分享方式:


Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式

Microsoft Authenticator 為您的Microsoft Entra 公司或學校帳戶或Microsoft帳戶提供另一層安全性。 它適用於 AndroidiOS。 透過 Microsoft Authenticator 應用程式,用戶可以在登入期間以無密碼的方式進行驗證。 它們也可以在自助式密碼重設 (SSPR) 或多重要素驗證 (MFA) 事件期間使用它作為驗證選項。

Microsoft Authenticator 支援使用通知和驗證碼的傳遞密鑰、無密碼登入和 MFA。

  • 使用者可以使用 Authenticator 應用程式中的通行密鑰登入,並使用其生物特徵辨識登入或裝置 PIN 來完成網路釣魚防護驗證。
  • 用戶可以設定 Authenticator 通知,並使用 Authenticator 登入,而不是其使用者名稱和密碼。
  • 用戶可以在其行動裝置上收到 MFA 要求,並從手機核准或拒絕登入嘗試。
  • 他們也可以使用 Authenticator 應用程式中的 OATH 驗證碼,並在登入介面中輸入。

如需詳細資訊,請參閱 使用 Microsoft Authenticator 啟用無密碼登入。

注意

使用者在啟用 SSPR 時,沒有註冊其行動應用程式的選項。 相反地,使用者可以在 https://aka.ms/mfasetup,或在 https://aka.ms/setupsecurityinfo 的合併安全性資訊註冊中,註冊其行動應用程式。 iOS 和 Android 的搶鮮版 (Beta) 可能不支援 Authenticator 應用程式。 此外,自 2023 年 10 月 20 日起,Android 上的 Authenticator 應用程式不再支援舊版的 Android 公司入口網站。 使用 2111 (5.0.5333.0) 以下版本公司入口網站的 Android 使用者必須先將公司入口網站應用程式更新成新版本,否則無法重新註冊或註冊 Authenticator 的新執行個體。

通行金鑰登入 (預覽)

Authenticator 是一種免費的通行金鑰解決方案,可讓使用者從自己的手機執行無密碼的防網路釣魚驗證。 在 Authenticator 應用程式中使用通行金鑰的一些主要優點:

  • 通行金鑰可以輕鬆地大規模部署。 然後,在使用行動裝置管理 (MDM) 和攜帶您自己的裝置 (BYOD) 的情況下,可在使用者手機上取得通行金鑰。
  • Authenticator 中的通行金鑰不會增加成本,無論使用者走到哪裡都能使用。
  • Authenticator 中的通行金鑰會與裝置繫結在一起,確保通行金鑰不會離開其建立所在的裝置。
  • 根據開放式 WebAuthn 標準,使用者可以隨時掌握最新的通行金鑰創新技術。
  • 企業可以在驗證流程上分層其他功能,例如 聯邦資訊處理標準 (FIPS) 140 合規性

裝置繫結通行金鑰

Authenticator 應用程式中的通行金鑰會與裝置繫結在一起,確保金鑰永遠不會離開其建立所在的裝置。 在 iOS 裝置上,Authenticator 會使用安全記憶體保護區來建立通行金鑰。 在 Android 上,我們會在支援此功能的裝置防護晶片建立通行金鑰,或上,於 Secure Element 中建立傳遞金鑰,或切換回受信任執行環境 (TEE)。

通行金鑰證明如何與 Authenticator 搭配運作

在 Passkey (FIDO2) 原則中啟用證明時,Microsoft Entra ID 會嘗試驗證安全性密鑰模型或複雜金鑰提供者的合法性,並在其中建立複雜密鑰。 當使用者在 Authenticator 中註冊通行密鑰時,證明會確認合法Microsoft Authenticator 應用程式使用 Apple 和 Google 服務建立通行密鑰。 以下是每個平台證明運作方式的詳細數據:

  • iOS:驗證器證明會使用 iOS 應用程式證明服務 ,以確保驗證器應用程式的合法性,再註冊通行密鑰。

  • Android:

    • 對於 Play 完整性證明,Authenticator 證明會使用 Play 完整性 API 來確保驗證器應用程式的合法性,再註冊通行密鑰。
    • 針對密鑰證明,Authenticator 證明會使用 Android 的密鑰證明來驗證所註冊的通行密鑰是否為硬體支援。

注意

針對iOS和Android,Authenticator證明依賴Apple和Google服務來驗證 Authenticator 應用程式的真實性。 大量服務使用量可能會讓複雜密鑰註冊失敗,而且使用者可能需要再試一次。 如果 Apple 和 Google 服務已關閉,Authenticator 證明會封鎖需要證明的註冊,直到服務還原為止。 若要監視Google Play完整性服務的狀態,請參閱 Google Play狀態儀錶板。 若要監視 iOS 應用程式證明服務的狀態,請參閱 系統狀態

如需如何設定證明的詳細資訊,請參閱 如何在 Microsoft Authenticator 中啟用Microsoft Entra 標識碼的通行密鑰。

透過通知進行無密碼登入

已在 Authenticator 應用程式中啟用手機登入的使用者會看到一則訊息,告知在其應用程式中輸入數字,而不會在輸入使用者名稱之後看到輸入密碼的提示。 選取正確的數字時,登入程序即完成。

要求使用者核准登入的瀏覽器登入範例。

此驗證方法可提供高等級的安全性,使用者在登入時就不需要提供密碼。

若要開始使用無密碼登入,請參閱使用 Microsoft Authenticator 啟用無密碼登入

透過行動應用程式透過通知進行 MFA

Authenticator 應用程式可協助防止未經授權即存取帳戶,並藉由推播通知到您的手機或平板電腦來停止詐騙交易。 使用者需檢視通知,如果合法,則選取 [驗證]。 否則,他們可以選取 [拒絕]

注意

自 2023 年 8 月開始,異常登入不會產生通知,與從不熟悉的位置登入不會產生通知的情況類似。 若要核准異常登入,使用者可以在 Outlook 等相關的隨附 App 中開啟 Microsoft Authenticator 或 Authenticator 精簡版。 然後,使用者可以下拉來重新整理,或點選 [重新整理],並核准要求。

範例網頁瀏覽器提示的螢幕擷取畫面,其中顯示用以完成登入程序的 Authenticator 應用程式通知。

在中國,無法在 Android 裝置上使用透過行動應用程式通知方法,因為 Google Play Services (包括推播通知) 在該區域遭到封鎖。 不過,iOS 通知正常運作。 若是 Android 裝置,請為這些使用者提供替代驗證方法。

行動應用程式的驗證碼

Authenticator 應用程式可以用作軟體權杖,來產生 OATH 驗證碼。 輸入使用者名稱和密碼之後,您可以在登入介面中輸入 Authenticator 應用程式所提供的代碼。 驗證碼提供第二種形式的驗證。

注意

Authenticator 所產生的 OATH 驗證碼不支援憑證型驗證。

使用者可設定最多 5 個 OATH 硬體權杖或驗證器應用程式 (例如 Authenticator 應用程式) 的組合,以在任何時間點使用。

Microsoft Entra 驗證的 FIPS 140 合規性

與 NIST 特殊出版物 800-63B 中所述的指導方針一致,美國政府機關所使用的驗證器必須使用 FIPS 140 驗證的密碼編譯。 此指導方針可協助美國政府機構符合行政命令 (EO) 14028 的要求。 此外,此指導方針可協助其他受管制產業 (例如使用管制藥物電子處方 (EPCS) 的醫療保健組織) 符合其法規要求。

FIPS 140 是美國政府標準,定義資訊技術產品和系統中密碼編譯模組的最低安全性需求。 模組驗證計畫 (CMVP) 會根據 FIPS 140 標準維護測試。

適用於 iOS 的 Microsoft Authenticator

從 6.6.8 版開始,適用於 iOS 的 Microsoft Authenticator 會在 Apple iOS FIPS 140 相容裝置上使用原生 Apple CoreCrypto 模組進行 FIPS 驗證密碼編譯。 使用防網路釣魚裝置繫結通行金鑰、發送多重要素驗證 (MFA)、無密碼電話登入 (PSI) 和有時限的一次性密碼 (TOTP) 的所有 Microsoft Entra 驗證均使用 FIPS 密碼編譯。

若要進一步了解正在使用的 FIPS 140 驗證密碼編譯模組和相容的 iOS 裝置,請參閱 Apple iOS 安全性認證

適用於 Android 的 Microsoft Authenticator

從 Android Microsoft Authenticator 上的 6.2409.6094 版開始,Microsoft Entra 標識符中的所有驗證,包括複雜密鑰,都會被視為符合 FIPS 規範。 Authenticator 會使用 wolfSSL Inc.的密碼編譯模組,在 Android 裝置上達到 FIPS 140 安全性層級 1 合規性。 如需認證的詳細資訊,請參閱 密碼編譯模組驗證計劃

在安全性資訊中判斷 Microsoft Authenticator 註冊類型

使用者可以存取 安全性資訊 (請參閱下一節中的 URL),或從 MyAccount 選取 [安全性資訊] 來管理和新增更多Microsoft Authenticator 註冊。 特定圖示是用來區分 Microsoft Authenticator 註冊是否為無密碼電話登入或 MFA。

Authenticator 註冊類型 Icon
Microsoft Authenticator:無密碼手機登入 Microsoft Authenticator 無密碼登入支援
Microsoft Authenticator:(通知/代碼) Microsoft Authenticator MFA 支援
雲端 安全性資訊 URL
Azure 商業 (包括政府社群雲端 (GCC)) https://aka.ms/MySecurityInfo
適用於美國政府的 Azure (包含 GCC High 和 DoD) https://aka.ms/MySecurityInfo-us

Authenticator 更新

Microsoft 會持續更新 Authenticator,以維持高度安全性。 為了確保您的使用者能夠獲得最佳體驗,建議您讓他們持續更新其 Authenticator 應用程式。 在重大安全性更新的情況下,非最新狀態的應用程式版本可能無法運作,而且可能會封鎖使用者完成其驗證。 如果使用者使用不支援的應用程式版本,系統會提示他們升級至最新版本,然後才繼續登入。

Microsoft也會定期淘汰舊版的 Authenticator 應用程式,為您的組織維持高安全性列。 如果使用者的裝置不支援新式版本的 Microsoft Authenticator,他們就無法使用應用程式簽署。 我們建議這些使用者使用Microsoft Authenticator 中的 OATH 驗證碼登入,以完成 MFA。

下一步