本文介绍了Microsoft Entra 条件访问中的身份验证强度如何限制哪些身份验证方法组合可用于登录和访问资源。
身份验证强度如何与身份验证方法政策配合工作
两个策略确定哪些身份验证方法可用于访问资源。 在任一策略中为身份验证方法启用的用户可以使用该方法登录。
“安全”“身份验证方法”>“策略”是管理特定用户和组的身份验证方法的一种更现代的方法。 可以为方法指定用户和组。 还可以配置参数来控制方法的使用方式。
安全>多重身份验证>其他基于云的多重身份验证设置 是控制租户中所有用户的多重身份验证(MFA)方法的旧方法。
用户可以注册他们被允许使用的身份验证方法。 管理员还可以使用基于证书的身份验证等方法配置用户的设备。
如何在登录期间评估身份验证强度策略
条件访问身份验证强度策略定义用户可以使用的身份验证方法。 Microsoft Entra ID 在登录期间检查策略,以确定用户对资源的访问权限。
例如,管理员使用自定义身份验证强度配置条件访问策略,该策略需要密钥(FIDO2 安全密钥)或密码和短信的组合。 用户访问此策略有助于保护的资源。
在登录期间,Microsoft Entra ID 检查所有设置以确定允许的方法、注册的方法以及条件访问策略所需的方法。 为了成功登录,必须允许该方法,并且用户需注册该方法(在访问请求前或作为访问请求的一部分),同时满足身份验证强度要求。
如何评估多个身份验证强度策略
通常,当多个条件访问策略申请登录时,用户必须满足所有策略中的所有条件。 同样,当有多个条件访问身份验证强度策略应用于登录时,用户必须满足所有身份验证强度条件。
例如,如果两个身份验证强度策略都需要通行密钥(FIDO2),则用户可以使用 FIDO2 安全密钥来满足这两个策略。 如果两个身份验证强度策略具有不同的方法集,则用户必须使用多种方法来同时满足这两个策略。
如何评估多个身份验证强度策略以注册安全信息
对于安全信息注册中的 中断模式 ,身份验证评估的处理方式不同。 针对用户动作注册安全信息的身份验证强度优先于针对所有资源(以前是所有云应用)的其他身份验证强度策略。 所有其他针对登录范围的条件访问策略的授权控制(例如要求设备标记为合规)均照常适用。
例如,假设组织希望要求其用户始终使用 MFA 方法和合规设备登录。 该组织还希望允许新员工使用临时访问通行证(TAP)注册这些 MFA 方法。 用户不能在任何其他资源上使用 TAP。 若要实现此目标,管理员可以执行以下步骤:
- 创建名为 Bootstrap 和恢复 的自定义身份验证强度,其中包括 TAP 身份验证组合。 它还可以包括任何 MFA 方法。
- 为登录创建名为 MFA 的自定义身份验证强度,包括所有允许的 MFA 方法,而无需 TAP。
- 创建一个条件访问策略,该策略面向 所有资源 (以前 是所有云应用),并要求 MFA 具有登录 身份验证强度和 要求合规的设备 授予控制。
- 创建一个条件访问策略,该策略针对“注册安全信息”用户操作,并要求使用“启动和恢复”身份验证强度。
因此,合规设备上的用户可以使用 TAP 注册任何 MFA 方法。 然后,他们可以使用新注册的方法向其他资源(如 Outlook)进行身份验证。
注意
如果多个条件访问策略针对“注册安全信息”用户操作,并且每个策略应用一个身份验证强度,则用户必须满足所有这些身份验证强度才能登录。
无法从中断模式注册某些无密码和防钓鱼方法。 有关详细信息,请参阅本文后面的 无密码身份验证方法注册 。
用户体验
以下因素决定了用户是否可以访问资源:
- 用户以前使用哪种身份验证方法?
- 哪些方法可用于身份验证强度?
- 在身份验证方法的策略中允许用户登录哪些方法?
- 用户是否注册了任何可用的方法?
当用户访问受条件访问身份验证强度策略保护的资源时,Microsoft Entra ID 评估用户以前使用的方法是否满足身份验证强度。 如果用户使用了令人满意的方法,Microsoft Entra ID 授予对资源的访问权限。
例如,假设用户使用密码和短信的组合登录。 用户访问受 MFA 身份验证强度保护的资源。 在这种情况下,用户无需其他身份验证提示即可访问资源。
假设同一用户接下来访问受网络钓鱼防护 MFA 身份验证强度保护的资源。 此时,系统会提示用户提供防钓鱼身份验证方法,例如 Windows Hello 企业版。
如果用户未注册满足身份验证强度的任何方法,则会重定向到 合并注册。
用户只需注册一个满足身份验证强度要求的身份验证方法。 如果身份验证强度不包括用户可以注册和使用的方法,Microsoft Entra ID 会阻止用户登录到资源。
注册无密码身份验证方法
在合并注册中,无法将以下身份验证方法注册为中断模式的一部分。 在你应用可能会要求使用这些方法登录的条件访问策略之前,请确保用户已注册这些方法。 在注册所需方法之前,未注册这些方法的用户无法访问资源。
| 方法 | 注册要求 |
|---|---|
| Microsoft Authenticator(手机登录) | 可以从 Authenticator 应用注册。 |
| Passkey (FIDO2) | 可以通过 合并注册中的托管模式进行注册 ,并通过 合并注册中的中断模式通过身份验证强度强制执行。 |
| 基于证书的身份验证 | 需要管理员设置。 用户无法注册它。 |
| Windows Hello 企业版 | 可以在 Windows 开箱即用体验(OOBE)或 Windows 设置 菜单中注册。 |
联合用户体验
对于联合域名,管理员可以通过使用 Microsoft Entra 条件访问或在本地联合身份验证提供程序中设置 federatedIdpMfaBehavior 来强制实施 MFA。 如果 federatedIdpMfaBehavior 设置为 enforceMfaByFederatedIdp,则用户必须在联合身份提供商进行身份验证,并只能满足身份验证强度要求的联合多重因素组合。 有关联合身份验证设置的详细信息,请参阅 从联合身份验证迁移到云身份验证。
如果来自联合域的用户在分阶段推出的范围内具有 MFA 设置,则该用户可以在云中完成多重身份验证,并满足任何 联合单因素加用户拥有的某物 的组合。 有关分阶段推出的详细信息,请参阅 “启用分阶段推出”。