Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
多重身份验证是一种过程。在该过程中,系统会在用户登录时提示其输入其他形式的标识,例如在其手机上输入代码或提供指纹扫描。
如果只使用密码对用户进行身份验证,则会留下不安全的矢量,容易受到攻击。 如果密码较弱或已在其他位置公开,攻击者可能会使用该密码获取访问权限。 当需要另一种形式的身份验证时,安全性会提高,因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。
Microsoft Entra多重身份验证的工作原理是需要以下两种或多种身份验证方法:
- 你所知道的某个信息,通常为密码。
- 你有的某样东西,例如无法轻易复制的可信设备,如电话或硬件密钥。
- 自身的特征 - 生物识别,如指纹或面部扫描。
Microsoft Entra多重身份验证还可以进一步保护密码重置。 当用户注册Microsoft Entra多重身份验证时,还可以在一个步骤中注册自助密码重置。 管理员可以选择二次身份验证的形式,并可基于配置决策为 MFA 配置挑战。
无需更改应用和服务以使用Microsoft Entra多重身份验证。 验证提示是Microsoft Entra登录的一部分,在需要时会自动请求和处理 MFA 质询。
注意
提示语言由浏览器区域设置决定。 如果使用自定义问候语,但又未对浏览器区域设置中标识的语言设置对应的自定义问候语,则默认使用英语。 默认情况下,无论自定义问候语使用何种语言,网络策略服务器 (NPS) 都将始终使用英语。 如果无法识别浏览器区域设置,也会默认使用英语。
可用的验证方法
当用户登录应用程序或服务并收到 MFA 提示时,他们可以从其注册的附加验证形式中选择一个来进行验证。
以下附加形式的验证可用于Microsoft Entra多重身份验证:
- Microsoft Authenticator
- 短信
- 语音呼叫
如何启用和使用Microsoft Entra多重身份验证
可以在Microsoft Entra租户中使用 security defaults,以便为所有用户快速启用Microsoft Authenticator。 可以启用Microsoft Entra多重身份验证,以便在登录期间提示用户和组进行其他验证。
如需进行更精细地控制,可使用条件访问策略来定义需要 MFA 的事件或应用程序。 通过使用这些策略,你便可在用户使用企业网络或已注册的设备时,允许其执行常规登录,但在用户远程访问或使用个人设备时提示其进行附加验证。
相关内容
若要详细了解不同的身份验证和认证方法,请参阅 Microsoft Entra ID 中的身份验证方法。
若要查看 MFA 的操作,请为以下教程中的一组测试用户启用Microsoft Entra多重身份验证: