Skip to content

Microsoft雙重驗證2026:MSA與Entra ID的驗證因素層級

需要快速獲取驗證碼?立即開始您的驗證之旅

立即開始

2026年的Microsoft 2FA已經不是「打開就安全」那麼簡單——它是一套安全保證差異極大的因素層級,而帳號類型(個人MSA vs工作/學校Entra ID)決定了哪些因素可用、由誰控制、以及SMS-Act號碼是否適用。本文理清這些層次,告訴你2026年的推薦做法、正在被淘汰的方式,以及簡訊驗證如今還屬於哪一環。

2026重大轉折:微軟正為個人帳號淘汰簡訊

微軟已開始移除個人Microsoft帳號的簡訊安全/2FA方式,直言*「簡訊驗證如今已成為詐騙的主要來源」*。據廣泛報導的時間線:新個人帳號自2025年5月起不再能新增簡訊作為安全方式,存量簡訊因素在2026年5月之後移除,轉而由passkey和Authenticator接替。簡訊仍會出現在帳號建立風控觸發環節(此處SMS-Act真實電信商號碼可用),但它不再是你能長期保留的因素。申請一完成就設定Authenticator或passkey。(來源

兩種帳號類型——以及為何重要

微軟維護著兩套並行的身份系統:

維度個人Microsoft帳號(MSA)工作/學校帳號(Entra ID)
網域示例name@outlook.comname@hotmail.comname@yourcompany.com
用於Outlook.com、Xbox、OneDrive個人版、Skype商業版365、Azure、Intune、Teams
自助申請✅ 是(任何人憑信箱 + 手機)❌ 否——由租用戶管理員配置
2FA控制使用者在 account.microsoft.com 選擇管理員透過條件式存取強制
適用SMS-Act申請?✅ 真實號碼可收MSA驗證碼❌ 手機欄位由管理員配置
復原方式使用者管理:信箱 + 備用手機 + 復原代碼租用戶管理:服務台重設或SSPR原則
2026預設2FA可選(強烈引導)強制(租用戶級安全性預設)

這是最常見的混淆來源。 搜尋「Microsoft 2FA簡訊驗證」會把MSA流程(SMS-Act可用)和Entra ID流程(不可用)混在一起。排查前務必先確認帳號類型。

2026微軟2FA因素層級

微軟現在按安全強度對因素排序。2026年從強到弱:

等級因素抗釣魚說明
1Passkey(WebAuthn,裝置綁定)Windows Hello、iOS 17+、Android 14+預設;無密碼
2FIDO2安全金鑰(YubiKey 5C等)USB-A/USB-C/NFC,支援使用者驗證
3Microsoft Authenticator(推播 + 數字比對)Entra ID自2023年5月起預設
4Windows Hello for Business(PIN + TPM)中高裝置綁定,僅受管理的Windows
5OATH硬體權杖時間碼,離線
6TOTP(Google Authenticator、Authy)與OATH同協定,軟體實作
7信箱OTP低中信箱被攻破即失效
8簡訊OTP個人帳號正在淘汰;易受SIM交換
9語音OTP威脅面同簡訊,僅作後備

微軟一直在Entra ID中淘汰7–9級。2023年5月移除一鍵核准推播、強制數字比對;2024年9月允許管理員完全停用簡訊/語音作為主因素。到2026年,多數企業租用戶已把簡訊設為「僅後備」,以Authenticator + Passkey為主棧。個人MSA使用者仍有完整選擇權,但建立帳號介面現在會優先建議Authenticator而非簡訊。

為什麼微軟力推Authenticator而非簡訊

微軟威脅情報公布的攔截率(2024年資料,2026年仍成立):

方式攔截自動化攻擊比例
僅密碼0%
簡訊2FA99.2%
Authenticator推播(含數字比對)99.99%
FIDO2 / Passkey99.99%+(抗釣魚)

簡訊的缺口來自:

  1. SIM交換攻擊——攻擊者誘使電信商把你的號碼轉移走(FBI報告2024年美國損失超過2.6億美元)。
  2. SS7協定漏洞——傳輸中的簡訊可被攔截,尤其跨國路由。
  3. 釣魚工具包——現代中間人(AitM)框架可即時竊取簡訊驗證碼。
  4. 電信商投遞失敗——部分國家A2P簡訊投遞率系統性偏低,導致使用者被鎖。

為什麼VoIP號碼連申請都過不了

即便在簡訊仍被接受的環節(帳號建立、風控挑戰),微軟也只接受真實電信商號碼。官方文件原文:「VoIP號碼無法用於登入或接收驗證碼,請新增行動電話號碼。」 Entra ID電信詐欺評分會把VoIP(Google Voice、Twilio)、線上接碼網站和資料中心號段標記並靜默丟碼。SMS-Act號碼來自真實電信商、可通過HLR / 號碼真實性校驗,這正是它在申請環節能收到碼、而VoIP收不到的原因。用這個碼把帳號建出來,然後立即切換到Authenticator/passkey。(來源

個人MSA:分步設定2FA

這是使用者自主流程。SMS-Act真實號碼可完成初始手機驗證環節。

第1步——建立或登入MSA

  1. 開啟 account.microsoft.com 登入(或用信箱 + 手機新建帳號——此處SMS-Act號碼可用)。
  2. 點擊安全性進階安全性選項
  3. 查看「驗證身份的方式」一欄。

第2步——新增Microsoft Authenticator(推薦主因素)

  1. 在手機上從App Store或Google Play安裝 Microsoft Authenticator
  2. 在安全性頁面點擊新增新的登入或驗證方式使用應用程式
  3. 按QR碼流程,在Authenticator中掃碼(個人帳號請選「個人帳戶」,不要選「工作或學校帳戶」)。
  4. 掃碼後輸入應用程式顯示的6位驗證碼。
  5. 儲存末尾顯示的復原代碼——只顯示一次。

2025變化提示:Microsoft Authenticator已於2025年(約7–8月)停止充當密碼管理員,自動填入功能下線,已存密碼遷移到Microsoft Edge。這不影響2FA:Authenticator仍產生TOTP碼、處理推播核准、儲存passkey。此處你只把它當驗證器用,功能未變。

第3步——啟用雙重驗證

  1. 回到安全性頁面,捲動到雙重驗證並點擊開啟
  2. 用Authenticator驗證碼確認。
  3. 此後每次在不受信任裝置登入都會要求第二因素。

第4步——新增備用因素

備用選項推薦?原因
FIDO2安全金鑰最強備用,離線可用
備用信箱OTP便宜、簡單,任何裝置可用
簡訊OTP到你自己的真實手機✅(但不能用虛擬號)最後兜底
簡訊OTP到虛擬號號碼視窗過期後無法復原
TOTP應用程式(如Google Authenticator)獨立於Microsoft Authenticator

第5步——綁定passkey(2026最佳實踐)

  1. 點擊新增新的登入或驗證方式使用passkey
  2. 按作業系統提示:Windows 11上的Windows Hello、iPhone的Face ID、Android指紋或硬體金鑰。
  3. Passkey在該裝置上完全取代密碼——登入變成單步且抗釣魚。

工作/學校(Entra ID):管理員視角

Entra ID下因素由管理員而非使用者選擇。2026年管理員通常配置:

驗證方法原則

在Entra管理中心 → 驗證方法原則,啟用:

  • Microsoft Authenticator(含數字比對 + GPS位置 + 應用程式名稱顯示)
  • FIDO2安全金鑰
  • Passkey
  • 選擇性:Windows Hello、OATH硬體權杖
  • 停用或設為「僅次要」:簡訊、語音、信箱

條件式存取原則

常見的2026基準原則:

  1. 要求所有使用者MFA——每次登入需要第二因素。
  2. 封鎖舊版驗證——消除IMAP/POP3基本驗證繞過。
  3. 要求相容裝置——在登入前強制執行Intune裝置合規。
  4. 登入風險式MFA——Identity Protection標記不可能的旅行和陌生登入,升級至加強型MFA。
  5. 要求管理員使用抗釣魚MFA——全域管理員角色僅允許passkey或FIDO2。

自助密碼重設(SSPR)

管理員設定使用者可用於重設自己密碼的因素。通常:

  • Authenticator + 信箱 + 安全性問題(舊版)
  • 或Authenticator + 信箱 + 手機(此處手機為使用者的真實行動電話,由管理員配置或使用者在到職時自行登錄)

SMS-Act虛擬號碼不能登錄為Entra ID帳號的SSPR手機——即便表單接受格式,臨時號過期後復原流程會失敗。

常見問題與解決

現象原因解決方案
Authenticator碼「不正確」但輸入無誤裝置時間漂移手機 → 設定 → 日期與時間 → 自動
推播通知不再到達背景資料被殺允許Authenticator背景活動 + 電池白名單
MSA反覆「無法驗證帳號」新裝置且無受信復原用列印的復原代碼,或走30天帳號復原表單
申請時收不到簡訊碼使用了VoIP/虛擬號被攔改用SMS-Act真實號碼;或改用Authenticator
Authenticator與手機都遺失無受信裝置用FIDO2金鑰或復原代碼;否則走帳號復原表單(3–30天)
Entra ID帳號輸錯5次被鎖智慧鎖定(預設冷卻10分鐘)等10分鐘或聯絡租用戶管理員

SMS-Act在Microsoft 2FA鏈中的定位

它只適用於一處:個人MSA建立時的初始手機驗證。

場景是否適用SMS-Act
從零建立新的Outlook.com / Xbox MSA✅ 是
驗證Xbox兒童帳號年齡閘門❌ 需要付款工具
給已有MSA新增簡訊作為2FA因素❌ 臨時號過期
給Entra ID新增簡訊作為主2FA❌ 僅管理員配置
自助密碼重設(SSPR)手機❌ 需要長期號碼
高價值帳號的復原因素❌ 請用Authenticator + FIDO2 + 復原代碼

規律是:虛擬號 = 一次性申請助手,不是長期2FA因素。MSA建好後立即設定Authenticator和passkey,簡訊只能當你無法依賴的兜底。

2026 Microsoft帳號最佳2FA組合

角色推薦主因素推薦次因素復原
個人MSA,一般使用者Authenticator信箱OTP列印儲存的復原代碼
個人MSA,進階使用者Passkey(Hello / Face ID)AuthenticatorFIDO2金鑰 + 復原代碼
工作/學校一般使用者Authenticator(數字比對)OATH權杖SSPR via Authenticator + 備用信箱
工作/學校全域管理員FIDO2 / Passkey第二把FIDO2獨立租用戶的緊急管理員帳號

SMS-Act無法幫你做什麼

  1. 把手機新增為MSA的2FA因素——請用你自己的真實手機,而非臨時號。
  2. Entra ID手機配置——由管理員控制。
  3. 找回被鎖帳號——30天復原表單需要身份資訊,而非簡訊。
  4. 繞過條件式存取——租用戶強制原則無法繞過。
  5. Xbox家長核准 / 年齡閘門——需要家長持有的付款工具。

重要說明

  • SMS-Act僅提供一次性臨時號碼(有效約15分鐘),統一 8點數/次,失敗點數自動退回帳號不提供號碼租賃或包月號碼。
  • SMS-Act 不支援 Telegram,也不提供中國大陸號碼或中國大陸專屬應用程式驗證。付款方式:Stripe。

相關閱讀

使用聲明

本平台旨在支援開發測試、業務驗證及跨境應用場景,協助使用者在合理且合規的前提下完成相關流程。

使用者應確保其行為符合所在地法律法規及相關平台規範。本平台不參與亦不控制使用者的具體使用方式。

若發現異常或不當使用情況,平台有權依規則對帳號採取限制措施。

使用者須年滿18歲,並對其使用行為及可能產生的結果負全部責任。如不同意本聲明,請停止使用本平台服務。

從SMS-Act取得Microsoft申請驗證號碼

SMS-Act 全球領先的在線接碼平臺