描述 Azure 驗證方法
「驗證」是建立個人、服務或裝置身分識別的流程。 需要人員、服務或裝置提供某種類型的認證來證明其身分。 驗證就像是出外旅行時出示的身分文件一樣。 它不會確認您是否具有票證,只能證明您具有文件上的身分。 Azure 支援多種驗證方法,包括標準密碼、單一登入 (SSO)、多重要素驗證 (MFA),以及無密碼。
長久以來,安全性和便利性之間就好似魚與熊掌,無法兼得。 幸好,新的驗證解決方案可同時提供安全性和便利性。
下圖顯示與便利性相比較的安全性層級。 請注意,無密碼驗證具有高安全性和高便利性,而密碼本身安全性較低,但也具有高便利性。
單一登入是什麼?
單一登入 (SSO) 功能讓使用者只要登入一次,即可使用該認證存取不同提供者提供的多種資源和應用程式。 若要讓 SSO 能夠運作,不同的應用程式和提供者必須信任初始驗證器。
更多身分識別意味著需要記住和變更更多密碼。 密碼原則會因應用程式而異。 隨著複雜性需求提高,會讓使用者越來越難以記住密碼。 使用者需要管理的密碼愈多,與認證相關的安全性事件風險就愈大。
請想想管理所有這些身分識別的過程。 當技術支援中心處理帳戶鎖定和密碼重設要求時,須面對更多負擔。 當使用者離開組織後,要再去追蹤所有身分識別並確定其已停用並不容易。 如果忽略了身分識別,可能會導致在應該受到排除時卻允許存取。
使用 SSO,您只需要記住一組識別碼和一組密碼。 將跨應用程式的存取權授與繫結至使用者的單一身分識別,其可簡化安全性模型。 當使用者變更角色或離開組織時,存取權會繫結至單一身分識別。 此變更可大幅減少變更或停用帳戶所需的工作。 帳戶使用 SSO 讓使用者更容易管理自己的身分識別,並讓 IT 更容易管理使用者。
重要
單一登入只與初始驗證器一樣安全,因為後續的連線都是以初始驗證器的安全性為基礎。
什麼是多重要素驗證?
多重要素驗證是在登入流程期間向使用者提示進行額外的形式 (或要素) 識別的流程。 當密碼遭洩漏而第二個要素並未遭洩漏時,MFA 有助於防止密碼遭洩漏。
想想您如何登入網站、電子郵件或線上服務。 輸入使用者名稱與密碼之後,您是否還需要輸入傳送到手機的驗證碼? 如果是這樣,代表您已經使用多重要素驗證來登入了。
多重要素驗證要求兩個或以上元素的完整驗證來為身分識別提供額外安全性。 這些元素可分成三個類別:
- 使用者知道的內容 – 可能是一個查問問題。
- 使用者擁有的資訊 – 可能是傳送至使用者行動電話的代碼。
- 使用者的身分 – 通常是某種生物屬性,例如指紋或臉部掃描。
多重要素驗證透過限制認證暴露的影響 (例如遭竊的使用者名稱與密碼) 來提高身分識別安全性。 啟用多重要素驗證之後,擁有使用者密碼的攻擊者也需要有其手機或指紋才能進行完整驗證。
比較多重要素驗證與單一要素驗證。 使用單一要素驗證時,攻擊者只需要取得使用者名稱與密碼即可驗證。 因此應盡可能啟用多重要素驗證,因為這可以大幅增加安全性。
什麼是 Microsoft Entra 多重要素驗證?
Microsoft Entra 多重要素驗證是提供多重要素驗證功能的 Microsoft 服務。 Microsoft Entra 多重要素驗證可讓使用者在登入期間選擇其他形式的驗證,例如撥打電話或行動應用程式通知。
什麼是無密碼驗證?
MFA 這類功能是保護您組織的絕佳方式,但額外的安全性階層加上必須記住密碼,通常會讓使用者感到挫折。 人們若是認為此方法簡單且方便,就更可能使用此方法。 無密碼驗證方法由於移除了密碼,並取代為您擁有的項目,加上代表您身分的事物或您知道的資訊,因此更加方便。
必須先在裝置上設定無密碼驗證,才能運作。 例如,您的電腦是您擁有的物品。 註冊之後,Azure 現在就會知道您的電腦與您相關聯。 在系統現在已識別了這台電腦後,一旦提供了您所知道的資訊或身分後 (例如 PIN 或指紋),便能使用密碼進行驗證。
每個組織對於驗證都有不同的需求。 Microsoft 全球 Azure 和 Azure Government 提供下列三種無密碼驗證選項,可與 Microsoft Entra ID 整合:
- Windows Hello 企業版
- Microsoft Authenticator 應用程式
- FIDO2 安全性金鑰
Windows Hello 企業版
Windows Hello 企業版非常適用於擁有專屬 Windows PC 的資訊工作者。 生物特徵辨識和 PIN 認證會直接繫結至使用者的電腦,以防止擁有者以外的任何人存取。 使用公開金鑰基礎結構 (PKI) 整合和內建的單一登入支援 (SSO),Windows Hello 企業版提供便利的方法,讓您無縫存取內部部署和雲端中的公司資源。
Microsoft Authenticator 應用程式
您也可以讓員工的電話成為無密碼的驗證方法。 除了密碼以外,您可能已在使用 Microsoft Authenticator 應用程式做為一種便利的多重要素驗證選項。 您也可以使用 Authenticator 應用程式作為無密碼選項。
Authenticator 應用程式能將任何 iOS 或 Android 手機變成強式無密碼認證。 使用者可以登入任何平台或瀏覽器,做法是取得其手機的通知、比對畫面上顯示的數字與其手機上的數字,然後使用其生物特徵辨識 (觸控或臉部) 或是 PIN 進行確認。 如需安裝詳細資料,請參閱「下載並安裝 Microsoft Authenticator 應用程式」。
FIDO2 安全性金鑰
FIDO (快速線上身分識別) 聯盟有助於提升開放式驗證標準,並減少使用密碼的驗證形式。 FIDO2 是加入 Web 驗證 (WebAuthn) 標準的最新標準。
FIDO2 安全性金鑰是無法網路釣魚的標準無密碼驗證方法,可以是任何規格。 Fast Identity Online (FIDO) 是一種無密碼驗證開放標準。 FIDO 可讓使用者和組織利用標準,透過外部安全性金鑰或裝置內建的平台金鑰來登入其資源,而不需要使用者名稱或密碼。
使用者可以註冊,然後在登入介面選取 FIDO2 安全性金鑰,昨為其主要的驗證方法。 這些 FIDO2 的安全性金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 使用硬體裝置處理驗證,帳戶的安全性增加了,因為沒有可能公開或猜測的密碼。