什麼是 Microsoft Entra 驗證?
身分識別平台的其中一個主要功能,是在使用者登入裝置、應用程式或服務時確認或驗證認證。 在 Microsoft Entra ID 中,驗證牽涉到的不只是驗證使用者名稱和密碼。 為了提升安全性並降低對技術支援中心協助的需求,Microsoft Entra 驗證包含下列元件:
- 自助式密碼重設
- Microsoft Entra 多重要素驗證
- 可將密碼變更撰寫回內部部署環境的混合式整合
- 可對內部部署環境強制執行密碼保護原則的混合式整合
- 無密碼驗證
若要深入了解這些驗證元件,請看我們的短片。
改善使用者體驗
Microsoft Entra ID 有助於保護使用者的身分識別,並簡化其登入體驗。 自助式密碼重設等功能讓使用者可以從任何裝置使用網頁瀏覽器來更新或變更其密碼。 當使用者忘記其密碼或帳戶遭到鎖定時,這項功能特別有用。 不需等待服務台或系統管理員提供支援,使用者可以自行解除封鎖並繼續工作。
Microsoft Entra 多重要素驗證可讓使用者在登入期間選擇其他形式的驗證,例如撥打電話或行動應用程式通知。 這項功能可減少單一固定形式的次要驗證需求,例如硬體權杖。 如果使用者目前沒有一種額外的驗證形式,他們可以選擇不同的方法並繼續工作。
![在 [登入] 畫面使用中的驗證方法](media/concept-authentication-methods/overview-login.png)
無密碼驗證可完全消除使用者建立及記住安全密碼的需求。 Windows Hello 企業版或 FIDO2 安全性金鑰等功能可讓使用者在沒有密碼的情況下登入裝置或應用程式。 這項功能可以降低跨不同環境管理密碼的複雜性。
自助式密碼重設
自助式密碼重設不需要管理員或技術支援中心參與,即可讓使用者變更或重設其密碼。 如果使用者的帳戶遭到鎖定,或使用者忘記其密碼,則可以遵循提示將他們自己解除封鎖,並繼續工作。 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。
自助密碼重設在以下情況下起作用:
- 密碼變更 – 當使用者知道其密碼,但想要變更為新密碼時。
- 密碼重設 - 當使用者無法登入 (例如,當他們忘記密碼時),而想要重設密碼時。
- 帳戶解除鎖定 - 當使用者因其帳戶遭鎖定而無法登入,因此想要將其解除鎖定時。
當使用者使用自助式密碼重設來更新或重設其密碼時,該密碼也可以寫回內部部署 Active Directory 環境。 密碼回寫可確保使用者可立即將其更新的認證與內部部署裝置和應用程式搭配使用。
Microsoft Entra 多重要素驗證
多重要素驗證是在登入過程中,提示使用者出示其他身分識別形式的程序,例如在手機上輸入密碼或提供指紋掃描。
如果您只使用密碼來驗證使用者,就會留下一個不安全的攻擊可能性。 如果密碼較弱,或已在別處洩漏,那怎麼知道真的是使用者用使用者名稱與密碼在登入,還是攻擊者在登入? 當您需要第二種形式的驗證時,安全性便會提升,因為這個額外的要素並不是攻擊者可以輕易取得或複製的。
Microsoft Entra 多重要素驗證需要透過下列二或多種驗證方法來運作:
- 您知道的資訊,通常是密碼。
- 您擁有的東西,比如不容易複製的信任裝置,如手機或硬體金鑰。
- 您自身上的東西 - 生物識別技術,像是指紋或臉部掃描。
使用者可以在一個步驟中註冊自助式密碼重設和 Microsoft Entra 多重要素驗證,以簡化上線體驗。 系統管理員可以定義能夠使用何種形式的次要驗證。 當使用者執行自助式密碼重設以進一步保護該程序時,也需要 Microsoft Entra 多重要素驗證。
密碼保護
根據預設,Microsoft Entra ID 會封鎖弱式密碼,例如 Password1。 系統會自動更新並強制執行包含已知弱式密碼的全域禁用密碼清單。 Microsoft Entra 使用者若嘗試將其密碼設定為其中一個弱式密碼,則會收到一則通知,要求其選擇更安全的密碼。
若要提高安全性,您可以定義自訂密碼保護原則。 這些原則可以使用篩選條件來封鎖任何包含 Contoso 之類的名稱或 London 等位置的密碼變化。
為了達到混合式安全性,您可以整合 Microsoft Entra 密碼保護與內部部署 Active Directory 環境。 安裝在內部部署環境中的元件會取得 Microsoft Entra ID 提供的全域禁用密碼清單和自訂密碼保護原則,且網域控制站會使用這些項目來處理密碼變更事件。 這種混合式方法可確保不論使用者變更認證的方式或位置為何,您都必須強制使用強式密碼。
無密碼驗證
許多環境的最終目標,都是要在登入事件中去除密碼的使用。 Azure 密碼保護或 Microsoft Entra 多重要素驗證之類的功能雖然有助於改善安全性,但使用者名稱和密碼仍是弱式驗證,有可能暴露或遭到暴力破解攻擊。
使用無密碼方法登入時,您會使用 Windows Hello 企業版的生物識別特徵之類的方法,或 FIDO2 安全性金鑰,以提供認證。 攻擊者無法輕易複製這些驗證方法。
Microsoft Entra ID 提供使用無密碼方法來原生驗證,以簡化使用者的登入體驗,並減少攻擊的風險。
下一步
若要開始使用,請參閱自助式密碼重設 (SSPR) 的教學課程和 Microsoft Entra 多重要素驗證。
若要深入了解自助式密碼重設的概念,請參閱 Microsoft Entra 自助式密碼重設的運作方式。
若要深入了解多重要素驗證的概念,請參閱 Microsoft Entra 多重要素驗證的運作方式。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: