運作方式:Microsoft Entra 多重要素驗證

多重要素驗證是在登入過程中,提示使用者出示其他身分識別形式的程序,例如手機上輸入密碼或指紋掃描。

如果您只使用密碼來驗證使用者,則會留下不安全的攻擊媒介。 如果密碼弱式或已公開到別處,攻擊者可以使用它來取得存取權。 當您需要第二種形式的驗證時,安全性會增加,因為這個額外的因素並不容易讓攻擊者取得或複製。

Conceptual image of the various forms of multifactor authentication.

Microsoft Entra 多重要素驗證的運作方式是要求下列兩種或多個驗證方法:

  • 您知道的東西,通常是密碼。
  • 您擁有的專案,例如不容易複製的受信任裝置,例如手機或硬體金鑰。
  • 您是一些生物特徵辨識技術,例如指紋或臉部掃描。

Microsoft Entra 多重要素驗證也可以進一步保護密碼重設。 當使用者自行註冊 Microsoft Entra 多重要素驗證時,他們也可以在一個步驟中註冊自助式密碼重設。 管理員istrators 可以選擇次要驗證的形式,並根據設定決策來設定 MFA 的挑戰。

您不需要變更應用程式和服務,即可使用 Microsoft Entra 多重要素驗證。 驗證提示是 Microsoft Entra 登入的一部分,會在需要時自動要求及處理 MFA 挑戰。

注意

提示語言是由瀏覽器地區設定所決定。 如果您使用自訂問候語,但瀏覽器地區設定中識別的語言沒有自訂問候語,預設會使用英文。 不論自訂問候語為何,網路原則伺服器 (NPS) 預設一律會使用英文。 如果無法識別瀏覽器地區設定,則預設也會使用英文。

MFA sign-in screen.

可用的驗證方法

當使用者登入應用程式或服務並收到 MFA 提示時,他們可以從其中一種已註冊的其他驗證形式中選擇。 使用者可以存取 我的設定檔 來編輯或新增驗證方法。

下列其他形式的驗證可以搭配 Microsoft Entra 多重要素驗證使用:

  • Microsoft 驗證器
  • Authenticator Lite (在 Outlook 中)
  • Windows Hello 企業版
  • FIDO2 安全性金鑰
  • OATH 硬體權杖 (預覽)
  • OATH 軟體權杖
  • 簡訊
  • 語音通話

如何啟用及使用 Microsoft Entra 多重要素驗證

您可以在 Microsoft Entra 租使用者中使用 安全性預設值 ,快速為所有使用者啟用 Microsoft Authenticator。 您可以啟用 Microsoft Entra 多重要素驗證,以在登入期間提示使用者和群組進行其他驗證。

如需更細微的控制項,您可以使用 條件式存取 原則來定義需要 MFA 的事件或應用程式。 當使用者在公司網路或已註冊的裝置上時,這些原則可以允許定期登入,但在使用者是遠端或個人裝置時,提示輸入其他驗證因素。

Diagram that shows how Conditional Access works to secure the sign-in process.

下一步

若要瞭解授權,請參閱 Microsoft Entra 多重要素驗證 的功能和授權。

若要深入瞭解不同的驗證和驗證方法,請參閱 Microsoft Entra ID 中的驗證方法。

若要查看作用中的 MFA,請在下列教學課程中為一組測試使用者啟用 Microsoft Entra 多重要素驗證: