Azure Active Directory 中有哪些可用的驗證方法?

Microsoft 建議無密碼驗證方法(例如 Windows Hello、FIDO2 安全性金鑰和 Microsoft Authenticator 應用程式),因為它們提供最安全的登入體驗。 雖然使用者可以使用其他常見的方法(例如使用者名稱和密碼)進行登入,但您應該使用更安全的驗證方法來取代密碼。

Azure AD 中強度和慣用驗證方法的表格

Azure AD Multi-Factor Authentication (MFA) 在僅使用密碼的使用者登入之上,新增額外的安全性。 系統會提示使用者輸入其他形式的驗證,例如回應推播通知、輸入軟體或硬體權杖中的代碼,或回應簡訊或來電。

為了簡化使用者的上線體驗,並註冊 MFA 和自助式密碼重設 (SSPR) ,我們建議您 啟用合併的安全性資訊註冊。 為了復原目的,建議您要求使用者註冊多個驗證方法。 使用者在登入或 SSPR 期間若無法使用其中一種方法,即可選擇使用其他方法進行驗證。 如需詳細資訊,請參閱 Azure AD 中的建立復原存取控制管理原則

以下是我們所建立的 影片 ,可協助您選擇最佳的驗證方法,讓您的組織保持安全。

驗證方法強度和安全性

當您在組織中部署 Azure AD Multi-Factor Authentication 之類的功能時,請參閱可用的驗證方法。 根據安全性、使用性和可用性,選擇符合或超越您需求的方法。 可能的話,請使用具有最高層級安全性的驗證方法。

下表概述可用驗證方法的安全性考量。 可用性是指使用者可以使用驗證方法,而不是 Azure AD 中的服務可用性:

驗證方法 安全性 可用性 可用性
Windows Hello 企業版
Microsoft Authenticator 應用程式
FIDO2 安全性金鑰
OATH 硬體權杖 (預覽) 適中 適中
OATH 軟體權杖 適中 適中
SMS
語音 適中 適中 適中
密碼 低度

如需有關安全性的最新資訊,請參閱我們的 blog 文章:

提示

為了彈性和使用性,我們建議您使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。

每個驗證方法的運作方式

當您登入應用程式或裝置時(例如使用 FIDO2 安全性金鑰或密碼),某些驗證方法可用來作為主要因素。 當您使用 Azure AD Multi-Factor Authentication 或 SSPR 時,其他驗證方法只會作為次要因素。

下表概述在登入事件期間可以使用驗證方法的時機:

方法 主要驗證 次要驗證
Windows Hello 企業版 MFA
Microsoft Authenticator 應用程式 Yes MFA 和 SSPR
FIDO2 安全性金鑰 MFA
OATH 硬體權杖 (預覽) MFA 和 SSPR
OATH 軟體權杖 MFA 和 SSPR
SMS Yes MFA 和 SSPR
語音通話 MFA 和 SSPR
密碼

所有這些驗證方法都可以在 Azure 入口網站中設定,而且逐漸使用Microsoft Graph REST API

若要深入瞭解每個驗證方法的運作方式,請參閱下列個別的概念性文章:

注意

在 Azure AD 中,密碼通常是其中一種主要驗證方法。 您無法停用密碼驗證方法。 如果您使用密碼作為主要驗證因素,請使用 Azure AD Multi-Factor Authentication 來提高登入事件的安全性。

下列其他驗證方法可用於某些案例:

後續步驟

若要開始使用,請參閱自助式密碼重設 (SSPR) 的教學課程Azure AD Multi-Factor Authentication

若要深入了解 SSPR 概念,請參閱 Azure AD 自助式密碼重設的運作方式

若要深入瞭解 MFA 概念,請參閱 Azure AD Multi-Factor Authentication 的運作方式

深入瞭解如何使用Microsoft Graph REST API來設定驗證方法。

若要查看使用中的驗證方法,請參閱使用 PowerShell Azure AD Multi-Factor Authentication 驗證方法分析