運作方式:Microsoft Entra 多重要素驗證
多重要素驗證是在登入過程中,提示使用者出示其他身分識別形式的程序,例如手機上輸入密碼或指紋掃描。
如果您只使用密碼來驗證使用者,就會留下一個不安全的攻擊可能性。 如果密碼薄弱或已在別處公開,則攻擊者可能會使用其來取得存取權。 當您要求第二種形式的驗證時,安全性將會提高,因為這項額外的因素並不容易讓攻擊者取得或複製。
Microsoft Entra 多重要素驗證需要透過下列二或多種驗證方法來運作:
- 您知道的資訊,通常是密碼。
- 您擁有的某些資訊,例如不容易複製的信任裝置 (如電話或硬體金鑰)。
- 您自身上的東西 - 生物識別技術,像是指紋或臉部掃描。
Microsoft Entra 多重要素驗證也可以進一步保護密碼重設。 當使用者為自己註冊 Microsoft Entra 多重要素驗證時,他們也可以在一個步驟中註冊自助式密碼重設。 管理員可以選擇次要驗證的形式,並根據設定決策來設定 MFA 的挑戰。
您不需要變更應用程式和服務,就能使用 Microsoft Entra 多重要素驗證。 驗證提示是 Microsoft Entra 登入的一部分,可在需要時自動要求和處理 MFA 挑戰。
注意
提示語言會由瀏覽器地區設定所決定。 如果您使用自訂問候語,但在瀏覽器地區設定中找不到語言,則預設會使用英文。 網路原則伺服器 (NPS) 預設一律會使用英文版,無論自訂問候語為何。 如果無法識別瀏覽器地區設定,預設也會使用英文。
可用的驗證方法
當使用者登入應用程式或服務並收到 MFA 提示時,他們可以選擇其中一個已註冊的額外驗證形式。 使用者可以存取我的設定檔,以編輯或新增驗證方法。
下列其他形式的驗證可搭配 Microsoft Entra 多重要素驗使用:
- Microsoft 驗證器
- Authenticator Lite (Outlook 中)
- Windows Hello 企業版
- Passkey (FIDO2)
- Microsoft Authenticator 中的 Passkey (預覽)
- 憑證式驗證(設定多重要素驗證時)
- 外部驗證方法 (預覽)
- 臨時存取密碼 (TAP)
- OATH 硬體權杖 (預覽)
- OATH 軟體權杖
- 簡訊
- 語音通話
如何開啟並使用 Microsoft Entra 多重要素驗證
您可以在 Microsoft Entra 租用戶中使用安全性預設值,以快速啟用所有使用者的 Microsoft Authenticator。 您可以啟用 Microsoft Entra 多重要素驗,在登入期間提示使用者和群組進行額外的驗證。
如需更細微的控制,您可以使用條件式存取原則來定義需要 MFA 的事件或應用程式。 這些原則可公司網路或已註冊裝置上的使用者進行一般登入,但針對位於遠端或個人裝置的使用者,提示輸入其他驗證因素。
下一步
若要了解授權,請參閱 Microsoft Entra 多重要素驗的功能與授權。
若要深入了解不同的驗證和驗證方法,請參閱 Microsoft Entra ID 中的驗證方法。
若要查看作用中的 MFA,請在下列教學課程中為一組測試使用者啟用 Microsoft Entra 多重要素驗證: