運作方式:Azure AD Multi-Factor Authentication

多重要素驗證程序指的是,使用者在登入過程中經提示而提供其他形式的識別,例如,在其行動電話上輸入代碼或提供指紋掃描。

如果僅使用密碼來驗證使用者,將會有不安全的媒介可能遭到攻擊。 如果密碼薄弱或已在別處公開,則攻擊者可能會使用其來取得存取權。 當您要求第二種形式的驗證時,安全性將會提高,因為這項額外的因素並不容易讓攻擊者取得或複製。

Conceptual image of the various forms of multi-factor authentication.

Azure AD Multi-Factor Authentication 的運作需要下列二種或更多的驗證方法:

  • 您知道的某些資訊 (通常是密碼)。
  • 您擁有的某些資訊,例如不容易複製的信任裝置 (如電話或硬體金鑰)。
  • 代表您個人身分的某些資訊 - 指紋或臉部掃描之類的生物識別特徵。

Azure AD Multi-Factor Authentication 也可以進一步保護密碼重設。 當使用者為自己註冊 Azure AD Multi-Factor Authentication 時,他們也可以在一個步驟中註冊自助式密碼重設。 管理員可以選擇次要驗證的形式,並根據設定決策來設定 MFA 的挑戰。

您不需要變更應用程式和服務,就能使用 Azure AD Multi-Factor Authentication。 驗證提示是 Azure AD 登入的一部分,可在需要時自動要求和處理 MFA 挑戰。

注意

提示語言會由瀏覽器地區設定所決定。 如果您使用自訂問候語,但在瀏覽器地區設定中找不到語言,則預設會使用英文。 網路原則伺服器 (NPS) 預設一律會使用英文版,無論自訂問候語為何。 如果無法識別瀏覽器地區設定,預設也會使用英文。

MFA sign-in screen.

可用的驗證方法

當使用者登入應用程式或服務並收到 MFA 提示時,他們可以選擇其中一個已註冊的額外驗證形式。 使用者可以存取我的設定檔,以編輯或新增驗證方法。

下列其他形式的驗證可搭配 Azure AD Multi-Factor Authentication 使用:

  • Microsoft Authenticator 應用程式
  • Windows Hello 企業版
  • FIDO2 安全性金鑰
  • OATH 硬體權杖 (預覽)
  • OATH 軟體權杖
  • SMS
  • 語音通話

如何啟用及使用 Azure AD Multi-Factor Authentication

您可以在 Azure AD 租用戶中使用安全性預設值,以快速啟用所有使用者的 Microsoft Authenticator。 您可以啟用 Azure AD Multi-Factor Authentication,在登入期間提示使用者和群組進行額外的驗證。

如需更細微的控制,您可以使用條件式存取原則來定義需要 MFA 的事件或應用程式。 這些原則可公司網路或已註冊裝置上的使用者進行一般登入,但針對位於遠端或個人裝置的使用者,提示輸入其他驗證因素。

Diagram that shows how Conditional Access works to secure the sign-in process.

後續步驟

若要了解授權,請參閱 Azure AD Multi-Factor Authentication 的功能與授權

若要深入了解不同的驗證和驗證方法,請參閱 Azure Active Directory 中的驗證方法

若要查看作用中的 MFA,請在下列教學課程中為一組測試使用者啟用 Azure AD Multi-Factor Authentication: