認證是一種安全程序,會在授權使用者存取應用程式、服務、裝置或網路前驗證其身份。
Microsoft Entra ID 支援的認證方法
下表說明何時可使用一種認證方法進行主要驗證(第一因素)、Microsoft Entra 多重驗證(MFA)、自助密碼重設(SSPR)或帳號恢復。
| 方法 | 主要驗證 | 次要驗證 | SSPR / 帳號恢復 |
|---|---|---|---|
| Authenticator 精簡版 | 否 | MFA | 否 |
| 憑證式驗證 | Yes | MFA | 否 |
| 電子郵件一次性密碼(OTP) | 否 | SSPR與登入2 | SSPR |
| 外部多因素驗證 | 否 | MFA | 否 |
| 硬體 OATH 令牌(預覽) | 否 | MFA | SSPR |
| Microsoft Authenticator 無密碼 | Yes | 否 | 否 |
| Microsoft Authenticator 推播通知 | Yes | MFA | SSPR |
| Passkey (FIDO2) | Yes | MFA | 否 |
| Microsoft Authenticator 中的 Passkey | Yes | MFA | 否 |
| 密碼 | Yes | 否 | 否 |
| 適用於 macOS 的 |
Yes | MFA | 否 |
| QR 碼 | Yes | 否 | 否 |
| 簡訊登入 | Yes | MFA | SSPR |
| 軟體 OATH 令牌 | 否 | MFA | SSPR |
| 同步通行金鑰 | Yes | MFA | 否 |
| 臨時存取密碼 (TAP) | Yes | MFA | 否 |
| 驗證身分證3 | 否 | 否 | 帳戶復原 |
| 語音通話 | 否 | MFA | SSPR |
| Windows Hello 企業版 | Yes | MFA1 | 否 |
1若使用者啟用通行金鑰(FIDO2)且註冊通行金鑰,Windows Hello 企業版 可作為升級的多重驗證憑證。
2租戶會員可使用電子郵件 OTP,方便自助重設密碼(SSPR)。 你也可以設定讓 訪客使用者登入。
3驗證身份是一種身份驗證功能,而非傳統的認證方法。 它提供帳號恢復的身份證明,但無法用於登入、多重身份驗證(MFA)或 SSPR。
抗釣魚驗證方法
雖然傳統的多重認證(MFA)搭配簡訊、電子郵件 OTP 或驗證器應用程式,比起僅用密碼系統大幅提升安全性,但這些選項帶來阻力——使用者需要額外步驟,例如輸入驗證碼、核准推播通知或使用驗證器應用程式。 此外,這些多因素身份驗證選項容易遭受遠端網路釣魚攻擊。 在遠端網路釣魚攻擊中,攻擊者利用社交工程與人工智慧驅動工具,在無法實體存取使用者裝置的情況下竊取身份憑證——如密碼或一次性驗證碼。
Microsoft 建議使用抗釣魚的認證方法,如 Windows Hello 企業版、通行金鑰(FIDO2)及 FIDO2 安全金鑰,或憑證基礎驗證(CBA),因為它們提供最安全的登入體驗。
以下在 Microsoft Entra ID 中可用的防釣魚驗證方法:
- Windows Hello 企業版
- 適用於 macOS 的平台認證
- 同步通行金鑰(FIDO2)
- FIDO2 安全性金鑰
- Microsoft Authenticator 中的通行金鑰
- 憑證式驗證 (CBA)
驗證的身份認證
驗證身份驗證是 Microsoft Entra ID 中的一種身份驗證功能,而非傳統的認證方法。 它無法用來滿足登入、多重驗證或 SSPR 等認證要求。 相反地,Verified ID 提供用戶驗證身份的密碼學證明,適用於必須重建信任的情況,例如所有認證方法都失效時的帳號恢復。
身份驗證設定檔控制哪些使用者可以參與驗證身份流程、哪家提供者執行驗證,以及身份聲明如何驗證。 管理員可以藉由 Microsoft Entra 系統管理中心 中的帳戶恢復設定精靈來設定設定檔。驗證 ID 政策頁面則提供有關設定檔指派與全域排除項目的可見性。
欲了解更多資訊,請參閱 已驗證身份驗證的總覽。
高安全性帳號恢復
帳號恢復是幫助那些失去所有憑證且無法再存取帳號的使用者的過程。 傳統上,使用者會致電客服中心,回答問題以驗證身份,客服台會重置他們的憑證。 Microsoft Entra ID 現支援政府核發的身分驗證,並結合生物特徵匹配,實現高保證的帳戶復原——免除客服介入的需求,並消除社會工程風險。
組織可透過Microsoft 安全性 Store選擇領先的身份驗證供應商(IDV)。 這些合作夥伴提供涵蓋192個國家/地區的服務,並對大多數政府核發的身分證件(包括駕照和護照)提供遠端驗證。 Microsoft Entra 驗證識別碼 Face Check,由 Azure AI 服務 支援,透過將使用者的即時自拍與身份文件中的照片比對,驗證存在證明。 僅共享配對結果,不包含敏感身份資料,這不僅保護用戶隱私,也提供強有力的身份保證。