認證是在授權存取資源、應用程式、服務、裝置或網路之前,驗證個人身份的過程。 這是系統在使用者嘗試登入時,確保他們的身份如他們所述的。
Microsoft Entra ID 支援的認證方法
下表說明何時可使用認證方法進行主要或第一因素驗證,次要因素驗證(使用 Microsoft Entra 多重認證 MFA)時,以及自助密碼重設(SSPR)。
| 方法 | 主要驗證 | 次要驗證 |
|---|---|---|
| Windows Hello 企業版 | Yes | MFA1 |
| 適用於 macOS 的 |
Yes | MFA |
| Passkey (FIDO2) | Yes | MFA |
| Microsoft Authenticator 中的 Passkey | Yes | MFA |
| 同步通行金鑰(預覽) | Yes | MFA |
| 憑證式驗證 | Yes | MFA |
| Microsoft Authenticator 無密碼 | Yes | 否 |
| Microsoft Authenticator 推播通知 | Yes | MFA 和 SSPR |
| Authenticator 精簡版 | 否 | MFA |
| 硬體 OATH 令牌(預覽) | 否 | MFA 和 SSPR |
| 軟體 OATH 令牌 | 否 | MFA 和 SSPR |
| 外部驗證方法 (預覽) | 否 | MFA |
| 臨時存取密碼 (TAP) | Yes | MFA |
| 簡訊服務(SMS)登入 | Yes | MFA 和 SSPR |
| 語音通話 | 否 | MFA 和 SSPR |
| QR 碼 | Yes | 否 |
| 電子郵件一次性密碼(OTP) | 否 | SSPR與登入2 |
| 密碼 | Yes | 否 |
1若使用者啟用通行金鑰(FIDO2)且註冊通行金鑰,Windows Hello for Business 可作為升級的多重驗證憑證。
2租戶會員可使用電子郵件 OTP,用於 Self-Service 密碼恢復(SSPR)。 也可以設定為讓 訪客使用者登入。
抗釣魚驗證方法
雖然傳統的多重身份驗證(MFA)搭配簡訊、電子郵件 OTP 或驗證器應用程式,顯著提升了僅用密碼系統的安全性,但這些選項帶來摩擦——使用者需要額外步驟,例如輸入驗證碼、批准推播通知或使用驗證器應用程式。 此外,這些多重驗證選項容易遭受遠端網路釣魚攻擊。 遠端網路釣魚是指攻擊者利用社交工程與人工智慧工具,在無法實體存取使用者裝置的情況下竊取身份憑證,如密碼或一次性驗證碼。
Microsoft 建議使用抗釣魚的認證方法,如 Windows Hello for Business、通行金鑰(FIDO2)及 FIDO2 安全金鑰,或憑證基礎驗證(CBA),因為它們提供最安全的登入體驗。
以下防網路釣魚的認證方法可在 Microsoft Entra ID 中使用。
- Windows Hello 企業版
- 適用於 macOS 的平台認證
- 同步通行金鑰(FIDO2)(預覽)
- FIDO2 安全性金鑰
- Microsoft Authenticator 中的通行金鑰
- 基於憑證的認證(CBA)
高安全性帳戶恢復
帳號恢復是指使用者失去所有憑證,無法再存取帳號的過程。 傳統協助使用者恢復憑證的方式是用戶致電客服台,回答一些問題以驗證身份,客服台則能重置憑證。 Microsoft Entra ID 現已支援政府核發的身分證與生物辨識驗證,提供 AI 驅動的生物辨識與政府核發的證件比對,實現高保證的帳戶復原。
組織可透過 Microsoft Security Store 選擇領先的身份驗證供應商(IDV):Idemia、Lexis Nesis 與 Au10tix。 這些合作夥伴提供覆蓋192個國家/地區的服務,並支援大多數政府核發的身份證件(Gov ID)文件,包括駕照與護照的遠端驗證。 Entra 驗證身份臉部檢查由 Azure AI 服務驅動,透過匹配用戶的即時自拍與身份文件中的照片,增加關鍵的信任層。 Face Check 僅分享配對結果而非敏感身份資料,提升用戶隱私,同時讓企業確認聲稱身份的人確實是他們本人。
啟用此功能後,使用者能輕鬆且安全地重新存取帳號,實現原生整合的端對端流程。 欲了解更多資訊,請參閱 Microsoft Entra ID 帳戶復原概述。