分享方式:

Microsoft Entra ID 中有哪些可用的驗證和驗證方法?

  • 文章

Microsoft 建議無密碼驗證方法 (例如 Windows Hello、Passkeys (FIDO2) 和 Microsoft Authenticator 應用程式),因為其會提供最安全的登入體驗。 雖然使用者可以使用例如使用者名稱和密碼等其他常見方法登入,但密碼應取代為更安全的驗證方法。

Microsoft Entra ID 中強度和慣用驗證方法的圖例。

比起只用密碼登入,採用 Microsoft Entra 多重要素驗證能夠為使用者增加額外的安全性。 系統會提示使用者輸入其他形式的驗證,例如回應推播通知、輸入軟體或硬體權杖中的代碼,或回應簡訊或來電。

為了簡化使用者上線體驗,並註冊 MFA 和自助式密碼重設 (SSPR),我們建議您啟用合併的安全性資訊註冊。 為了復原目的,建議您要求使用者註冊多個驗證方法。 使用者在登入或 SSPR 期間若無法使用其中一種方法,即可選擇使用其他方法進行驗證。 如需詳細資訊,請參閱在 Microsoft Entra ID 中建立具復原性的存取控制管理策略

每個驗證方法的運作方式

當您登入應用程式或裝置 (例如使用 FIDO2 安全性金鑰或密碼) 時,某些驗證方法可以用作主要因素。 當您使用 Microsoft Entra 多重要素驗證或 SSPR 時,其他驗證方法只會作為次要因素。

下表概述在登入事件期間可以使用驗證方法的時機:

方法 主要驗證 次要驗證
Windows Hello 企業版 Yes MFA*
Microsoft Authenticator (推送) No MFA 和 SSPR
Microsoft Authenticator (無密碼) Yes 否*
Authenticator Lite No MFA
Passkey (FIDO2) Yes MFA
憑證型驗證 Yes MFA
OATH 硬體權杖 (預覽) No MFA 和 SSPR
OATH 軟體權杖 No MFA 和 SSPR
外部驗證方法 (預覽) No MFA 和 SSPR
臨時存取密碼 (TAP) Yes MFA
SMS Yes MFA 和 SSPR
語音通話 No MFA 和 SSPR
密碼 No

* Windows Hello 企業版本身不是強化 MFA 認證。 例如,來自登入頻率的 MFA 挑戰,或包含 forceAuthn=true 的 SAML 要求。 Windows Hello 企業版可用於 FIDO2 驗證中,以作為強化 MFA 認證。 這需要使用者註冊 FIDO2 驗證才能順利運作。

* 只有在憑證式驗證 (CBA) 用於主要驗證時,才能使用無密碼登入進行次要驗證。 如需詳細資訊,請參閱 Microsoft Entra 憑證式驗證技術深入探討

所有這些驗證方法都可以在 Microsoft Entra 系統管理中心中設定,而且逐漸使用 Microsoft Graph REST API

若要深入了解每個驗證方法的運作方式,請參閱下列個別的概念性文章:

注意

在 Microsoft Entra ID 中,密碼通常是其中一種主要驗證方法。 您無法停用密碼驗證方法。 如果您使用密碼作為主要驗證因素,請使用 Microsoft Entra 多重要素驗證來提高登入事件的安全性。

下列其他驗證方法可用於某些案例:

可使用和不可使用的方法

系統管理員可以在 Microsoft Entra 系統管理中心檢視使用者驗證方法。 首先會列出可使用的方法,接著列出不可使用的方法。

每個驗證方法可能會因為不同原因而變成無法使用。 例如,「臨時存取密碼」可能會過期,或 FIDO2 安全性金鑰可能無法通過證明。 入口網站將會更新,以提供方法無法使用的原因。

這裡也會顯示因為「需要重新註冊多重要素驗證」而無法再使用的驗證方法。

無法使用的驗證方法的螢幕擷取畫面。

下一步

若要開始使用,請參閱自助式密碼重設 (SSPR) 的教學課程Microsoft Entra 多重要素驗證

若要深入了解 SSPR 概念,請參閱 Microsoft Entra 自助式密碼重設的運作方式

若要深入了解多重要素驗證的概念,請參閱 Microsoft Entra 多重要素驗證的運作方式

深入了解如何使用 Microsoft Graph REST API 設定驗證方法。

若要檢閱使用中的驗證方法,請參閱搭配 PowerShell 的 Microsoft Entra 多重要素驗證驗證方法分析