Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式
Microsoft Authenticator 應用程式可為 Microsoft Entra 公司或學校帳戶或 Microsoft 帳戶提供另一層安全性,而且適用於 Android 和 iOS。 使用 Microsoft Authenticator 應用程式,使用者可以在登入期間以無密碼方式進行驗證,或在自助式密碼重設 (SSPR) 或多重要素驗證事件期間作為另一個驗證選項。
您現在可以套用通行金鑰進行使用者驗證。 然後,使用者可以透過其行動應用程式接收通知,了解是否核准或拒絕 Authenticator 應用程式產生 OATH 驗證碼。 接著,您可以在登入介面中輸入此驗證碼。 如果您同時啟用通知和驗證碼,則註冊 Authenticator 應用程式的使用者可使用任一種方法,運用通行金鑰來驗證其身分識別。
注意
在 Microsoft Authenticator 中準備通行金鑰支援時,iOS 和 Android 裝置的使用者可能會將 Authenticator 視為通行金鑰提供者。 如需詳細資訊,請參閱通行金鑰登入 (預覽版)。
若要在登入提示字元中使用 Authenticator 應用程式,而不是使用者名稱和密碼組合,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
注意
- 使用者在啟用 SSPR 時,沒有註冊其行動應用程式的選項。 相反地,使用者可以在 https://aka.ms/mfasetup,或在 https://aka.ms/setupsecurityinfo 的合併安全性資訊註冊中,註冊其行動應用程式。
- iOS 和 Android 的搶鮮版 (Beta) 可能不支援 Authenticator 應用程式。 此外,自 2023 年 10 月 20 日起,Android 上的 Authenticator 應用程式不再支援舊版的 Android 公司入口網站。 使用 2111 (5.0.5333.0) 以下版本公司入口網站的 Android 使用者必須先將公司入口網站應用程式更新成新版本,否則無法重新註冊或註冊 Authenticator 的新執行個體。
通行金鑰登入 (預覽版)
Authenticator 是一種免費的通行金鑰解決方案,可讓使用者從自己的手機執行無密碼的防網路釣魚驗證。 在 Authenticator 應用程式中使用通行金鑰的一些主要優點:
- 通行金鑰可以輕鬆地大規模部署。 然後,在使用行動裝置管理 (MDM) 和攜帶您自己的裝置 (BYOD) 的情況下,可在使用者手機上取得通行金鑰。
- Authenticator 中的通行金鑰不會增加成本,無論使用者走到哪裡都能使用。
- Authenticator 中的通行金鑰會與裝置繫結在一起,確保通行金鑰不會離開其建立所在的裝置。
- 根據開放式 WebAuthn 標準,使用者可以隨時掌握最新的通行金鑰創新技術。
- 企業可以在驗證流程上加上其他功能,例如 FIPS 140 合規性。
裝置繫結通行金鑰
Authenticator 應用程式中的通行金鑰會與裝置繫結在一起,確保金鑰永遠不會離開其建立所在的裝置。 在 iOS 裝置上,Authenticator 會使用安全記憶體保護區來建立通行金鑰。 在 Android 上,我們會在支援此功能的裝置防護晶片建立通行金鑰,或上,於 Secure Element 中建立傳遞金鑰,或切換回受信任執行環境 (TEE)。
通行金鑰證明如何與 Authenticator 搭配運作
目前,Authenticator 中的通行金鑰未經證明。 計劃在未來的版本中推出 Authenticator 的通行金鑰證明支援。
在 Authenticator 中備份和還原通行金鑰
Authenticator 中的通行金鑰無法備份,且無法在新的裝置上還原。 若要在新裝置上建立通行金鑰,請在舊版裝置上使用通行金鑰,或使用另一個驗證方法來重新建立通行金鑰。
無密碼登入
已在 Authenticator 應用程式中啟用手機登入的使用者會看到一則訊息,告知在其應用程式中輸入數字,而不會在輸入使用者名稱之後看到輸入密碼的提示。 選取正確的數字時,登入程序即完成。
此驗證方法可提供高等級的安全性,使用者在登入時就不需要提供密碼。
若要開始使用無密碼登入,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
行動應用程式的通知
Authenticator 應用程式可協助防止未經授權即存取帳戶,並藉由推播通知到您的手機或平板電腦來停止詐騙交易。 使用者需檢視通知,如果合法,則選取 [驗證]。 否則,他們可以選取 [拒絕]。
注意
自 2023 年 8 月開始,異常登入不會產生通知,與從不熟悉的位置登入不會產生通知的情況類似。 若要核准異常登入,使用者可以在 Outlook 等相關的隨附 App 中開啟 Microsoft Authenticator 或 Authenticator 精簡版。 然後,使用者可以下拉來重新整理,或點選 [重新整理],並核准要求。
在中國,無法在 Android 裝置上使用透過行動應用程式通知方法,因為 Google Play Services (包括推播通知) 在該區域遭到封鎖。 不過,iOS 通知正常運作。 若是 Android 裝置,請為這些使用者提供替代驗證方法。
行動應用程式的驗證碼
Authenticator 應用程式可以用作軟體權杖,來產生 OATH 驗證碼。 輸入使用者名稱和密碼之後,您可以在登入介面中輸入 Authenticator 應用程式所提供的代碼。 驗證碼提供第二種形式的驗證。
注意
Authenticator 所產生的 OATH 驗證碼不支援憑證型驗證。
使用者可設定最多 5 個 OATH 硬體權杖或驗證器應用程式 (例如 Authenticator 應用程式) 的組合,以在任何時間點使用。
Microsoft Entra 驗證的 FIPS 140 合規性
與 NIST SP 800-63B 中所述的指導方針一致,美國政府機構使用的驗證器必須使用 FIPS 140 驗證的密碼編譯。 此指導方針可協助美國政府機構符合行政命令 (EO) 14028 的要求。 此外,此指導方針可協助其他受管制產業 (例如使用管制藥物電子處方 (EPCS) 的醫療保健組織) 符合其法規要求。
FIPS 140 是美國政府標準,定義資訊技術產品和系統中密碼編譯模組的最低安全性需求。 模組驗證計畫 (CMVP) 會根據 FIPS 140 標準維護測試。
適用於 iOS 的 Microsoft Authenticator
從 6.6.8 版開始,適用於 iOS 的 Microsoft Authenticator 會在 Apple iOS FIPS 140 相容裝置上使用原生 Apple CoreCrypto 模組進行 FIPS 驗證密碼編譯。 使用防網路釣魚裝置繫結通行金鑰、發送多重要素驗證 (MFA)、無密碼電話登入 (PSI) 和有時限的一次性密碼 (TOTP) 的所有 Microsoft Entra 驗證均使用 FIPS 密碼編譯。
若要進一步了解正在使用的 FIPS 140 驗證密碼編譯模組和相容的 iOS 裝置,請參閱 Apple iOS 安全性認證。
適用於 Android 的 Microsoft Authenticator
從適用於 Android 的 Microsoft Authenticator 6.2409.6094 版開始,Microsoft Entra ID 中的所有驗證 (包括密鑰) 現在都視為符合 FIPS 規範。 Authenticator 利用 wolfSSL Inc. 的密碼編譯模組在 Android 裝置上實現 FIPS 140、安全性層級 1 合規性。 如需有關正在使用的認證的其他詳細資料,請參閱密碼編譯模組驗證計畫 | CSRC (nist.gov)。
在安全性資訊中判斷 Microsoft Authenticator 註冊類型
使用者可以存取我的安全性資訊 (請參閱下一節中的 URL),或從 MyAccount 選取 [安全性資訊] 來管理和新增更多 Microsoft Authenticator 註冊。 特定圖示是用來區分 Microsoft Authenticator 註冊是否為無密碼電話登入或 MFA。
| Authenticator 註冊類型 | Icon |
|---|---|
| Microsoft Authenticator:無密碼手機登入 |  |
| Microsoft Authenticator:(通知/代碼) |  |
MySecurityInfo 連結
| 雲端 | MySecurityInfo URL |
|---|---|
| Azure 商業 (包含 GCC) | https://aka.ms/MySecurityInfo |
| 適用於美國政府的 Azure (包含 GCC High 和 DoD) | https://aka.ms/MySecurityInfo-us |
Authenticator 更新
Microsoft 會持續更新 Authenticator,以維持高度安全性。 為了確保您的使用者能夠獲得最佳體驗,建議您讓他們持續更新其 Authenticator 應用程式。 在重大安全性更新的情況下,未更新的應用程式版本可能會停止運作,且可能會阻擋使用者完成驗證。 如果使用者使用不支援的應用程式版本,系統會提示他們升級至最新版本,才能繼續進行驗證。
Microsoft 也會定期淘汰舊版的 Authenticator 應用程式,為您的組織維持高安全性防護。 如果使用者裝置不支援新版的 Microsoft Authenticator 應用程式,就無法使用應用程式進行簽章。 建議您讓這些使用者使用 Microsoft Authenticator 應用程式中的 OATH 驗證碼來完成雙因素驗證。
後續步驟
若要開始使用通行金鑰,請參閱在 Microsoft Authenticator 登入中啟用通行金鑰 (預覽版)。
如需無密碼登入的相關資訊,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
深入了解如何使用 Microsoft Graph REST API 設定驗證方法。