身份验证级别是一种 Microsoft Entra 的条件访问控制,用于指定用户能够使用哪些身份验证方法组合来访问资源。 用户可以通过使用任何允许的组合进行身份验证来满足强度要求。
例如,身份验证强度可能要求用户仅使用抗网络钓鱼的身份验证方法来访问敏感资源。 若要访问不敏感的资源,管理员可以创建另一种身份验证强度,允许安全性较低的多重身份验证(MFA)组合,例如密码和短信。
身份验证强度基于 身份验证方法的策略。 也就是说,管理员可以将特定用户和组的身份验证方法限定为跨 Microsoft Entra ID 联合应用程序使用的身份验证方法。 身份验证强度允许根据敏感资源访问、用户风险和位置等特定方案进一步控制这些方法的使用。
先决条件
- 若要使用条件访问,租户需要Microsoft Entra ID P1 许可证。 如果没有此许可证,可以开始 免费试用。
身份验证强度的方案
身份验证优势可以帮助客户处理以下应用场景:
- 需要特定的身份验证方法才能访问敏感资源。
- 当用户在应用程序中执行敏感操作时需要特定的身份验证方法(结合条件访问身份验证上下文)。
- 要求用户在访问企业网络外部的敏感应用程序时使用特定的身份验证方法。
- 需要为高风险用户提供更安全的身份验证方法。
- 要求访问资源租户的来宾用户使用特定的身份验证方法(结合跨租户设置)。
内置和自定义身份验证强度
管理员可以通过使用“需要身份验证强度”控制创建条件访问策略,从而指定访问资源的身份验证强度。 管理员可以从三种内置身份验证强度中进行选择:多重身份验证强度、无密码 MFA 强度和网络钓鱼 MFA 强度。 他们还可以根据想要允许的身份验证方法组合创建自定义身份验证强度。
内置身份验证强度
内置身份验证强度是Microsoft预定义的身份验证方法的组合。 内置身份验证强度始终可用且无法修改。 Microsoft新方法可用时更新内置身份验证强度。
例如,内置的 防钓鱼的多因素身份验证强度(MFA 强度) 允许以下组合:
- Windows Hello 企业版或平台凭据
- FIDO2 安全密钥
- Microsoft基于证书的身份验证(多重)
下表列出了每种内置身份验证强度的身份验证方法的组合。 这些组合包括用户需要注册的方法,以及管理员需要在身份验证方法的策略或旧版MFA设置策略中启用的方法。
- MFA 强度:可用于满足 “需要多重身份验证 ”设置的相同组合集。
- 无密码 MFA 强度:包括满足 MFA 但不需要密码的身份验证方法。
- 防钓鱼 MFA 强度:包括需要在身份验证方法和登录图面之间交互的方法。
| 身份验证方式组合 | MFA 强度 | 无密码 MFA 强度 | 防网络钓鱼 MFA 强度 |
|---|---|---|---|
| FIDO2 安全密钥 | ✅ | ✅ | ✅ |
| Windows Hello for Business 或平台凭证 | ✅ | ✅ | ✅ |
| 基于证书的身份验证(多重) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (电话登录) | ✅ | ✅ | |
| 临时访问通行证(一次性使用和多次使用) | ✅ | ||
| 密码加上用户拥有的某种东西1 | ✅ | ||
| 联合登录单因素认证加上用户拥有的其他验证方式1 | ✅ | ||
| 联合多重因素 | ✅ | ||
| 基于证书的身份验证 (单重) | |||
| 短信登录 | |||
| 密码 | |||
| 联合单一因素 |
1用户拥有的东西 是指以下方法之一:短信、语音、推送通知、软件 OATH 凭证或硬件 OATH 凭证。
可以使用以下 API 调用列出所有内置身份验证强度的定义:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
自定义身份验证强度
条件访问管理员还可以创建自定义身份验证强度,以满足其访问要求。 有关详细信息,请参阅 创建和管理自定义条件访问身份验证强度。
限制
身份验证强度对身份验证的影响:条件访问策略仅在初始身份验证后评估。 因此,身份验证强度不会限制用户的初始身份验证。
假设你使用的是内置的 防钓鱼 MFA 强度 身份验证强度。 用户仍然可以输入密码,但必须先使用防钓鱼方法(例如 FIDO2 安全密钥)登录,然后才能继续。
不受支持的授予控件组合:不能在同一条件访问策略中使用 “要求多重身份验证 ”和 “要求身份验证强度 ”控制。 原因是内置的 多重身份验证 身份验证强度相当于 要求多重身份验证 授权控制。
不支持的身份验证方法:在现有可用组合中,电子邮件一次性密码(来宾)身份验证方法当前不受支持。
Windows Hello 企业版:如果用户以 Windows Hello 企业版作为主要身份验证方法登录,则可以使用它来满足包括 Windows Hello 企业版的身份验证强度要求。 但是,如果用户使用另一种方法(如密码)作为主要身份验证方法登录,并且身份验证强度要求 Windows Hello 企业版,则不会提示用户使用 Windows Hello 企业版登录。 用户需要重启会话,选择 登录选项,然后选择身份验证强度所需的方法。
已知问题
身份验证强度和登录频率:当资源需要身份验证强度和登录频率时,用户可以在两个不同的时间满足这两个要求。
例如,假设资源需要通行密钥(FIDO2)来满足身份验证强度要求,并且需要1小时的登录频率。 使用密钥(FIDO2)登录的用户在 24 小时前访问资源。
当用户使用 Windows Hello 企业版解锁其 Windows 设备时,他们可以再次访问资源。 昨天的登录满足身份验证强度要求,而今天的设备解锁满足登录频率要求。
FAQ
我应该使用身份验证强度还是身份验证方法的策略?
身份验证强度基于 身份验证方法 策略。 身份验证方法策略有助于限定和配置用户和组可以在 Microsoft Entra ID 中使用的身份验证方法。 身份验证强度允许对特定方案(例如敏感资源访问、用户风险和位置)的其他方法进行限制。
例如,假设名为 Contoso 的组织管理员希望允许用户在推送通知或无密码身份验证模式下使用 Microsoft Authenticator。 管理员转到 身份验证方法 策略中的 Authenticator 设置,限定相关用户的策略范围,并将 身份验证模式 设置为 “任何”。
对于 Contoso 最敏感的资源,管理员希望仅限制对无密码身份验证方法的访问。 管理员使用内置的 无密码 MFA 强度 身份验证强度创建新的条件访问策略。
因此,Contoso 中的用户可以使用密码和 Authenticator 的推送通知或仅使用 Authenticator(电话登录)来访问租户中的大多数资源。 但是,当租户中的用户访问敏感应用程序时,他们必须使用 Authenticator(电话登录)。