運作方式: Azure AD Multi-Factor Authentication

多重要素驗證是使用者在登入過程中經提示而提供其他形式的識別 (例如,在其行動電話上輸入代碼或提供指紋掃描) 的程序。

如果僅使用密碼來驗證使用者,將會有不安全的媒介可能遭到攻擊。 如果密碼不嚴謹或已於他處公開,那麼以使用者名稱和密碼登入的究竟是使用者,還是攻擊者? 當您要求第二種形式的驗證時,安全性將會增加,因為這項額外的因素並不容易讓攻擊者取得或複製。

不同多重要素驗證形式的概念影像

Azure AD Multi-Factor Authentication 的運作需要下列二種或更多的驗證方法:

  • 您知道的某些資訊 (通常是密碼)。
  • 您擁有的某些資訊,例如不容易複製的信任裝置 (如電話或硬體金鑰)。
  • 代表您個人身分的某些資訊 - 指紋或臉部掃描之類的生物識別特徵。

使用者可以在單一步驟中將其身分註冊至自助式密碼重設和 Azure AD Multi-Factor Authentication,以簡化上線體驗。 系統管理員可定義可以使用的次要驗證形式。 在使用者執行自助式密碼重設以進一步保護該程序時,也可以要求 Azure AD Multi-Factor Authentication。

在 [登入] 畫面使用中的驗證方法

Azure AD Multi-Factor Authentication 可協助保護資料和應用程式的存取,同時為使用者保持簡單性。 它藉由要求第二種形式的驗證來提供額外的安全性,並透過一系列易於使用的驗證方法來提供增強式驗證。 因管理員所做的設定決定不同,使用者可能必須也可能無須通過 MFA。

您的應用程式或服務不需要進行任何變更,即可使用 Azure AD Multi-Factor Authentication。 驗證提示是 Azure AD 登入事件的一部分,可在必要時自動要求和處理 MFA 挑戰。

可用的驗證方法

當使用者登入應用程式或服務並收到 MFA 提示時,他們可以選擇其中一個已註冊的額外驗證形式。 系統管理員可能需要註冊這些 Azure AD Multi-Factor Authentication 驗證方法,或者使用者可以存取自己的 設定檔 來編輯或新增驗證方法。

下列其他形式的驗證可搭配 Azure AD Multi-Factor Authentication 使用:

  • Microsoft Authenticator 應用程式
  • OATH 硬體權杖
  • SMS
  • 語音通話

如何啟用和使用 Azure AD Multi-Factor Authentication

您可以啟用 Azure AD Multi-Factor Authentication 的使用者和群組,在登入事件期間提示進行額外的驗證。 所有 Azure AD 租使用者都可以使用安全性預設值,以快速啟用所有使用者的 Microsoft Authenticator 應用程式。

如需更細微的控制,可以使用 條件式存取 原則來定義需要 MFA 的事件或應用程式。 當使用者在公司網路或已註冊的裝置上時,這些原則可以允許一般登入事件,但會在遠端或個人裝置上提示輸入其他驗證因素。

條件式存取如何運作以保護登入程序的概觀圖表

下一步

若要瞭解授權,請參閱 Azure AD Multi-Factor Authentication 的功能與授權。

若要查看作用中的 MFA,請在下列教學課程中啟用一組測試使用者的 Azure AD Multi-Factor Authentication: