你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Active Directory 中有哪些可用的身份验证和验证方法?

Microsoft 建议使用无密码身份验证方法(例如 Windows Hello、FIDO2 安全密钥和 Microsoft Authenticator 应用),因为它们提供最安全的登录体验。 尽管用户可使用其他常见方法(例如用户名和密码)登录,但应将密码替换为更安全的身份验证方法。

Azure AD 中强度和首选身份验证方法的说明。

用户登录时,与仅使用密码相比,Azure AD 多重身份验证 (MFA) 增加了额外的安全性。 可以提示用户进行其他形式的身份验证,例如响应推送通知、输入软件或硬件令牌中的验证码,或者响应短信或电话。

若要简化用户加入体验并注册 MFA 和自助式密码重置 (SSPR),我们建议启用组合式安全信息注册。 为了提供复原能力,建议要求用户注册多种身份验证方法。 在登录或 SSPR 期间,当用户无法使用某种方法时,他们可以选择使用另一种方法进行身份验证。 有关详细信息,请参阅在 Azure AD 中创建可复原的访问控制管理策略

我们制作了此视频帮助你选择最佳的身份验证方法来保护组织的安全。

身份验证方法强度和安全性

当你在组织中部署 Azure AD 多重身份验证等功能时,请查看可用的身份验证方法。 选择在安全性,易用性和可用性方面满足或超过你的要求的方法。 如果可能,请使用具有最高安全性级别的身份验证方法。

下表概述了可用身份验证方法的安全注意事项。 可用性表示用户能够使用身份验证方法,而不是 Azure AD 中的服务可用性:

身份验证方法 安全性 可用性 可用性
Windows Hello 企业版
Microsoft Authenticator 应用
FIDO2 安全密钥
基于证书的身份验证(预览版)
OATH 硬件令牌(预览版)
OATH 软件令牌
SMS 中型 中等
语音 中等
Password

有关安全性的最新信息,请查看我们的博客文章:

提示

为实现灵活性和可用性,建议使用 Microsoft Authenticator 应用。 此身份验证方法提供最佳用户体验和多种模式,如无密码、MFA 推送通知和 OATH 代码。

每种身份验证方法的工作原理

登录到应用程序或设备时,可将某些身份验证方法用作主要因素,如使用 FIDO2 安全密钥或密码。 其他身份验证方法仅在使用 Azure AD 多重身份验证或 SSPR 时用作次要因素。

下表概述了在登录事件期间,何时可以使用身份验证方法:

方法 主要身份验证 辅助身份验证
Windows Hello 企业版 MFA*
Microsoft Authenticator 应用 MFA 和 SSPR
FIDO2 安全密钥 MFA
基于证书的身份验证(预览版)
OATH 硬件令牌(预览版) MFA 和 SSPR
OATH 软件令牌 MFA 和 SSPR
SMS MFA 和 SSPR
语音呼叫 MFA 和 SSPR
密码

* Windows Hello 企业版本身不用作升级 MFA 凭据。 例如,来自登录频率的 MFA 质询或包含 forceAuthn=true 的 SAML 请求。 Windows Hello 企业版可以通过在 FIDO2 身份验证中使用作为升级 MFA 凭据。 这需要为用户启用 FIDO2 身份验证才能成功工作。

所有这些身份验证方法都可以在 Azure 门户中进行配置,但更多的是使用 Microsoft Graph REST API 进行配置。

若要详细了解每种身份验证方法的工作原理,请参阅以下单独的概念文章:

注意

在 Azure AD 中,密码通常是主要身份验证方法之一。 不能禁用密码身份验证方法。 如果使用密码作为主要身份验证因素,则使用 Azure AD 多重身份验证提高登录事件的安全性。

在某些情况下,可使用以下附加验证方法:

后续步骤

若要开始,请参阅自助式密码重置 (SSPR) 的教程Azure AD 多重身份验证

要详细了解 SSPR 概念,请参阅 Azure AD 自助式密码重置的工作原理

若要详细了解 MFA 的概念,请参阅 Azure AD 多重身份验证的工作原理

详细了解如何使用 Microsoft Graph REST API 版本配置身份验证方法。

若要审查正在使用的身份验证方法,请参阅使用 PowerShell 进行 Azure AD 多重身份验证的身份验证方法分析