Azure Active Directory 身份驗證是什么？

標識平臺的主要功能之一就是在用戶登錄到設(shè)備、應(yīng)用程序或服務(wù)時，對憑據(jù)進行驗證或身份驗證。在Azure Active Directory(Azure AD)中，身份驗證不僅僅涉及對用戶名和密碼的驗證。Azure AD身份驗證包括以下組件，用于提高安全性并降低對技術(shù)人員幫助的需求：

·自助式密碼重置

·Azure AD多重身份驗證

·用于將密碼更改寫回到本地環(huán)境的混合集成

·用于對本地環(huán)境強制實施密碼保護策略的混合集成

·無密碼身份驗證

改善最終用戶體驗

Azure AD有助于保護用戶的身份并簡化其登錄體驗。自助式密碼重置等功能允許用戶從任何設(shè)備使用Web瀏覽器更新或更改密碼。如果用戶忘記了密碼或帳戶被鎖定，此功能尤其有用。在不等待支持人員或管理員提供支持的情況下，用戶可以取消對自己的阻止，繼續(xù)工作。

Azure AD多重身份驗證使用戶能夠在登錄期間選擇其他形式的身份驗證，例如電話唿叫或移動應(yīng)用通知。此功能減少了單一、固定形式的輔助身份驗證（如硬件令牌）的要求。如果用戶當前沒有一種形式的附加身份驗證，則可選擇其他方法，繼續(xù)工作。

無密碼身份驗證根本不需要用戶創(chuàng)建并記住安全密碼。Windows Hello企業(yè)版或FIDO2安全密鑰等功能讓用戶無需密碼即可登錄到設(shè)備或應(yīng)用程序。此功能可以降低跨不同環(huán)境管理密碼的復雜性。

自助式密碼重置

自助式密碼重置使用戶能夠更改或重置其密碼，而不需要管理員或支持人員。如果用戶的帳戶被鎖定或用戶忘記了自己的密碼，他們可以按照提示取消對自己的阻止，回到工作狀態(tài)。當用戶無法登錄到其設(shè)備或應(yīng)用程序時，此功能可減少唿叫支持人員的次數(shù)，降低生產(chǎn)力損失。

自助式密碼重置適用于以下情況：

·密碼更改-用戶知道自己的密碼，但想要將其更改為新的。

·密碼重置-用戶無法登錄（例如，忘記了密碼），但想要重置其密碼。

·帳戶解鎖-用戶因其帳戶被鎖定而無法登錄，但想要解鎖其帳戶。

當用戶使用自助式密碼重置更新或重置其密碼時，也可將該密碼寫回到本地Active Directory環(huán)境。密碼寫回可確保用戶能夠立即在本地設(shè)備和應(yīng)用程序中使用更新的憑據(jù)。

Azure AD多重身份驗證

多重身份驗證是一種過程。在該過程中，系統(tǒng)會在用戶登錄時提示其輸入其他形式的標識，例如在其手機上輸入代碼或提供指紋掃描。

如果只使用密碼對用戶進行身份驗證，則會留下不安全的矢量，容易受到攻擊。如果密碼弱或者已在其他位置公開，那么如何確定是該用戶在使用用戶名和密碼登錄，還是攻擊者在登錄？需要另一種形式的身份驗證時，會提高安全性，因為攻擊者并不容易獲取或復制進行多重身份驗證所需的額外內(nèi)容。

至少需要采用下列身份驗證方法中的兩種，才能使Azure AD多重身份驗證發(fā)揮作用：

·你知道的某樣東西，通常為密碼。

·你有的某樣東西，例如無法輕易復制的可信設(shè)備，如電話或硬件密鑰。

·自身的特征-生物識別，如指紋或面部掃描。

用戶只需執(zhí)行一個步驟即可自行注冊自助式密碼重置和Azure AD多重身份驗證，這樣可以簡化加入體驗。管理員可以定義能夠使用的輔助身份驗證形式。當用戶執(zhí)行自助式密碼重置以進一步保護該過程時，也可能需要Azure AD多重身份驗證。

密碼保護

默認情況下，Azure AD會阻止弱密碼，如Password1。全局禁止的密碼列表會自動更新并強制實施，其中包含已知弱密碼。如果Azure AD用戶嘗試將其密碼設(shè)置為這些弱密碼之一，則會收到要求他們選擇更安全密碼的通知。

若要提高安全性，可以定義自定義密碼保護策略。這些策略可以使用篩選器來阻止包含名稱（例如Contoso）或位置（例如倫敦）的密碼的任何變體。

為確?；旌习踩?，可以將Azure AD密碼保護與本地Active Directory環(huán)境集成。在本地環(huán)境中安裝的組件會接收Azure AD的全局禁止密碼列表和自定義密碼保護策略，而域控制器則會使用它們來處理密碼更改事件。這種混合方法可確保無論用戶如何更改其憑據(jù)或在什么位置更改其憑據(jù)，都可以強制使用強密碼。

無密碼身份驗證

許多環(huán)境的最終目標是在登錄事件中杜絕密碼的使用。Azure密碼保護或Azure AD多重身份驗證之類的功能有助于提高安全性，但用戶名和密碼仍然是一種弱的身份驗證形式，可能會泄露或受到強力攻擊。

通過無密碼方法登錄時，使用Windows Hello企業(yè)版的生物識別或FIDO2安全密鑰等方法來提供憑據(jù)。攻擊者無法輕松地復制這些身份驗證方法。

可以通過Azure AD使用無密碼方法進行本機身份驗證，簡化用戶的登錄體驗并降低受到攻擊的風險。