身份验证是一个安全过程,在授予对应用、服务、设备或网络的访问权限之前验证用户的标识。
Microsoft Entra ID 支持的身份验证方法
下表概述了何时可以使用身份验证方法进行主要身份验证(第一个因素)、使用Microsoft Entra多重身份验证(MFA)、自助密码重置(SSPR)或帐户恢复进行辅助身份验证。
| 方法 | 主要身份验证 | 辅助身份验证 | SSPR /帐户恢复 |
|---|---|---|---|
| Authenticator 精简版 | 否 | MFA | 否 |
| 基于证书的身份验证 | 是的 | MFA | 否 |
| 电子邮件 OTP | 否 | SSPR 和登录2 | SSPR |
| 外部多因素身份验证 (MFA) | 否 | MFA | 否 |
| 硬件 OATH 令牌(预览版) | 否 | MFA | SSPR |
| Microsoft验证器无密码 | 是的 | 否 | 否 |
| Microsoft Authenticator 推送通知 | 是的 | MFA | SSPR |
| Passkey (FIDO2) | 是的 | MFA | 否 |
| Microsoft Authenticator 中的 Passkey | 是的 | MFA | 否 |
| 密码 | 是的 | 否 | 否 |
| macOS 平台凭据 | 是的 | MFA | 否 |
| QR 码 | 是的 | 否 | 否 |
| 短信登录 | 是的 | MFA | SSPR |
| 软件 OATH 令牌 | 否 | MFA | SSPR |
| 同步的密钥 | 是的 | MFA | 否 |
| 临时访问密码 (TAP) | 是的 | MFA | 否 |
| 已验证 ID3 | 否 | 否 | 帐户恢复 |
| 语音通话 | 否 | MFA | SSPR |
| Windows Hello 企业版 | 是的 | MFA1 | 否 |
1如果用户启用了 密钥(FIDO2)并且已注册密钥,那么 Windows Hello 企业版可以作为升级 MFA 凭据使用。
2电子邮件 OTP 可用于 自助密码重置(SSPR)的租户成员。 还可以 为来宾用户进行登录配置。
3验证的 ID 是一种身份验证功能,而不是传统的身份验证方法。 它提供帐户恢复的标识证明,但不能用于登录、MFA 或 SSPR。
防钓鱼身份验证方法
虽然具有短信、电子邮件 OTP 或验证器应用的传统 MFA 极大地提高了对仅密码系统的安全性,但这些选项引入了摩擦,需要用户执行其他步骤,例如输入代码、批准推送通知或使用验证器应用。 此外,这些 MFA 选项很容易受到远程网络钓鱼攻击。 在远程网络钓鱼攻击中,攻击者使用社交工程和 AI 驱动的工具窃取标识凭据(如密码或一次性代码),而无需对用户的设备进行物理访问。
Microsoft建议使用防钓鱼身份验证方法,例如 Windows Hello 企业版、密码密钥(FIDO2)和 FIDO2 安全密钥或基于证书的身份验证(CBA),因为它们提供了最安全的登录体验。
Microsoft Entra ID中提供了以下防钓鱼身份验证方法:
- Windows Hello 企业版
- 适用于 macOS 的平台凭据
- 同步的通行密钥 (FIDO2)
- FIDO2 安全密钥
- Microsoft Authenticator 中的密码
- 基于证书的身份验证 (CBA)
已验证的 ID 标识验证
已验证 ID 是Microsoft Entra ID中的标识验证功能,而不是传统的身份验证方法。 它不能用于满足登录、MFA 或 SSPR 等身份验证要求。 相反,验证 ID 为必须重新建立信任的方案(例如,所有身份验证方法丢失时,帐户恢复)提供用户的验证标识的加密证明。
身份验证配置文件控制哪些用户可以参与已验证的 ID 流、哪些提供程序执行验证以及如何验证标识声明。 管理员通过 Microsoft Entra 管理中心的“帐户恢复”设置向导来配置档案,"已验证 ID 的策略"页可显示档案分配和全局排除项的可见性。
有关详细信息,请参阅 已验证的 ID 标识验证概述。
高安全性账户恢复
帐户恢复是帮助丢失所有凭据且无法再访问其帐户的用户的过程。 传统上,用户调用技术支持,回答问题以验证其身份,技术支持重置其凭据。 Microsoft Entra ID 现在支持通过生物识别匹配进行政府颁发的身份证明验证,实现高可靠性帐户恢复,同时消除对帮助台介入的需求并降低社会工程攻击风险。
组织可以通过 Microsoft 安全 Store 从领先的身份验证提供者(IDV)中进行选择。 这些合作伙伴在 192 个国家/地区提供覆盖范围,并为大多数政府颁发的身份证(包括驾照和护照)提供远程验证。 Microsoft Entra 验证 ID面部识别,由 Azure AI 服务提供支持,通过匹配用户的实时自拍与身份文档中的照片进行验证在场证明。 只有匹配结果是共享的(没有敏感的标识数据),后者在提供强大的标识保证的同时会保留用户隐私。