身份验证是在授予对资源、应用程序、服务、设备或网络的访问权限之前验证人员的标识的过程。 系统如何确保用户在尝试登录时验证他们的身份。
Microsoft Entra ID 支持的身份验证方法
下表概述了何时可以使用身份验证方法进行主要或第一因素身份验证、使用 Microsoft Entra 多重身份验证(MFA)和自助密码重置(SSPR)时进行辅助因素身份验证。
| 方法 | 主要身份验证 | 辅助身份验证 |
|---|---|---|
| Windows Hello 企业版 | 是的 | MFA1 |
| 适用于 macOS 的平台凭据 | 是的 | MFA |
| Passkey (FIDO2) | 是的 | MFA |
| Microsoft Authenticator 中的 Passkey | 是的 | MFA |
| 同步密钥(预览版) | 是的 | MFA |
| 基于证书的身份验证 | 是的 | MFA |
| Microsoft验证器无密码 | 是的 | 否 |
| Microsoft Authenticator 推送通知 | 是的 | MFA 和 SSPR |
| Authenticator 精简版 | 否 | MFA |
| 硬件 OATH 令牌(预览版) | 否 | MFA 和 SSPR |
| 软件 OATH 令牌 | 否 | MFA 和 SSPR |
| 外部身份验证方法(预览版) | 否 | MFA |
| 临时访问密码 (TAP) | 是的 | MFA |
| 短信服务(短信)登录 | 是的 | MFA 和 SSPR |
| 语音通话 | 否 | MFA 和 SSPR |
| QR 码 | 是的 | 否 |
| 密码 | 是的 | 否 |
1如果用户启用了 密钥(FIDO2)并且已注册密钥,那么 Windows Hello 企业版可以作为升级 MFA 凭据使用。
防钓鱼身份验证方法
虽然传统 MFA 与短信、电子邮件 OTP 或验证器应用显著提高了对仅密码系统的安全性,但这些选项引入了摩擦,这需要用户执行其他步骤,例如输入代码、批准推送通知或使用验证器应用。 此外,MFA 的这些选项很容易受到远程网络钓鱼攻击。 远程网络钓鱼是攻击者使用社交工程和 AI 驱动的工具窃取标识凭据(如密码或一次性代码),而无需物理访问用户的设备。
Microsoft建议使用防钓鱼身份验证方法,例如 Windows Hello 企业版、密码密钥(FIDO2)和 FIDO2 安全密钥或基于证书的身份验证(CBA),因为它们提供了最安全的登录体验。
Microsoft Entra ID 中提供了以下防钓鱼身份验证方法。
- Windows Hello 企业版
- 适用于 macOS 的平台凭据
- 同步的密钥 (FIDO2) (预览版)
- FIDO2 安全密钥
- Microsoft Authenticator 中的密码
- 基于证书的身份验证 (CBA)
高安全性账户恢复
帐户恢复是用户丢失其所有凭据且无法再访问其帐户的过程。 帮助用户恢复其凭据的传统方法包括呼叫支持人员的用户,他们回答了一些问题来验证其身份,这允许支持人员重置其凭据。 Microsoft Entra ID 现在支持政府颁发的身份证和生物识别验证,其中结合 AI 驱动的生物识别技术与政府颁发的身份证匹配,以提供高可靠性的帐户恢复。
组织可以在 Microsoft 安全商店选择领先的身份验证提供商(IDV):Idemia、Lexis Nexis 和 Au10tix。 这些合作伙伴在 192 个国家/地区提供覆盖范围,并为大多数政府颁发的标识(Gov ID)文档(包括驾驶执照和护照)提供远程验证。 由 Azure AI 服务提供支持的 Entra 验证 ID 人脸检查通过匹配用户的实时自拍和标识文档中的照片来添加关键信任层。 通过仅共享匹配结果而不共享任何敏感标识数据,人脸检查可改善用户隐私,同时允许企业确保声称身份的人确实是他们。
启用此功能后,将提供一个与系统内置的端到端流程,使用户能够轻松且安全地重新获得对其账户的访问权限。 有关详细信息,请参阅 Microsoft Entra ID 帐户恢复概述。