什么是Microsoft Entra 身份验证？

2025-10-11

标识平台的主要功能之一就是在用户登录到设备、应用程序或服务时，对凭据进行验证或身份验证。在Microsoft Entra ID 中，身份验证不仅仅是用户名和密码的验证。为了提高安全性并减少支持人员协助的需求，Microsoft Entra 身份验证包括以下组件：

自助式密码重置 (SSPR)
多重身份验证 (MFA)
混合集成，用于将密码更改写回本地环境
为本地环境强制实施密码保护策略的混合集成
无密码身份验证

对用户体验的改进

Microsoft Entra ID 可帮助保护用户的标识并简化其登录体验。 SSPR 等功能允许用户使用来自任何设备的 Web 浏览器更新或更改其密码。当用户忘记密码或帐户被锁定时，此功能特别有用。无需等待技术支持人员或管理员提供帮助，用户可以自行解除对自己的阻止并继续工作。

MFA 允许用户在登录期间选择其他形式的身份验证，例如电话呼叫或移动应用通知。此功能可减少单个固定形式的辅助身份验证（如硬件令牌）的要求。如果用户当前没有一种其他身份验证形式，则可以选择其他方法并继续工作。

显示登录屏幕上正在使用的身份验证方法的屏幕截图。

无密码身份验证无需用户创建和记住安全密码。 Windows Hello 企业版或 FIDO2 安全密钥等功能允许用户在没有密码的情况下登录到设备或应用程序。此功能可以减少跨环境管理密码的复杂性。

自助密码重置

借助 SSPR，用户无需管理员或技术支持参与即可更改或重置其密码。如果用户的帐户被锁定或忘记了密码，他们可以按照提示解锁并恢复工作。当用户无法登录到其设备或应用程序时，此功能可减少技术支持呼叫和工作效率损失。

SSPR 适用于以下方案：

密码更改：当用户知道密码但想要将其更改为新密码时。
密码重置：用户无法登录（例如，忘记密码后）并想要重置密码。
帐户解锁：当用户因帐户被锁定而无法登录时，并且用户想要解锁该帐户。

当用户使用 SSPR 更新或重置密码时，该密码也可以写回到本地 Active Directory 环境。密码写回可确保用户能够立即将更新的凭据用于本地设备和应用程序。

多重身份验证

多重身份验证是一个过程，在登录期间，系统会提示用户输入其他形式的标识。例如，系统会提示用户在手机上输入代码或提供指纹扫描。

如果仅使用密码对用户进行身份验证，则会留下不安全的攻击途径。如果密码弱或在其他位置公开，则是否确实是使用用户名和密码登录的用户，还是攻击者？需要第二种形式的身份验证会增加安全性，因为攻击者获取或复制此额外因素并不容易。

多重身份验证的各种形式的概念图。

Microsoft Entra MFA 的工作原理是需要以下两种或多种身份验证方法：

用户知道的内容，通常是密码
用户拥有的内容，例如受信任的设备或不容易复制的硬件密钥
用户的特征；也就是说，指纹或面部扫描等生物识别信息

用户可以在一个步骤中注册 SSPR 和 MFA，以简化载入体验。管理员可以定义要使用的辅助身份验证形式。当用户执行自助密码重置时，管理员还可以要求 MFA，以进一步保护该过程。

密码保护

默认情况下，Microsoft Entra ID 会阻止弱密码，例如 Password1。 Microsoft Entra ID 自动更新并强制实施已知弱的受禁密码列表。尝试将密码设置为其中一个弱密码的 Microsoft Entra 用户会收到一条通知，以选择更安全的密码。

若要提高安全性，可以定义用于密码保护的自定义策略。例如，这些策略可以使用筛选器来阻止包含 Contoso 等名称或伦敦等位置的密码的任何变体。

若要实现混合安全性，可以将 Microsoft Entra 密码保护与本地 Active Directory 环境集成。在本地环境中安装的组件接收受禁密码列表，以及来自 Microsoft Entra ID 的密码保护的自定义策略。然后，域控制器使用该信息来处理密码更改。此混合方法可确保无论用户如何或在哪里更改其凭据，都强制使用强密码。

无密码身份验证

许多环境的目标是删除密码作为登录事件的一部分。 Azure 密码保护或Microsoft Entra MFA 等功能有助于提高安全性，但用户名/密码组合仍然是可以公开或暴力攻击的弱身份验证形式。

图解展示了在身份验证过程中安全性与便利性的对比关系，以及如何实现无密码登录。

当用户在没有密码的情况下登录时，他们通过使用如下方法提供凭据：

使用 Windows Hello 企业版进行生物识别。
FIDO2 安全密钥。

攻击者无法轻易复制这些身份验证方法。

Microsoft Entra ID 提供了使用无密码的验证方法来原生进行身份验证，以简化用户的登录体验并降低攻击风险。

若要开始，请参阅 Microsoft Entra SSPR 的教程和 Microsoft Entra MFA 教程。
若要了解有关 SSPR 概念的详细信息，请参阅其工作原理：Microsoft Entra 自助式密码重置。
若要了解有关 MFA 概念的详细信息，请参阅其工作原理：Microsoft Entra 多重身份验证。

通过