多重身份验证
多重身份验证是一种过程。在该过程中,系统会在用户登录时提示其输入其他形式的标识,例如在其手机上输入代码或提供指纹扫描。如果只使用密码对用户进行身份验证,则会留下不安全的矢量,容易受到攻击。 如果密码弱或者已在其他位置公开,那么如何确定是该用户在使用用户名和密码登录,还是攻击者在登录? 需要另一种形式的身份验证时,会提高安全性,因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。
无密码登录
启用从 Microsoft Authenticator 应用进行手机登录的用户会看到一条消息,要求他们点击其应用中的某个数字。 无需提供用户名或密码。 若要在应用中完成登录过程,用户接下来必须执行以下操作:
1,匹配数字。
2,选择“批准”。
3,提供 PIN 或生物识别。
密码自助重置
Azure Active Directory (Azure AD) 自助式密码重置 (SSPR) 使用户能够更改或重置其密码,而不需要管理员或支持人员的干预。 如果 Azure AD 锁定用户帐户或用户忘记了自己的密码,他们可以按照提示自行解锁,恢复工作。 当用户无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。
为了提高其安全性我们还可以设置用户进行安全认证的方法,在用户修改密码后对用户自身邮箱发送邮件进行确认。在全局管理员修改密码的时候,通知其他管理员,对其他管理员发送通知邮件。
密码写回
在 Azure AD 连接到本地 Active Directory 域服务 (AD DS) 环境的混合环境中,此方案可能会导致两个目录的密码不同。可以使用密码写回将 Azure AD 中的密码更改同步回到本地 AD DS 环境。 Azure AD Connect 提供一种安全机制用于将这些密码更改从 Azure AD 发回到现有本地目录。
本地密码策略VS Azure AD密码策略
密码策略同步
用Azure AD密码策略加上本地策略进行密码要求的管控,实施密码双重要求;