身份验证是在授予对资源、应用程序、服务、设备或网络的访问权限之前验证人员的标识的过程。 系统如何确保用户在尝试登录时验证他们的身份。
Microsoft Entra ID 支持的身份验证方法
下表概述了何时可以使用身份验证方法进行主要或第一因素身份验证、使用 Microsoft Entra 多重身份验证(MFA)和自助密码重置(SSPR)时进行辅助因素身份验证。
| 方法 | 主要身份验证 | 辅助身份验证 |
|---|---|---|
| Windows Hello 企业版 | 是的 | MFA1 |
| 适用于 macOS 的平台凭据 | 是的 | MFA |
| Microsoft验证器无密码 | 是的 | 否 |
| Microsoft Authenticator 推送通知 | 是的 | MFA 和 SSPR |
| 软件 OATH 令牌 | 否 | MFA 和 SSPR |
| 外部身份验证方法(预览版) | 否 | MFA |
| 临时访问密码 (TAP) | 是的 | MFA |
| 短信服务(短信)登录 | 是的 | MFA 和 SSPR |
| 语音通话 | 否 | MFA 和 SSPR |
| 密码 | 是的 | 否 |
1如果用户启用了 密钥(FIDO2)并且已注册密钥,那么 Windows Hello 企业版可以作为升级 MFA 凭据使用。
防钓鱼身份验证方法
虽然传统 MFA 与短信、电子邮件 OTP 或验证器应用显著提高了对仅密码系统的安全性,但这些选项引入了摩擦,这需要用户执行其他步骤,例如输入代码、批准推送通知或使用验证器应用。 此外,MFA 的这些选项很容易受到远程网络钓鱼攻击。 远程网络钓鱼是攻击者使用社交工程和 AI 驱动的工具窃取标识凭据(如密码或一次性代码),而无需物理访问用户的设备。
Microsoft建议使用防钓鱼身份验证方法(如 Windows Hello 企业版),因为它们提供最安全的登录体验。
Microsoft Entra ID 中提供了以下防钓鱼身份验证方法。
- Windows Hello 企业版
- 适用于 macOS 的平台凭据