運作方式: Azure AD Multi-Factor Authentication

多重要素驗證是使用者在登入過程中經提示而提供其他形式的識別 (例如,在其行動電話上輸入代碼或提供指紋掃描) 的程序。

如果僅使用密碼來驗證使用者,將會有不安全的媒介可能遭到攻擊。 如果密碼不嚴謹或已於他處公開,那麼以使用者名稱和密碼登入的究竟是使用者,還是攻擊者? 當您要求第二種形式的驗證時,安全性將會增加,因為這項額外的因素並不容易讓攻擊者取得或複製。

不同多重要素驗證形式的概念影像

Azure AD Multi-Factor Authentication 的運作需要下列二種或更多的驗證方法:

  • 您知道的某些資訊 (通常是密碼)。
  • 您擁有的某些資訊,例如不容易複製的信任裝置 (如電話或硬體金鑰)。
  • 代表您個人身分的某些資訊 - 指紋或臉部掃描之類的生物識別特徵。

Azure AD Multi-Factor Authentication 也可以進一步保護密碼重設。 當使用者自行註冊 Azure AD Multi-Factor Authentication 時,他們也可以在一個步驟中註冊自助式密碼重設。 系統管理員可以選擇次要驗證的形式,並根據設定決策來設定 MFA 的挑戰。

應用程式和服務不需要變更,即可使用 Azure AD Multi-Factor Authentication。 驗證提示是 Azure AD 登入事件的一部分,可在必要時自動要求和處理 MFA 挑戰。

在 [登入] 畫面使用中的驗證方法

可用的驗證方法

當使用者登入應用程式或服務並收到 MFA 提示時,他們可以選擇其中一個已註冊的額外驗證形式。 使用者可以存取 我的設定檔 ,以編輯或新增驗證方法。

下列其他形式的驗證可搭配 Azure AD Multi-Factor Authentication 使用:

  • Microsoft Authenticator 應用程式
  • OATH 硬體權杖 (預覽)
  • OATH 軟體權杖
  • SMS
  • 語音通話

如何啟用和使用 Azure AD Multi-Factor Authentication

所有 Azure AD 租使用者都可以使用安全性預設值,為所有使用者快速啟用 Microsoft Authenticator。 您可以啟用 Azure AD Multi-Factor Authentication 的使用者和群組,在登入事件期間提示進行額外的驗證。

如需更細微的控制,可以使用 條件式存取 原則來定義需要 MFA 的事件或應用程式。 當使用者在公司網路或已註冊的裝置上時,這些原則可以允許一般登入事件,但會在遠端或個人裝置上提示輸入其他驗證因素。

條件式存取如何運作以保護登入程序的概觀圖表

後續步驟

若要瞭解授權,請參閱 Azure AD Multi-Factor Authentication 的功能與授權。

若要深入瞭解不同的驗證和驗證方法,請參閱Azure Active Directory 中的驗證方法

若要查看作用中的 MFA,請在下列教學課程中啟用一組測試使用者的 Azure AD Multi-Factor Authentication: