在您的 Microsoft 帳戶上設定無密碼身份驗證

La Microsoft 帳戶的無密碼身份驗證 它不再是未來科技或僅限於高度發展環境的專屬技術。如今，任何人都可以使用手機、生物辨識或安全金鑰登入 Microsoft 365、Entra ID（原 Azure AD）或個人 Microsoft 帳戶，而無需輸入任何密碼。除了更便捷之外，它還是減少憑證盜竊和網路釣魚攻擊的關鍵措施。

本文將詳細探討以下內容： 如何使用 Microsoft Authenticator 和 Passkeys 實現無密碼登入我們將介紹您的組織需要哪些條件才能實施該功能，如何在 Microsoft Entra ID 中以管理員身分啟用該功能，最終使用者可以執行哪些操作，以及有哪些限製或已知問題。我們也將探討 Microsoft 為何如此堅持放棄傳統密碼，以及這一切如何融入零信任安全策略。

微軟為何想要取消密碼

密碼已成為 企業和個人環境中的主要攻擊途徑它們會被重複使用、在資料外洩事件中洩漏、被猜測、被透過網路釣魚或惡意軟體竊取，攻擊者只要有機會就能完全存取電子郵件帳戶、文件和關鍵應用程式。

基於經典安全模型 「使用者名稱+密碼」加上第二個基本因素 （例如，簡訊）比單獨使用密碼要好，但它們仍然存在許多弱點：簡訊可能會被攔截，用戶仍然會落入釣魚網站，大規模憑證盜竊仍在繼續。

為了降低所有這些風險，微軟建議切換到 抗欺騙的無密碼身份驗證方法這些方法依賴與實體裝置（手機、筆記型電腦、鑰匙等）關聯的憑證，需要你擁有的東西（裝置）和你知道或擁有的東西（PIN 碼、指紋、臉部），以整合的方式實現多因素身份驗證，而無需強迫用戶記住任何內容。

此外，使用密碼或FIDO2憑證登入速度更快。根據微軟內部數據， 密碼驗證大約需要 24 秒。而一個普通的存取金鑰大約需要 8 秒鐘才能驗證，如果是同步到 Google 密碼管理器或 iCloud 鑰匙圈等管理器中的密碼金鑰，則驗證時間甚至更短（大約 3 秒）。

這種組合 更安全，摩擦更小 對於最終用戶而言，這就是微軟在 Microsoft Sign In ID 以及整個 Microsoft 365 和 Windows 生態系統中大力推廣其無密碼平台的原因。

Microsoft 登入 ID 中的無密碼驗證選項

Microsoft Entra ID 提供多種方式 無需輸入密碼即可登入它既適用於個人設備也適用於企業設備，並面向不同類型的使用者和使用情境。目前主要包含以下類別：

首先，有 通行金鑰（FIDO2 / 通行金鑰）這些是基於FIDO2標準的憑證，儲存在裝置上（例如，安全金鑰或平台通行金鑰）。它們可以是像Google密碼管理器或iCloud這樣的管理器同步的金鑰，也可以是基於實體硬體（例如YubiKey和類似裝置）的金鑰。

其次，微軟包括 Windows Hello企業版這項技術會建立一個與 Windows 電腦關聯的憑證，並受 PIN 碼或生物辨識技術（指紋或臉部辨識）保護。當裝置已關聯 Microsoft 登入 ID 或妥善管理時，即可以此為基礎實現 Windows 桌面的無密碼登入。

另一種選擇是 微軟登入金鑰。登入Windows。 （初步版本）和 macOS 平台憑證 （目前也處於預覽階段）。這兩個功能都使作業系統能夠直接與 Entra ID 集成，管理無密碼憑證，從而簡化現代環境中的安全登入。

在行動領域，以下幾點特別突出： Microsoft Authenticator 應用程式中的存取金鑰這時，無密碼手機登入就派上用場了：用戶在應用程式中批准通知，輸入螢幕上顯示的號碼，然後使用 PIN 碼或裝置生物識別進行確認，而無需輸入帳戶密碼。

最後，微軟繼續提供支援。 智慧卡和基於憑證的身份驗證在許多商業環境中，這可以被視為無密碼憑證，如果實施得當，也能很好地抵禦網路釣魚攻擊。

微軟身份驗證器如何實現無需密碼登入

應用 Microsoft身份驗證器 它是微軟無密碼策略的關鍵組成部分。該應用程式適用於 iOS 和 Android 系統，支援傳統的多重身份驗證（透過推播通知或驗證碼進行 MFA）和 無需密碼即可撥號登入.

身份驗證器背後有一個 基於金鑰的身份驗證簡而言之，系統會為使用者產生一個憑證並將其關聯到特定設備。要使用該憑證，裝置需要本地身份驗證因素，例如 PIN 碼、指紋或臉部辨識。 Windows Hello 企業版使用的技術非常相似，但它專注於 Windows 電腦本身。

典型的使用流程 電話登入 非常簡單。在 Microsoft 365 登入介面或任何與 Entra ID 整合的應用程式中，使用者只需輸入使用者名稱（工作或學校信箱）。然後，無需輸入密碼，只需在身份驗證器應用程式中選擇批准請求即可。

那一刻 登入畫面上的數字行動裝置會顯示身份驗證器通知，要求確認存取權限。使用者必須選擇正確的帳戶，並將網站上顯示的號碼輸入到應用程式中。這種交叉驗證機制可以防止使用者誤批准不屬於自己的通知。

輸入號碼後，設備會詢問 PIN 碼或生物辨識技術 驗證核准者是否確為行動裝置的擁有者。只有驗證通過後，登入才能完成，無需輸入密碼即可獲得帳戶存取權限。

一個重要的細節是 可設定多個 Microsoft 登入 ID 帳戶 在同一個身份驗證器應用程式中，為所有帳戶啟用無密碼手機登錄，前提是裝置已註冊到相應的租戶。但是，同一裝置上的多帳戶模式不支援訪客帳戶。

使用無密碼手機登入的前提條件

在您急於為所有人啟用無密碼登入之前，您需要確保滿足一些條件。 最低技術和組織要求微軟建議仔細閱讀以下幾點，以避免將來出現問題。

一方面，強烈建議擁有 微軟推出多重身份驗證 (MFA) 組織內部配置後，即可使用推播通知作為驗證方式。這些通知有助於阻止未經授權的存取和詐欺交易，而且，如果裝置斷開連接，身份驗證器應用程式還會自動產生代碼以提供備用驗證方式。

此外，以下事項是強制性的： 使用身份驗證器的裝置必須在每個 Entra ID 租用戶中註冊。 您希望啟用手機登入的位置。例如，如果某人使用 balas@contoso.com 和 balas@wingtiptoys.com 之類的帳戶，則必須在兩個租戶（Contoso 和 Wingtip Toys）處註冊手機號碼，才能允許使用所有這些身分進行無密碼存取。

對於管理部分，最好先啟動呼叫。 綜合註冊經驗 在 Microsoft 登入 ID 中，此體驗統一了安全方法（MFA、密碼重設等）的註冊，並簡化了將身份驗證器作為無密碼方法的啟用流程。

從許可角度來看，只是以下事實： 使用無密碼方式註冊和登入 它不需要特定的許可證。即便如此，微軟仍建議至少擁有 Microsoft Entra ID P1 許可證，以便充分利用其功能集：例如，透過條件存取來強制使用防釣魚憑證、產生身分驗證方法使用情況報告等等。

最後，識別這一點至關重要。 將參與該專案的工作團隊身分和存取管理、安全架構、安全營運、審計團隊、技術支援以及最終用戶溝通。如果這些團隊之間缺乏協調，實施工作可能不完整，甚至導致太多安全事件。

如何在不使用密碼的情況下以管理員身分啟用 Microsoft Authenticator

透過 Microsoft Entra ID 管理控制台，管理員可以執行以下操作： 定義允許使用的身份驗證方法。 對於組織而言，這裡啟用了 Microsoft Authenticator，支援傳統的 MFA 和無密碼模式。

起點是進入 Microsoft 管理中心登入 使用至少具有「身份驗證策略管理員」角色的帳戶登入。登入後，請前往“登入 ID”部分，然後前往“身份驗證方法和策略”，即可管理每種方法的使用規則。

在方法配置中，您可以 啟動 Microsoft Authenticator 並決定是否允許插入傳統的 MFA（推播通知進行密碼確認）和/或無密碼手機登入。每個使用者群組都可以根據安全需求配置為使用其中一種模式，或進行限制。

預設情況下，群組通常配置為使用 “任何方式”與身份驗證器這意味著，如果您的會員已成功在您的應用程式中註冊，他們可以透過批准標準推播通知或使用無密碼手機登入來登入。

管理者常問的一個問題是：這是否可行？ 絕對強制使用無密碼模式即使配置完成後，使用者也無法使用密碼重新進行身份驗證。事實上，雖然可以透過條件存取策略和限制允許的存取方式來大力推廣無密碼模式，但微軟仍然保留了在特定情況下使用密碼的選項，例如用於恢復或與某些舊版應用程式相容。

即便如此，結合使用 身份驗證方法和條件存取策略這可能會導致這樣的情況：新用戶在註冊身份驗證器並完成首次登入後，幾乎總是使用手機或其他無密碼方法，從而將密碼的使用減少到特殊情況。

在身份驗證器應用程式中進行使用者註冊

一旦在組織中啟用 Microsoft Authenticator 作為身分驗證方法，就該著手解決以下問題了： 最終用戶註冊可以透過兩種主要方式完成：透過安全資訊頁面的引導式註冊，或使用管理員提供的臨時存取通行證。

在標準的引導式註冊過程中，使用者透過瀏覽器造訪該頁面。 您的帳戶安全訊息使用您目前的憑證登錄，然後選擇“新增方法”選項。接下來，選擇“身份驗證器應用程式”，並按照說明將其安裝到您的裝置上，然後使用二維碼或類似方法關聯您的帳戶。

過程完成後，身份驗證器至少會被註冊為 MFA方法在「帳戶安全資訊」部分，將顯示 Microsoft Authenticator 類型的驗證方法，根據允許和註冊的內容，可能是「無密碼」或「MFA 輸入」。

如果組織希望使用者一開始就不需要使用密碼，可以選擇以下方案： 持臨時通行證直接註冊在這種情況下，管理員首先為使用者產生一個臨時存取通行證 (TAP)，該通行證可用作初始設定的安全臨時憑證。

憑藉此臨時存取通行證，使用者在其行動裝置上安裝 Microsoft Authenticator 應用，開啟該應用程式，選擇“新增帳戶”，選擇工作或學校帳戶，然後使用點擊按鈕而非密碼進行身份驗證。之後，他們按照應用程式指示的步驟完成操作，即可啟動無密碼手機登入功能。

在以下環境中 密碼重設自助服務TAP 還可以讓使用者註冊身份驗證器作為登入方式，而無需知道或使用傳統密碼，從一開始就強化了完全無密碼的方法。

在身份驗證器應用程式中啟用手機登錄

註冊應用程式還不夠：用戶必須 明確啟用無密碼手機登錄 對於每個你想以這種方式使用的帳戶，都需要進行此操作。這一步常常被忽略，但卻至關重要。

要啟動它，用戶需要在其行動裝置上開啟 Microsoft Authenticator 應用程式並選擇 之前註冊的專業或教育帳戶在可用的選項中，您會看到類似「配置無密碼登入請求」或「啟用手機登入」之類的選項。

按下該選項後，應用程式將啟動一個簡短的設定過程，該過程可能需要 確認使用者身份 這包括透過瀏覽器登入、批准通知或驗證一些其他資訊。完成這些步驟後，該帳戶將被標記為符合無密碼手機登入條件。

從那時起，當使用者嘗試登入 Microsoft 365、Entra ID 或任何整合應用程式時，輸入使用者名稱後即可選擇該選項。 “在我的身份驗證器應用程式中批准請求”網站將顯示一個號碼，應用程式將要求用戶選擇該號碼，並透過 PIN 碼或生物識別技術進行確認。

一旦用戶開始以這種方式登錄，系統通常 將此方法作為首選方案。手機上始終顯示批准請求的選項，但如有必要，仍可選擇其他替代方法。

對於希望積極引導用戶的組織，可以提供內部文檔，說明用戶在註冊身份驗證器後應該訪問該應用程序，並且 明確啟動電話登錄這樣一來，他們就知道該怎麼做，從而減少了需要幫助的事件數量。

使用者無需密碼登入體驗

所有元素配置完成後（租戶已啟用、身份驗證器已註冊、手機登入已啟用），使用者體驗將發生顯著變化。用戶幾乎總是使用手機號碼登錄，而不是依賴密碼。 行動裝置和生物識別技術.

在第一次典型的嘗試中，這個人會寫下他們的 登入面板中的使用者名稱 從 Microsoft 365 或相關應用程式中點選「下一步」。如果預設未顯示，您可以點擊“其他登入方式”，然後選擇“在我的身份驗證器應用程式中批准請求”選項。

螢幕將顯示 隨機數幾乎同時，用戶的行動裝置會收到來自身份驗證器的通知，提醒用戶有人嘗試登入。開啟通知後，應用程式會提示使用者選擇電腦或瀏覽器上顯示的正確驗證碼，從而防止盲目或詐欺性授權。

最後一步，系統會要求使用者… 使用 PIN 碼、指紋或臉部辨識解鎖設備將你擁有的東西（手機）與你自身或知道的東西（PIN 碼或生物識別信息）結合起來，使得身份驗證成為強大的多因素身份驗證 (MFA)，而無需依賴通過短信或電子郵件發送的驗證碼，因為這些驗證碼更容易受到攻擊。

使用這種方法多次嘗試登入後，大多數用戶最終都會失敗。 每天會忘記密碼因為身份驗證器工作流程成為了他們登入 Office、Teams、OneDrive 或任何其他與組織關聯的應用程式的自然方式。

如果出於某種原因需要其他方法（例如，手機遺失或沒電），始終可以選擇使用其他方法。 其他身份驗證因素 如果管理員已允許他們使用：通行金鑰、FIDO2 安全金鑰、Windows Hello、智慧卡或其他已設定的機制。

專案管理、控制和相關團隊無需密碼即可存取。

管理 Microsoft Authenticator 和各種身份驗證方法的最建議方法是使用 Microsoft 驗證方法策略登入管理員可以從這裡啟用或停用身份驗證器，以及包含或排除特定使用者和群組。

在該指令中，可以定義參數以提供更多資訊。 登入請求中的上下文例如，新增請求存取權限的大致位置或應用程式名稱，以便用戶在行動裝置上點擊「批准」或「拒絕」之前獲得更多資訊。

從組織角度來看，團隊的關鍵在於… 身分和存取管理 (IAM) 日常配置由安全架構團隊負責，同時安全架構團隊也在整體安全框架內設計無密碼原則。安全維運團隊則負責監控身分驗證事件、調查潛在威脅，並在偵測到異常情況時實施糾正措施。

安全與審計團隊負責 核實是否符合內部和外部規章制度這包括定期審查身分驗證流程、評估風險並提出改進建議。所有這些都與技術支援的工作相輔相成，技術支援人員會協助最終用戶完成無密碼身份驗證的初步步驟並解決具體問題。

最後，面積 終端用戶通訊 它發揮著至關重要的作用。像放棄密碼這樣意義重大的變革需要清晰的訊息傳達：哪些方面會發生變化，用戶應該怎麼做，為什麼這樣做更安全，以及如果手機遺失或更換設備該怎麼辦。

同時，應用程式與 Microsoft Entra ID 的整合是另一個至關重要的方面。與 Entra ID 整合的應用程式（SaaS、LOB、本地部署等）越多，可實現的功能就越多。 利用無密碼身份驗證並應用條件訪問 要求以統一的方式採用防釣魚方法。

無密碼身份驗證的已知問題和局限性

儘管無密碼模式非常穩健，但微軟文件中卻記錄了幾個問題。 已知問題和限制 應牢記這一點，以避免在實施或支援過程中出現意外情況。

最常見的情況之一是用戶 您看不到無需密碼即可透過手機登入的選項。 即使已配置身份驗證器，也可能在身份驗證畫面上出現此問題。有時這是因為身份驗證器中存在待處理的驗證；如果使用者在該請求尚未回應時嘗試再次登錄，系統可能只會顯示輸入密碼的選項。

在這種情況下，解決方案很簡單：使用者必須 開啟 Microsoft Authenticator 應用 在您的行動裝置上，回覆（批准或拒絕）任何待處理的通知。這些請求處理完畢後，「無需密碼登入」選項將在後續登入嘗試中正常顯示。

另一個重要的限制是舊版 AuthenticatorAppSignInPolicy 指令 它已過時，不再支援用於控制身份驗證器。若要允許推播通知或無密碼手機登錄，您必須始終使用身份驗證方法策略，該策略由 Microsoft 維護和更新。

在具有共同帳戶或混合帳戶的環境中（例如，使用 Active Directory 聯合驗證服務 (AD FS) 的環境），當使用者啟用任何無密碼憑證時，Microsoft 登入程序將會進入。 停止使用 login_hint 參數這意味著該流程不再像以前那樣自動強制使用者使用聯合登入點。

這種行為通常會阻止使用者進行以下操作： 混合租戶將被重定向到 AD FS 以驗證其憑證這是因為Entra ID支援的無密碼直接身份驗證方式更受青睞。但是，如果配置允許，通常仍然可以手動選擇“使用密碼”。

對於由下列機構管理的使用者而言： 本地身分提供者 然而，即使啟用了多因素身份驗證 (MFA)，這些用戶也可能只能建立和使用一個無需密碼的手機登入憑證。如果他們嘗試使用同一個無需密碼的憑證更新過多身份驗證器安裝（例如，超過五個不同的裝置），則在嘗試註冊新實例時可能會出現錯誤。

與任何安全項目一樣，這些限制並不會阻止無密碼模式的採用，但它們確實需要… 精心規劃身分架構尤其是在規模非常大的混合型組織或有特殊聯合身份驗證和本地身份驗證需求的組織中。

最終，Microsoft Entra ID 中的無密碼身份驗證（尤其是與 Microsoft Authenticator 和密碼密鑰結合使用）能夠幫助企業大幅降低弱密碼或密碼被盜帶來的風險，同時使用戶登入過程更加快速方便。透過結合有效的身份驗證策略、條件存取和良好的內部溝通，密碼的重要性降低，而行動裝置、生物識別技術和安全金鑰則成為建立更安全、更難被冒充的身份的基石。