NIST 驗證器類型和對齊的 Microsoft Entra 方法
當索賠者判斷其控制與訂閱者相關聯的其中一個驗證器時,驗證程式就會開始。 訂閱者是個人或另一個實體。 使用下表來了解國家標準與技術研究所 (NIST) 驗證器類型和相關聯的 Microsoft Entra 驗證方法。
NIST 驗證器類型 | Microsoft Entra 驗證方法 |
---|---|
記住的秘密 (你知道的東西) |
密碼:雲端帳戶、同盟、密碼哈希同步、傳遞驗證 |
查閱秘密 (你擁有的東西) |
無 |
頻外單因素 (你擁有的東西) |
Microsoft Authenticator 應用程式 (推播通知) 電話 (SMS):不建議 |
多因素頻外 (你擁有的東西 + 你知道的東西/是) |
Microsoft Authenticator 應用程式 (無密碼) |
單因素一次性密碼 (OTP) (你擁有的東西) |
Microsoft Authenticator 應用程式 (OTP) 單一因素硬體/軟體 OTP1 |
多重要素 OTP (你擁有的東西 + 你知道的東西/是) |
視為單一因素 OTP |
單一因素密碼編譯軟體 (你擁有的東西) |
單一因素軟體憑證 Microsoft Entra 已 加入 2 與軟體 TPM Microsoft Entra 混合式聯結 2 與軟體 TPM 符合規範的行動裝置 |
單一因素加密硬體 (你擁有的東西) |
Microsoft Entra 已 加入 2 與硬體 TPM Microsoft Entra 混合式聯結 2 與硬體 TPM |
多重要素密碼編譯軟體 (你擁有的東西 + 你知道的東西/是) |
多重要素軟體憑證 (PIN 保護) 使用軟體 TPM Windows Hello 企業版 |
多重要素加密硬體 (你擁有的東西 + 你知道的東西/是) |
受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) 使用硬體 TPM Windows Hello 企業版 FIDO 2 安全性金鑰 macOS 的平台認證 |
1 30 秒或 60 秒 OATH-TOTP SHA-1 令牌
2 如需裝置加入狀態的詳細資訊,請參閱 Microsoft Entra 裝置身分識別
不建議使用公用電話交換器網路 (PSTN) SMS/語音
NIST 不建議使用簡訊或語音。 裝置交換、SIM 變更、號碼移植和其他行為的風險可能會導致問題。 如果這些動作是惡意的,可能會導致不安全的體驗。 雖然不建議使用 SMS/Voice,但它們比只使用密碼更好,因為它們需要更多駭客的努力。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應