Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
身份验证是在授予对资源、应用程序、服务、设备或网络的访问权限之前验证人员的标识的过程。 系统如何确保用户在尝试登录时验证他们的身份。
Microsoft Entra ID支持的身份验证方法
下表概述了何时可以使用身份验证方法进行主要身份验证(第一个因素)、使用Microsoft Entra多重身份验证(MFA)和自助密码重置(SSPR)进行辅助身份验证。
| 方法 | 主要身份验证 | 辅助身份验证 |
|---|---|---|
| Windows Hello 企业版 | 是的 | MFA1 |
| macOS 平台凭据 | 是的 | MFA |
| Microsoft Authenticator无密码 | 是的 | 否 |
| Microsoft Authenticator推送通知 | 是的 | MFA 和 SSPR |
| 软件 OATH 令牌 | 否 | MFA 和 SSPR |
| 外部多因素身份验证 (MFA) | 否 | MFA |
| 临时访问密码 (TAP) | 是的 | MFA |
| 短信服务(短信)登录 | 是的 | MFA 和 SSPR |
| 语音通话 | 否 | MFA 和 SSPR |
| 电子邮件 OTP | 否 | SSPR 和登录2 |
| 密码 | 是的 | 否 |
1如果为用户启用了传输钥匙(FIDO2),并且该用户已注册传输钥匙,那么Windows Hello 企业版可以作为提升身份验证级别的MFA凭据。
2电子邮件 OTP 可用于 自助密码重置(SSPR)的租户成员。
防钓鱼身份验证方法
虽然传统 MFA 与短信、电子邮件 OTP 或验证器应用显著提高了对仅密码系统的安全性,但这些选项引入了摩擦,这需要用户执行其他步骤,例如输入代码、批准推送通知或使用验证器应用。 此外,这些 MFA 选项很容易受到远程网络钓鱼攻击。 在远程网络钓鱼攻击中,攻击者使用社交工程和 AI 驱动的工具窃取标识凭据(如密码或一次性代码),而无需对用户的设备进行物理访问。
Microsoft建议使用防钓鱼身份验证方法(例如Windows Hello 企业版),因为它们提供了最安全的登录体验。
Microsoft Entra ID中提供了以下防钓鱼身份验证方法。
- Windows Hello 企业版
- 适用于 macOS 的平台凭据