您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

NIST 验证器类型和相应的 Azure Active Directory 方法

当请求方声称其控制了与订阅者关联的一个或多个验证器时,会开始身份验证过程。 订阅者可以是人员,也可以是其他实体。

美国国家标准与技术研究院 (NIST) 身份验证器类型 Azure Active Directory (Azure AD) 身份验证方法
记住的密码
(已知内容)
密码(云帐户)
密码(联合)
密码(密码哈希同步)
密码(直通身份验证)
查找机密
(已有内容)
无。 根据定义,查找秘密是未保存在系统中的数据。
带外
(已有内容)
电话 (SMS) - 不建议
单因素一次性密码
(已有内容)
Microsoft Authenticator 应用(一次性密码)
单因素一次性密码(通过 OTP 制造商)1
多因素一次性密码
(已有内容 + 已知内容或表明身份的内容)
多因素一次性密码(由 OTP 制造商提供)1
单因素加密软件
(已有内容)
兼容的移动设备
Microsoft Authenticator 应用(通知)
已联接软件 TPM 的混合 Azure AD2
已联接软件 TPM 的 Azure AD2
单因素加密硬件
(已有内容)
已联接硬件 TPM 的 Azure AD2
已联接硬件 TPM 的混合 Azure AD2
多因素加密软件
(已有内容 + 已知内容或表明身份的内容)
适用于 iOS 的 Microsoft Authenticator 应用(无密码)
带软件 TPM 的 Windows Hello 企业版
多因素加密硬件
(已有内容 + 已知内容或表明身份的内容)
适用于 Android 的 Microsoft Authenticator 应用(无密码)
带硬件 TPM 的 Windows Hello 企业版
智能卡(联合标识提供程序)
FIDO 2 安全密钥

1 30 秒或 60 秒的 OATH-TOTP SHA-1 令牌。

2 有关设备联接状态的详细信息,请参阅 Azure AD 设备标识文档

SMS 短信虽符合 NIST 标准,但 NIST 并不建议使用。 设备交换、SIM 更改、数字移植和其他行为所面临的风险可能引发问题。 如果恶意执行这些操作,则可能会导致不安全的体验。 尽管不建议使用 SMS 文本信息,但这种方式比只使用密码要好,因为它们需要黑客耗费更多的精力。

后续步骤

NIST 概述

了解 AAL

身份验证基础知识

NIST 验证器类型

使用 Azure AD 满足 NIST AAL1 要求

使用 Azure AD 满足 NIST AAL2 要求

使用 Azure AD 满足 NIST AAL3 要求