微软两步验证 2026:MSA 与 Entra ID 的验证因素层级
需要快速获取验证码?立即开始您的验证之旅
2026 年的 Microsoft 2FA 已经不是「打开就安全」那么简单——它是一套安全保证差异极大的因素层级,而账号类型(个人 MSA vs 工作/学校 Entra ID)决定了哪些因素可用、由谁控制、以及 SMS-Act 号码是否适用。本文理清这些层次,告诉你 2026 年的推荐做法、正在被淘汰的方式,以及短信验证如今还属于哪一环。
2026 重大转折:微软正为个人账号淘汰短信
微软已开始移除个人 Microsoft 账号的短信安全/2FA 方式,直言*「短信验证如今已成为欺诈的主要来源」*。据广泛报道的时间线:新个人账号自 2025 年 5 月起不再能添加短信作为安全方式,存量短信因素在 2026 年 5 月之后移除,转而由 passkey 和 Authenticator 接替。短信仍会出现在账号创建和风控触发环节(此处 SMS-Act 真实运营商号码可用),但它不再是你能长期保留的因素。注册一完成就设置 Authenticator 或 passkey。(来源)
两种账号类型——以及为何重要
微软维护着两套并行的身份系统:
| 维度 | 个人 Microsoft 账号(MSA) | 工作/学校账号(Entra ID) |
|---|---|---|
| 域名示例 | name@outlook.com、name@hotmail.com | name@yourcompany.com |
| 用于 | Outlook.com、Xbox、OneDrive 个人版、Skype | 商业版 365、Azure、Intune、Teams |
| 自助注册 | ✅ 是(任何人凭邮箱 + 手机) | ❌ 否——由租户管理员配置 |
| 2FA 控制 | 用户在 account.microsoft.com 选择 | 管理员通过条件访问强制 |
| 适用 SMS-Act 注册? | ✅ 真实号码可收 MSA 验证码 | ❌ 手机字段由管理员配置 |
| 恢复方式 | 用户管理:邮箱 + 备用手机 + 恢复代码 | 租户管理:服务台重置或 SSPR 策略 |
| 2026 默认 2FA | 可选(强烈引导) | 强制(租户级安全默认) |
这是最常见的混淆来源。 搜「Microsoft 2FA 短信验证」会把 MSA 流程(SMS-Act 可用)和 Entra ID 流程(不可用)混在一起。排查前务必先确认账号类型。
2026 微软 2FA 因素层级
微软现在按安全强度对因素排序。2026 年从强到弱:
| 等级 | 因素 | 抗钓鱼 | 说明 |
|---|---|---|---|
| 1 | Passkey(WebAuthn,设备绑定) | 高 | Windows Hello、iOS 17+、Android 14+ 默认;无密码 |
| 2 | FIDO2 安全密钥(YubiKey 5C 等) | 高 | USB-A/USB-C/NFC,支持用户验证 |
| 3 | Microsoft Authenticator(推送 + 数字匹配) | 高 | Entra ID 自 2023 年 5 月起默认 |
| 4 | Windows Hello for Business(PIN + TPM) | 中高 | 设备绑定,仅托管 Windows |
| 5 | OATH 硬件令牌 | 中 | 时间码,离线 |
| 6 | TOTP(Google Authenticator、Authy) | 中 | 与 OATH 同协议,软件实现 |
| 7 | 邮箱 OTP | 低中 | 邮箱被攻破即失效 |
| 8 | 短信 OTP | 低 | 个人账号正在淘汰;易受 SIM 交换 |
| 9 | 语音 OTP | 低 | 威胁面同短信,仅作后备 |
微软一直在 Entra ID 中淘汰 7–9 级。2023 年 5 月移除一键批准推送、强制数字匹配;2024 年 9 月允许管理员完全禁用短信/语音作为主因素。到 2026 年,多数企业租户已把短信设为「仅后备」,以 Authenticator + Passkey 为主栈。个人 MSA 用户仍有完整选择权,但创建账号界面现在会优先建议 Authenticator 而非短信。
为什么微软力推 Authenticator 而非短信
微软威胁情报公布的拦截率(2024 年数据,2026 年仍成立):
| 方式 | 拦截自动化攻击比例 |
|---|---|
| 仅密码 | 0% |
| 短信 2FA | 99.2% |
| Authenticator 推送(含数字匹配) | 99.99% |
| FIDO2 / Passkey | 99.99%+(抗钓鱼) |
短信的缺口来自:
- SIM 交换攻击——攻击者诱使运营商把你的号码转移走。
- SS7 协议漏洞——传输中的短信可被拦截,尤其跨国路由。
- 钓鱼工具包——现代中间人(AitM)框架可实时窃取短信验证码。
- 运营商投递失败——部分国家 A2P 短信投递率系统性偏低,导致用户被锁。
为什么 VoIP 号码连注册都过不了
即便在短信仍被接受的环节(账号创建、风控挑战),微软也只接受真实运营商号码。官方文档原文:「VOIP 号码不能用于登录或接收验证码,请添加手机号码。」 Entra ID 电信欺诈评分会把 VoIP(Google Voice、Twilio)、在线接码网站和数据中心号段标记并静默丢码。SMS-Act 号码来自真实运营商、可通过 HLR / 号码真实性校验,这正是它在注册环节能收到码、而 VoIP 收不到的原因。用这个码把账号建出来,然后立即切换到 Authenticator/passkey。(来源)
个人 MSA:分步设置 2FA
这是用户自主流程。SMS-Act 真实号码可完成初始手机验证环节。
第 1 步——创建或登录 MSA
- 打开
account.microsoft.com登录(或用邮箱 + 手机新建账号——此处 SMS-Act 号码可用)。 - 点击安全 → 高级安全选项。
- 查看「验证身份的方式」一栏。
第 2 步——添加 Microsoft Authenticator(推荐主因素)
- 在手机上从 App Store 或应用商店安装 Microsoft Authenticator。
- 在安全页面点击添加新的登录或验证方式 → 使用应用。
- 按二维码流程,在 Authenticator 中扫码(个人账号请选「个人账户」,不要选「工作或学校账户」)。
- 扫码后输入应用显示的 6 位验证码。
- 保存末尾显示的恢复代码——只显示一次。
2025 变化提示:Microsoft Authenticator 已于 2025 年(约 7–8 月)停止充当密码管理器,自动填充功能下线,已存密码迁移到 Microsoft Edge。这不影响 2FA:Authenticator 仍生成 TOTP 码、处理推送批准、存储 passkey。此处你只把它当验证器用,功能未变。
第 3 步——开启两步验证
- 回到安全页面,滚动到两步验证并点击开启。
- 用 Authenticator 验证码确认。
- 此后每次在不受信任设备登录都会要求第二因素。
第 4 步——添加备用因素
| 备用选项 | 推荐? | 原因 |
|---|---|---|
| FIDO2 安全密钥 | ✅ | 最强备用,离线可用 |
| 备用邮箱 OTP | ✅ | 便宜、简单,任何设备可用 |
| 短信 OTP 到你自己的真实手机 | ✅(但不能用虚拟号) | 最后兜底 |
| 短信 OTP 到虚拟号 | ❌ | 号码窗口过期后无法恢复 |
| TOTP 应用(如 Google Authenticator) | ✅ | 独立于 Microsoft Authenticator |
第 5 步——绑定 passkey(2026 最佳实践)
- 点击添加新的登录或验证方式 → 使用 passkey。
- 按系统提示:Windows 11 上的 Windows Hello、iPhone 的 Face ID、Android 指纹或硬件密钥。
- passkey 在该设备上完全替代密码——登录变成单步且抗钓鱼。
工作/学校(Entra ID):管理员视角
Entra ID 下因素由管理员而非用户选择。2026 年管理员通常配置:
- 身份验证方法策略:启用 Authenticator(数字匹配 + 位置 + 应用名显示)、FIDO2、passkey;把短信/语音/邮箱禁用或设为「仅次要」。
- 条件访问策略:要求全员 MFA、阻断旧版认证、要求合规设备、基于登录风险的 MFA、对管理员强制抗钓鱼 MFA(仅 passkey 或 FIDO2)。
- 自助密码重置(SSPR):设定用户可用于重置密码的因素。
SMS-Act 虚拟号码不能注册为 Entra ID 账号的 SSPR 手机——即便表单接受格式,临时号过期后恢复流程会失败。
常见问题与解决
| 现象 | 原因 | 解决方案 |
|---|---|---|
| Authenticator 码「不正确」但输入无误 | 设备时间漂移 | 手机 → 设置 → 日期与时间 → 自动 |
| 推送通知不再到达 | 后台数据被杀 | 允许 Authenticator 后台活动 + 电池白名单 |
| MSA 反复「无法验证账户」 | 新设备且无受信恢复 | 用打印的恢复代码,或走 30 天账号恢复表单 |
| 注册时收不到短信码 | 使用了 VoIP/虚拟号被拦 | 改用 SMS-Act 真实号码;或改用 Authenticator |
| Authenticator 与手机都丢失 | 无受信设备 | 用 FIDO2 密钥或恢复代码;否则走账号恢复表单(3–30 天) |
| Entra ID 账号输错 5 次被锁 | 智能锁定(默认冷却 10 分钟) | 等 10 分钟或联系租户管理员 |
SMS-Act 在 Microsoft 2FA 链中的定位
它只适用于一处:个人 MSA 创建时的初始手机验证。
| 场景 | 是否适用 SMS-Act |
|---|---|
| 从零创建新的 Outlook.com / Xbox MSA | ✅ 是 |
| 验证 Xbox 儿童账号年龄闸门 | ❌ 需要支付工具 |
| 给已有 MSA 添加短信作为 2FA 因素 | ❌ 临时号过期 |
| 给 Entra ID 添加短信作为主 2FA | ❌ 仅管理员配置 |
| 自助密码重置(SSPR)手机 | ❌ 需要长期号码 |
| 高价值账号的恢复因素 | ❌ 请用 Authenticator + FIDO2 + 恢复代码 |
规律是:虚拟号 = 一次性注册助手,不是长期 2FA 因素。MSA 建好后立即设置 Authenticator 和 passkey,短信只能当你无法依赖的兜底。
2026 Microsoft 账号最佳 2FA 组合
| 角色 | 推荐主因素 | 推荐次因素 | 恢复 |
|---|---|---|---|
| 个人 MSA,普通用户 | Authenticator | 邮箱 OTP | 打印保存的恢复代码 |
| 个人 MSA,进阶用户 | Passkey(Hello / Face ID) | Authenticator | FIDO2 密钥 + 恢复代码 |
| 工作/学校普通用户 | Authenticator(数字匹配) | OATH 令牌 | SSPR via Authenticator + 备用邮箱 |
| 工作/学校全局管理员 | FIDO2 / Passkey | 第二把 FIDO2 | 独立租户的应急管理员账号 |
SMS-Act 无法帮你做什么
- 把手机添加为 MSA 的 2FA 因素——请用你自己的真实手机,而非临时号。
- Entra ID 手机配置——由管理员控制。
- 找回被锁账号——30 天恢复表单需要身份信息,而非短信。
- 绕过条件访问——租户强制策略无法绕过。
- Xbox 家长批准 / 年龄闸门——需要家长持有的支付工具。
重要提示
- SMS-Act 仅提供一次性临时号码(有效约 15 分钟),统一 8 积分/次,失败积分自动退回账号;不提供号码租赁或包月号码。
- SMS-Act 不支持 Telegram,也不提供中国大陆号码或中国大陆专属应用验证。支付方式:Stripe。
相关阅读
使用声明
本平台旨在为开发测试、业务验证及跨境服务场景提供辅助支持,帮助用户在合理合规的前提下完成相关流程。
请注意,用户在使用本平台服务时,应确保其用途符合所在地区的法律法规及相关平台规则。本平台不参与、也无法控制用户的具体使用方式或行为。
如发现异常或不当使用情况,平台有权根据规则对相关账户采取限制措施。
用户须年满18周岁,并理解其使用行为及可能产生的结果均由本人自行承担。如不同意上述内容,请停止使用本平台服务。