验证方法。

通过移动应用发送验证码

Authenticator 应用可用作生成 OATH 验证码所需的软件令牌。 输入用户名和密码后,在登录界面中输入 Authenticator 应用提供的代码。 验证码提供了第二种形式的身份验证。

注意

基于证书的身份验证不支持 Authenticator 生成的 OATH 验证码。

用户可以组合最多五个 OATH 硬件令牌或验证器应用程序(例如 Authenticator 应用程序),配置为随时使用。

符合 FIPS 140 标准,用于 Microsoft Entra 身份验证

根据 NIST SP 800-63B 中概述的准则,美国政府机构使用的验证器需要使用经 FIPS 140 验证的加密技术。 本指南帮助美国政府机构满足行政命令 (EO) 14028 的要求。 此外,本指南还可帮助其他受监管的行业(例如使用受控物质电子处方 (EPCS) 的医疗保健组织)满足其监管要求。

FIPS 140 是美国政府标准,用于定义信息技术产品和系统中加密模块的最低安全要求。 加密模块验证计划 (CMVP) 维护针对 FIPS 140 标准的测试。

适用于 iOS 的 Microsoft Authenticator

从版本 6.6.8 开始,iOS 版 Microsoft Authenticator 使用本机 Apple CoreCrypto 模块在符合 Apple iOS FIPS 140 的设备上进行 FIPS 验证的加密。 所有使用防网络钓鱼型设备绑定密钥、推送多方式认证 (MFA)、无密码手机登录 (PSI) 和基于时间的一次性密码 (TOTP) 的 Microsoft Entra 身份验证都将使用 FIPS 加密。

如需详细了解将要使用的 FIPS 140 验证的加密模块和符合要求的 iOS 设备,请参阅 Apple iOS 安全认证

注意

在本文早期版本的新更新中:Microsoft Authenticator 尚不符合 Android 上的 FIPS 140。 Android 上的 Microsoft Authenticator 当前正在等待 FIPS 合规性认证,以支持可能需要经 FIPS 验证的加密技术的客户。

在“我的安全信息”中确定 Microsoft Authenticator 注册类型

用户可以访问 MySecurityInfo(请参阅下一部分中的 URL),或者通过从 MyAccount 选择“安全信息”来管理和添加更多 Microsoft Authenticator 注册。 特定图标用于区分 Microsoft Authenticator 注册是否进行无密码电话登录或多重身份验证。

Microsoft Authenticator 注册类型 图标
Microsoft Authenticator:免密码手机登录 Microsoft Authenticator 支持无密码登录
Microsoft Authenticator:(通知/代码) Microsoft Authenticator 支持多重身份验证
MySecurityInfo URL
Azure 商业版 (包括 GCC) https://aka.ms/MySecurityInfo
适用于美国政府的 Azure(包括 GCC High 和 DoD) https://aka.ms/MySecurityInfo-us

Microsoft Authenticator 应用的更新

Microsoft 不断更新 Microsoft Authenticator 应用以保持高级别的安全性。 为了确保你的用户获得最佳体验,我们建议你让他们不断更新其 Authenticator 应用。 在存在关键安全更新的情况下,不是最新的应用版本可能会停止工作,并可能阻止用户完成其身份验证。 如果用户使用的应用版本不受支持,系统会提示其升级到最新版本,然后用户才能继续进行身份验证。

Microsoft 还会定期停用旧版 Authenticator 应用,为组织维持高安全性级别。 如果用户的设备不支持新式版 Microsoft Authenticator 应用,用户将无法使用该应用完成身份验证。 我们建议你让这些用户在 Microsoft Authenticator 应用中使用 OATH 验证码来完成双重身份验证。

后续步骤