Microsoft Entra ID 中的身份验证方法 - Microsoft Authenticator 应用

  • 项目

Microsoft Authenticator 应用为 Microsoft Entra 工作/学校帐户或 Microsoft 帐户提供额外安全级别,并可用于 AndroidiOS。 使用 Microsoft Authenticator 应用,用户可以在登录期间进行无密码身份验证,或者在自助式密码重置 (SSPR) 或多重身份验证事件中作为附加验证选项。

用户可能会通过移动应用收到通知,并在其中批准或拒绝,或使用 Authenticator 应用生成可在登录界面中输入的 OATH 验证码。 如果同时启用了通知和验证码,注册 Authenticator 应用的用户可以使用任一方法验证其身份。

若想在出现登录提示时使用 Authenticator 应用而不是用户名和密码的组合,请参阅启用使用 Microsoft Authenticator 进行无密码登录

注意

  • 用户启用 SSPR 后不会得到用于注册其移动应用的选项。 而用户可以在 https://aka.ms/mfasetup 或通过 https://aka.ms/setupsecurityinfo 的组合的安全信息注册过程注册他们的移动应用。
  • iOS 和 Android 的 Beta 版本可能不支持 Authenticator 应用。 此外,从 2023 年 10 月 20 日开始,Android 上的验证器应用将不再支持旧版本的 Android 公司门户。 公司门户版本低于 2111 (5.0.5333.0) 的 Android 用户将无法重新注册或注册验证器应用的新实例,除非将公司门户应用程序更新到较新版本。

无密码登录

在 Authenticator 应用中启用手机登录的用户在输入用户名后,看到的不是密码提示,而是一条消息,让他们在应用中输入一个数字。 如果选择了正确的数字,则登录过程完成。

Example of a browser sign-in asking for user to approve the sign-in.

此身份验证方法提供的安全级别高,并且无需用户在登录时提供密码。

若要开始使用无密码登录,请参阅启用使用 Microsoft Authenticator 进行无密码登录

通过移动应用发送通知

Authenticator 应用通过将通知推送到智能手机或平板电脑,可帮助防止对帐户进行未经授权的访问,以及停止欺诈性交易。 用户将查看通知,如果信息合法,则选择“验证”。 否则,可以选择“拒绝”。

注意

从 2023 年 8 月开始,异常登录不会生成通知,就像从不熟悉的位置登录不会生成通知一样。 若要批准异常登录,用户可以打开 Microsoft Authenticator,或在 Outlook 等相关配套应用中打开 Authenticator Lite。 然后,他们可下拉进行刷新或点击“刷新”,然后批准请求。

Screenshot of example web browser prompt for Authenticator app notification to complete sign-in process.

在中国,无法在 Android 设备上使用移动应用通知方法,因为 Google Play 服务(包括推送通知)在该区域被阻止。 不过,iOS 通知可以正常工作。 对于 Android 设备,应向这些用户提供备用身份验证方法。

通过移动应用发送验证码

Authenticator 应用可用作生成 OATH 验证码所需的软件令牌。 输入用户名和密码后,在登录界面中输入 Authenticator 应用提供的代码。 验证码提供了第二种形式的身份验证。

注意

基于证书的身份验证不支持 Authenticator 生成的 OATH 验证码。

用户可以具有最多 5 个 OATH 硬件令牌或验证器应用程序(如配置为可随时使用的 Authenticator 应用)的组合。

符合 FIPS 140 标准,用于 Microsoft Entra 身份验证

从版本 6.6.8 开始,适用于 iOS 的 Microsoft Authenticator 在使用以下方法的所有 Microsoft Entra 身份验证中都符合美国联邦信息处理标准 (FIPS) 140:推送多重身份验证 (MFA)、无密码手机登录 (PSI) 和基于时间的一次性密码 (TOTP)。  

根据 NIST SP 800-63B 中概述的准则,验证器需要使用经 FIPS 140 验证的加密技术。 这有助于联邦机构满足行政命令 (EO) 14028 和使用受管制物质电子处方 (EPCS) 的医疗保健组织的要求。 

FIPS 140 是美国政府标准,用于定义信息技术产品和系统中加密模块的最低安全要求。 针对 FIPS 140 标准的测试由加密模块验证计划 (CMVP) 维护。

无需在 Microsoft Authenticator 或 Microsoft Entra 管理中心中更改配置即可实现 FIPS 140 合规性。 从适用于 iOS 的 Microsoft Authenticator 版本 6.6.8 开始,Microsoft Entra 身份验证默认符合 FIPS 140 标准。

从 Microsoft Authenticator 版本 6.6.8 开始,验证器利用本机 Apple 加密在 Apple iOS 设备上实现 FIPS 140 安全级别 1 的合规性。 有关所使用的认证的详细信息,请参阅 Apple CoreCrypto 模块。 

针对适用于 Android 的 Microsoft Authenticator 的 FIPS 140 合规性的工作还在进展中,很快会推出。

在“我的安全信息”中确定 Microsoft Authenticator 注册类型

用户可以通过访问 https://aka.ms/mysecurityinfo 或从“我的帐户”中选择“安全信息”来管理和添加其他 Microsoft Authenticator 注册。 特定图标用于区分 Microsoft Authenticator 注册是否能够进行无密码电话登录或多重身份验证。

Microsoft Authenticator 注册类型 图标
Microsoft Authenticator:免密码手机登录 Microsoft Authenticator passwordless sign-in Capable
Microsoft Authenticator:支持多重身份验证 Microsoft Authenticator MFA Capable

后续步骤