條件式存取驗證強度
驗證強度是條件式訪問控制,指定可用來存取資源的驗證方法組合。 使用者可以使用任何允許的組合進行驗證,以滿足強度需求。
例如,驗證強度可能需要只使用網路釣魚防護驗證方法來存取敏感性資源。 若要存取不區分資源,系統管理員可以建立另一個驗證強度,以允許較不安全的多重要素驗證 (MFA) 組合,例如密碼 + 簡訊。
驗證強度是以驗證方法原則為基礎,系統管理員可以將特定使用者和群組的驗證方法範圍設定為跨 Microsoft Entra ID 同盟應用程式使用。 驗證強度可根據敏感性資源存取、用戶風險、位置等特定案例,進一步控制這些方法的使用方式。
驗證強度的案例
驗證強度可協助客戶解決這些案例:
- 需要特定的驗證方法來存取敏感性資源。
- 當使用者在應用程式內採取敏感性動作時,需要特定的驗證方法(結合條件式存取驗證內容)。
- 當使用者存取公司網路外部的敏感性應用程式時,要求使用者使用特定的驗證方法。
- 針對高風險的使用者,需要更安全的驗證方法。
- 需要存取資源租使用者之來賓使用者的特定驗證方法(結合跨租用戶設定)。
驗證強度
管理員 istrators 可以使用 建立條件式存取原則,以指定存取資源的驗證強度需要驗證強度控制。 他們可以選擇三個內建的驗證強度:多重要素驗證強度、無密碼 MFA 強度,以及防網路釣魚 MFA 強度。 他們也可以根據想要允許的驗證方法組合,建立自定義驗證強度。
內建驗證強度
內建驗證強度是 Microsoft 預先定義的驗證方法組合。 內建驗證強度一律可供使用,且無法修改。 當新的方法可供使用時,Microsoft 將會更新內建的驗證強度。
例如,內 建的網路釣魚防護 MFA 強度 允許下列組合:
Windows Hello 企業版
Or
FIDO2 安全性金鑰
Or
Microsoft Entra 憑證型驗證 (多重要素)
下表列出每個內建驗證強度的驗證方法組合。 這些組合包括用戶必須註冊的方法,並在驗證方法原則或舊版 MFA 設定原則中啟用。
- MFA 強度 - 可用來滿足 [需要多重要素驗證 ] 設定的相同組合。
- 無密碼 MFA 強度 - 包含滿足 MFA 但不需要密碼的驗證方法。
- 網路釣魚防護 MFA 強度 - 包含需要驗證方法與登入介面之間互動的方法。
| 驗證方法組合 | MFA 強度 | 無密碼 MFA 強度 | 網路釣魚防護 MFA 強度 |
|---|---|---|---|
| FIDO2 安全性金鑰 | ✅ | ✅ | ✅ |
| Windows Hello 企業版 | ✅ | ✅ | ✅ |
| 憑證式驗證 (Multi-Factor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (電話 登入) | ✅ | ✅ | |
| 暫時存取通行證 (一次性使用 AND 多重使用) | ✅ | ||
| 密碼 + 您有 1 個 | ✅ | ||
| 同盟單一因素 + 您有1 個 | ✅ | ||
| 同盟 Multi-Factor | ✅ | ||
| 憑證式驗證 (單一因素) | |||
| SMS 登入 | |||
| 密碼 | |||
| 同盟單一因素 |
1 您已參考下列其中一種方法:簡訊、語音、推播通知、軟體 OATH 令牌或硬體 OATH 令牌。
下列 API 呼叫可用來列出所有內建驗證強度的定義:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
條件式存取 管理員 istrators 也可以建立自定義驗證強度,以完全符合其存取需求。 如需詳細資訊,請參閱 自定義條件式存取驗證強度。
限制
條件式存取原則只會在初始驗證 之後進行評估 – 因此,驗證強度不會限制使用者的初始驗證。 假設您使用內建的網路釣魚防護 MFA 強度。 使用者仍然可以輸入其密碼,但必須先使用網路釣魚防護方法登入,例如 FIDO2 安全性密鑰,才能繼續。
要求多重要素驗證和要求驗證強度不能一起使用在同一個條件式存取原則 中 - 這兩個條件式存取授與控件不能一起使用,因為內建驗證強度 Multifactor Authentication 相當於 需要多重要素驗證 授與控制。
驗證強度 目前不支持的驗證方法 - 電子郵件一次性傳遞(來賓) 驗證方法未包含在可用的組合中。
Windows Hello 企業版 – 如果使用者以 Windows Hello 企業版 登入做為其主要驗證方法,它可以用來滿足包含 Windows Hello 企業版 的驗證強度需求。 不過,如果使用者以密碼作為主要驗證方法登入,而驗證強度需要 Windows Hello 企業版,則不會提示使用者以 Windows Hello 企業版 登入。 用戶必須重新啟動會話,選擇 [登入選項],然後選取驗證強度所需的方法。
已知問題
- FIDO2 安全性密鑰進階選項 - 對於位於資源租使用者不同 Microsoft 雲端的外部使用者,不支援進階選項 。
常見問題集
我應該使用驗證強度或驗證方法原則嗎?
驗證強度是以驗證方法原則為基礎。 驗證方法原則可協助設定特定使用者和群組跨 Microsoft Entra 識別碼使用的驗證方法範圍和設定。 驗證強度允許特定案例的另一個限制方法,例如敏感性資源存取、用戶風險、位置等等。
例如,Contoso 的系統管理員想要允許使用者搭配推播通知或無密碼驗證模式使用 Microsoft Authenticator。 系統管理員會移至驗證方法原則中的 Microsoft Authenticator 設定、設定相關使用者的原則範圍,並將驗證模式設定為 [任何]。
然後,針對 Contoso 最敏感的資源,系統管理員想要限制只有無密碼驗證方法的存取權。 系統管理員會使用內 建的無密碼 MFA 強度來建立新的條件式存取原則。
因此,Contoso 中的使用者可以使用來自 Microsoft Authenticator 的密碼 + 推播通知,或只使用 Microsoft Authenticator 存取租使用者中的大部分資源(電話登入)。 不過,當租使用者中的使用者存取敏感性應用程式時,他們必須使用 Microsoft Authenticator(手機登入)。
必要條件
- Microsoft Entra ID P1 - 您的租用戶必須有 Microsoft Entra ID P1 授權才能使用條件式存取。 如有需要,您可以啟用 免費試用。
- 啟用合併註冊 - 使用合併 MFA 和 SSPR 註冊時,支援驗證強度。 使用舊版註冊會導致用戶體驗不佳,因為使用者可能會註冊驗證方法原則不需要的方法。