Azure Active Directory 中有哪些可用的身份驗證和驗證方法？

作為Azure Active Directory(Azure AD)中帳戶的登錄體驗的一部分，用戶可以通過不同的方式進(jìn)行身份驗證。用戶名和密碼是用戶歷來提供憑據(jù)的最常見方式。通過Azure AD中的新式身份驗證和安全功能，應(yīng)通過更安全的身份驗證方法來補充或替換基本密碼。

無密碼身份驗證方法（例如Windows Hello、FIDO2安全密鑰和Microsoft Authenticator應(yīng)用）提供最安全的登錄事件。

Azure AD多重身份驗證(MFA)只在用戶登錄時使用密碼添加了額外的安全性。系統(tǒng)可能會提示用戶提供其他形式的身份驗證，例如響應(yīng)推送通知、輸入軟件或硬件令牌中的代碼或響應(yīng)短信或電話唿叫。

若要簡化用戶的登錄體驗并注冊MFA和自助服務(wù)密碼重置(SSPR)，建議啟用組合的安全信息注冊。對于復(fù)原功能，建議您要求用戶注冊多個身份驗證方法。如果在登錄或SSPR期間一個方法不可用于用戶，則他們可以選擇使用其他方法進(jìn)行身份驗證。有關(guān)詳細(xì)信息，請參閱在Azure AD中創(chuàng)建彈性訪問控制管理策略。

下面是我們創(chuàng)建的視頻，旨在幫助你選擇最佳的身份驗證方法來保護組織的安全。

身份驗證方法強度和安全性

當(dāng)你在組織中部署Azure AD多重身份驗證等功能時，請查看可用的身份驗證方法。根據(jù)安全性、可用性和可用性，選擇滿足或超出要求的方法。如果可能，請使用身份驗證方法和最高安全級別。

下表概述了可用的身份驗證方法的安全注意事項?？捎眯允侵赣脩艨梢允褂蒙矸蒡炞C方法，而不是Azure AD中服務(wù)可用性的指示：

有關(guān)安全性的最新信息，請查看我們的博客文章：

需要在電話傳輸上掛起身份驗證

身份驗證漏洞和攻擊媒介

提示

為實現(xiàn)靈活性和可用性，我們建議使用Microsoft Authenticator應(yīng)用。此身份驗證方法提供最佳用戶體驗和多種模式，如無密碼、MFA推送通知和OATH代碼。

每種身份驗證方法的工作方式

登錄到應(yīng)用程序或設(shè)備時，某些身份驗證方法可用作主要因素，如使用FIDO2安全密鑰或密碼。當(dāng)你使用Azure AD多重身份驗證或SSPR時，其他身份驗證方法只用作輔助因素。

下表概述了在登錄事件期間可以使用身份驗證方法的時間：

所有這些身份驗證方法都可以在Azure門戶中進(jìn)行配置，并且在更多情況下都使用Microsoft Graph REST API beta版。

若要詳細(xì)了解每種身份驗證方法的工作方式，請參閱以下單獨的概念文章：

·Windows Hello for Business

·Microsoft Authenticator應(yīng)用

·FIDO2安全密鑰

·OATH硬件令牌

·OATH軟件令牌

·SMS登錄和驗證

·語音唿叫驗證

·密碼

備注

在Azure AD中，密碼通常是主要身份驗證方法之一。不能禁用密碼身份驗證方法。如果使用密碼作為主要身份驗證因素，請使用Azure AD多重身份驗證提高登錄事件的安全性。

在某些情況下，可以使用以下附加驗證方法：

·應(yīng)用密碼-用于不支持新式身份驗證的舊應(yīng)用程序，并且可以配置為按用戶Azure AD多重身份驗證。

·安全問題-僅用于SSPR

·電子郵件地址-僅用于SSPR