在当今的数字工作场所中,用户依赖于多种身份验证方法来访问其组织资源。 但是,在某些情况下,用户无法访问其所有身份验证方法-其主设备丢失,并且备份代码不可用。 在这种情况下,传统的自助密码重置(SSPR)是不够的,因为它依赖于有权访问至少一个已注册的身份验证方法的用户。 对于没有备用自助服务选项的无密码用户而言,这一挑战尤其困难。他们必须联系帮助台,经历安全的身份验证过程,并从 IT 人员处获取初始凭据,以重新配置丢失的身份验证方法并设置替代设备。
Microsoft Entra ID 帐户恢复通过强大的身份验证过程,帮助用户重新获得对其帐户的访问权限,解决了这些关键方案。 与密码重置(假定用户保留某种形式的身份验证方法)不同,帐户恢复侧重于在用户失去对所有身份验证机制的访问权限时重新建立对用户标识的信任。
帐户恢复表示从简单凭据重置到全面的用户身份验证和用户重新载入的范例转变。 它利用高级身份验证技术(包括 Microsoft Entra 验证 ID)来确保请求帐户恢复的人员确实是合法的帐户所有者。 此方法不仅在为用户提供在完全锁定方案中重新获得访问权限的路径的同时,还能通过从验证过程中消除人工判断来显著降低安全风险。 传统的由支持人员主导的恢复方法容易受到社会工程攻击,坏攻击者可能会误导或操纵支持人员非法恢复帐户,但由于身份验证的账户恢复彻底消除了这一攻击途径。
什么是帐户恢复
Microsoft Entra ID 帐户恢复是一种高级身份验证恢复机制,允许用户在失去对所有已注册身份验证方法的访问权限时重新获得对其组织帐户的访问权限。 与传统密码重置功能不同,帐户恢复侧重于在替换身份验证方法之前重新建立身份验证和信任,而不是简单的凭据恢复。
帐户恢复的关键特征
以标识为中心的方法:账户恢复将重点从‘你知道什么’(密码)和你拥有的东西(密钥、短信/语音、软件 OTP 等)转移到通过使用全面的身份验证来重视‘你是谁’。 此方法承认,在总锁定方案中,传统身份验证因素可能会受到损害或不可用。
信任重新建立:该过程将帐户恢复视为重新载入方案,组织必须验证并重新建立对用户标识的信任。 这可确保只有合法的帐户所有者才能重新获得对其帐户和组织资源的访问权限。
与现代身份技术集成:帐户恢复利用 Microsoft Entra Verified ID + Face Check 以及通过 Microsoft 安全商店提供的高级身份验证服务,在恢复过程中提供对用户身份的有力保证。
何时使用帐户恢复
帐户恢复专为用户面临完全身份验证锁定的关键方案而设计:
- 设备丢失或被盗:当用户丢失包含验证器应用、安全密钥或其他身份验证方法的主要设备时
- 完成身份验证失败:所有已注册的身份验证方法同时不可用时
- 帐户泄露恢复:当安全事件需要完成身份验证方法重置作为事件响应的一部分时
帐户恢复与自助密码重置(SSPR)
尽管帐户恢复和 SSPR 都旨在还原用户访问,但它们解决了不同的方案,并使用不同的方法:
| 方面 | 自助服务密码重置 (SSPR) | 帐户恢复 (SSAR) |
|---|---|---|
| 主要用例 | 用户忘记了密码,但保留对身份验证方法的访问权限 | 用户无法访问所有身份验证方法 |
| 身份验证要求 | 至少一个已注册的身份验证方法(策略控制最多需要 2 种方法) | 通过认证合作伙伴进行身份验证 |
| 信任假设 | 用户标识通过现有方法进行验证 | 必须重新建立用户的标识 |
| 恢复范围 | 仅限密码 | 完成身份验证方法重置 |
| 技术依赖项 | 现有的 MFA 方法、安全问题 | 身份验证服务,已验证身份 ID |
| 安全级别 | 中等 - 依赖于预注册的方法 | 高 - 需要全面的身份验证 |
业务优势
减轻支持人员负担:通过为总锁定方案提供安全选项,帐户恢复显著减少了需要 IT 人员手动干预的高优先级支持票证的数量。
改进了用户体验:用户可以独立恢复其帐户,而无需等待支持人员的可用性,减少停机时间,并在关键情况下保持工作效率。
增强安全态势:与可能依赖社会工程易受攻击信息的传统恢复方法相比,身份验证方法提供更强大的安全保证。
远程工作的可伸缩性:帐户恢复使组织能够支持远程分布式员工队伍,而不需要进行物理在场或复杂的手动验证过程。
工作原理
Microsoft Entra ID 帐户恢复通过从登录开始的全面身份验证和信任重新建立过程运行。 尝试登录但丢失了所有方法的用户可以自行报告其无法登录,从而触发帐户恢复工作流。 该系统结合了多个验证层,以确保只有合法的帐户所有者才能恢复其访问权限,同时保持最高的安全标准。
核心组件
标识验证提供者(IDV):帐户恢复与受信任的第三方身份验证服务集成,这些服务可以使用政府颁发的文档、生物识别验证和其他高保证方法验证用户身份。 这些提供程序颁发可验证凭据,用于证明用户的已验证标识。 在Microsoft 安全商店中,可以查看提供程序的可用性和选择。
Microsoft Entra 验证 ID:平台的分散标识服务使用户在恢复期间能够提供加密安全标识凭据。 这些凭据提供防篡改的身份验证证明,而不会公开敏感信息。 有关已验证 ID 的详细信息,请参阅 Microsoft Entra Verified ID 简介。
Entra ID 帐户恢复配置:Microsoft Entra ID 中的专用配置向导使管理员能够定义恢复要求,包括谁可以恢复,以及受信任的提供程序执行身份验证。
恢复工作流
帐户恢复过程遵循一个结构化工作流,旨在平衡安全性与用户体验。
步骤 1:发现帐户恢复条目
- 帐户名称:用户提供其帐户标识符(通常是用户名或电子邮件地址)。
- 访问点:用户在指示无法访问其帐户后通过登录访问恢复。
- 资格检查:系统根据组织策略验证帐户是否有资格进行恢复。
- 使用 IDV 开始恢复:用户定向到租户管理员根据用户地理位置指定的 IDV。
步骤 2:通过身份验证提供程序进行身份验证
- 外部标识证明:用户被重定向到受信任的 IDV 以完成标识验证。
- 文档验证:IDV 使用高级欺诈检测来验证政府颁发的标识文档。
- 生物识别验证:实时检查和面部识别可确保提交凭据的人员在物理上存在。
- 凭据颁发:成功验证后,用户会收到一个可验证凭据(已验证 ID),用于证明其身份,并存储在 Microsoft Authenticator 中。
步骤 3:标识演示和所有权验证
- 凭据演示:用户向Microsoft Entra ID 提供新获取的已验证 ID。
- 凭据验证:系统验证凭据的真实性和完整性。
- 属性关联:系统根据存储的用户配置文件信息匹配凭据中的标识属性。
步骤 4:访问恢复
- 临时访问预配:用户会收到具有有限有效性的临时访问凭据(如临时访问通行证)。
- 引导式重新启用:用户会被指导完成新的身份验证方式的登记过程。
评估和生产模式
管理员可以在评估模式下部署帐户恢复,以查看更改将如何影响用户。 但用户无法在评估模式下恢复其帐户。
尝试帐户恢复
默认情况下,帐户恢复是安全的,评估模式用于用户验证,只需 5 到 10 分钟即可设置。 试用预览版 ,我们非常感谢你的反馈!
相关内容
- 最终用户如何在 Microsoft Entra ID 中执行帐户恢复
- 工作原理:Microsoft Entra 自助式密码重置 - 了解传统密码重置功能以及何时使用 SSPR 与帐户恢复
- 什么是 Microsoft Entra 验证 ID? - 了解支持 SSAR 验证过程的分散标识技术
- 规划微软 Entra 认证 ID 验证解决方案 - 身份验证方案实施的设计指南
- 使用 ID 验证载入新远程员工 - 员工入职方案的特定实施指南
- 具有 Microsoft Entra 验证 ID 的已验证的帮助台 - 如何通过身份验证改进帮助台操作
- 启用临时访问直通策略 - 为帐户恢复方案配置临时凭据
- 规划防钓鱼无密码身份验证部署 - 长期策略,以减少对传统身份验证方法的依赖
- 什么是Microsoft Entra 身份验证? - Microsoft Entra ID 中的身份验证功能概述