Microsoft雙重驗證2026:MSA與Entra ID的驗證因素層級
需要快速獲取驗證碼?立即開始您的驗證之旅
2026年的Microsoft 2FA已經不是「打開就安全」那麼簡單——它是一套安全保證差異極大的因素層級,而帳號類型(個人MSA vs工作/學校Entra ID)決定了哪些因素可用、由誰控制、以及SMS-Act號碼是否適用。本文理清這些層次,告訴你2026年的推薦做法、正在被淘汰的方式,以及簡訊驗證如今還屬於哪一環。
2026重大轉折:微軟正為個人帳號淘汰簡訊
微軟已開始移除個人Microsoft帳號的簡訊安全/2FA方式,直言*「簡訊驗證如今已成為詐騙的主要來源」*。據廣泛報導的時間線:新個人帳號自2025年5月起不再能新增簡訊作為安全方式,存量簡訊因素在2026年5月之後移除,轉而由passkey和Authenticator接替。簡訊仍會出現在帳號建立和風控觸發環節(此處SMS-Act真實電信商號碼可用),但它不再是你能長期保留的因素。申請一完成就設定Authenticator或passkey。(來源)
兩種帳號類型——以及為何重要
微軟維護著兩套並行的身份系統:
| 維度 | 個人Microsoft帳號(MSA) | 工作/學校帳號(Entra ID) |
|---|---|---|
| 網域示例 | name@outlook.com、name@hotmail.com | name@yourcompany.com |
| 用於 | Outlook.com、Xbox、OneDrive個人版、Skype | 商業版365、Azure、Intune、Teams |
| 自助申請 | ✅ 是(任何人憑信箱 + 手機) | ❌ 否——由租用戶管理員配置 |
| 2FA控制 | 使用者在 account.microsoft.com 選擇 | 管理員透過條件式存取強制 |
| 適用SMS-Act申請? | ✅ 真實號碼可收MSA驗證碼 | ❌ 手機欄位由管理員配置 |
| 復原方式 | 使用者管理:信箱 + 備用手機 + 復原代碼 | 租用戶管理:服務台重設或SSPR原則 |
| 2026預設2FA | 可選(強烈引導) | 強制(租用戶級安全性預設) |
這是最常見的混淆來源。 搜尋「Microsoft 2FA簡訊驗證」會把MSA流程(SMS-Act可用)和Entra ID流程(不可用)混在一起。排查前務必先確認帳號類型。
2026微軟2FA因素層級
微軟現在按安全強度對因素排序。2026年從強到弱:
| 等級 | 因素 | 抗釣魚 | 說明 |
|---|---|---|---|
| 1 | Passkey(WebAuthn,裝置綁定) | 高 | Windows Hello、iOS 17+、Android 14+預設;無密碼 |
| 2 | FIDO2安全金鑰(YubiKey 5C等) | 高 | USB-A/USB-C/NFC,支援使用者驗證 |
| 3 | Microsoft Authenticator(推播 + 數字比對) | 高 | Entra ID自2023年5月起預設 |
| 4 | Windows Hello for Business(PIN + TPM) | 中高 | 裝置綁定,僅受管理的Windows |
| 5 | OATH硬體權杖 | 中 | 時間碼,離線 |
| 6 | TOTP(Google Authenticator、Authy) | 中 | 與OATH同協定,軟體實作 |
| 7 | 信箱OTP | 低中 | 信箱被攻破即失效 |
| 8 | 簡訊OTP | 低 | 個人帳號正在淘汰;易受SIM交換 |
| 9 | 語音OTP | 低 | 威脅面同簡訊,僅作後備 |
微軟一直在Entra ID中淘汰7–9級。2023年5月移除一鍵核准推播、強制數字比對;2024年9月允許管理員完全停用簡訊/語音作為主因素。到2026年,多數企業租用戶已把簡訊設為「僅後備」,以Authenticator + Passkey為主棧。個人MSA使用者仍有完整選擇權,但建立帳號介面現在會優先建議Authenticator而非簡訊。
為什麼微軟力推Authenticator而非簡訊
微軟威脅情報公布的攔截率(2024年資料,2026年仍成立):
| 方式 | 攔截自動化攻擊比例 |
|---|---|
| 僅密碼 | 0% |
| 簡訊2FA | 99.2% |
| Authenticator推播(含數字比對) | 99.99% |
| FIDO2 / Passkey | 99.99%+(抗釣魚) |
簡訊的缺口來自:
- SIM交換攻擊——攻擊者誘使電信商把你的號碼轉移走(FBI報告2024年美國損失超過2.6億美元)。
- SS7協定漏洞——傳輸中的簡訊可被攔截,尤其跨國路由。
- 釣魚工具包——現代中間人(AitM)框架可即時竊取簡訊驗證碼。
- 電信商投遞失敗——部分國家A2P簡訊投遞率系統性偏低,導致使用者被鎖。
為什麼VoIP號碼連申請都過不了
即便在簡訊仍被接受的環節(帳號建立、風控挑戰),微軟也只接受真實電信商號碼。官方文件原文:「VoIP號碼無法用於登入或接收驗證碼,請新增行動電話號碼。」 Entra ID電信詐欺評分會把VoIP(Google Voice、Twilio)、線上接碼網站和資料中心號段標記並靜默丟碼。SMS-Act號碼來自真實電信商、可通過HLR / 號碼真實性校驗,這正是它在申請環節能收到碼、而VoIP收不到的原因。用這個碼把帳號建出來,然後立即切換到Authenticator/passkey。(來源)
個人MSA:分步設定2FA
這是使用者自主流程。SMS-Act真實號碼可完成初始手機驗證環節。
第1步——建立或登入MSA
- 開啟
account.microsoft.com登入(或用信箱 + 手機新建帳號——此處SMS-Act號碼可用)。 - 點擊安全性 → 進階安全性選項。
- 查看「驗證身份的方式」一欄。
第2步——新增Microsoft Authenticator(推薦主因素)
- 在手機上從App Store或Google Play安裝 Microsoft Authenticator。
- 在安全性頁面點擊新增新的登入或驗證方式 → 使用應用程式。
- 按QR碼流程,在Authenticator中掃碼(個人帳號請選「個人帳戶」,不要選「工作或學校帳戶」)。
- 掃碼後輸入應用程式顯示的6位驗證碼。
- 儲存末尾顯示的復原代碼——只顯示一次。
2025變化提示:Microsoft Authenticator已於2025年(約7–8月)停止充當密碼管理員,自動填入功能下線,已存密碼遷移到Microsoft Edge。這不影響2FA:Authenticator仍產生TOTP碼、處理推播核准、儲存passkey。此處你只把它當驗證器用,功能未變。
第3步——啟用雙重驗證
- 回到安全性頁面,捲動到雙重驗證並點擊開啟。
- 用Authenticator驗證碼確認。
- 此後每次在不受信任裝置登入都會要求第二因素。
第4步——新增備用因素
| 備用選項 | 推薦? | 原因 |
|---|---|---|
| FIDO2安全金鑰 | ✅ | 最強備用,離線可用 |
| 備用信箱OTP | ✅ | 便宜、簡單,任何裝置可用 |
| 簡訊OTP到你自己的真實手機 | ✅(但不能用虛擬號) | 最後兜底 |
| 簡訊OTP到虛擬號 | ❌ | 號碼視窗過期後無法復原 |
| TOTP應用程式(如Google Authenticator) | ✅ | 獨立於Microsoft Authenticator |
第5步——綁定passkey(2026最佳實踐)
- 點擊新增新的登入或驗證方式 → 使用passkey。
- 按作業系統提示:Windows 11上的Windows Hello、iPhone的Face ID、Android指紋或硬體金鑰。
- Passkey在該裝置上完全取代密碼——登入變成單步且抗釣魚。
工作/學校(Entra ID):管理員視角
Entra ID下因素由管理員而非使用者選擇。2026年管理員通常配置:
驗證方法原則
在Entra管理中心 → 驗證方法 → 原則,啟用:
- Microsoft Authenticator(含數字比對 + GPS位置 + 應用程式名稱顯示)
- FIDO2安全金鑰
- Passkey
- 選擇性:Windows Hello、OATH硬體權杖
- 停用或設為「僅次要」:簡訊、語音、信箱
條件式存取原則
常見的2026基準原則:
- 要求所有使用者MFA——每次登入需要第二因素。
- 封鎖舊版驗證——消除IMAP/POP3基本驗證繞過。
- 要求相容裝置——在登入前強制執行Intune裝置合規。
- 登入風險式MFA——Identity Protection標記不可能的旅行和陌生登入,升級至加強型MFA。
- 要求管理員使用抗釣魚MFA——全域管理員角色僅允許passkey或FIDO2。
自助密碼重設(SSPR)
管理員設定使用者可用於重設自己密碼的因素。通常:
- Authenticator + 信箱 + 安全性問題(舊版)
- 或Authenticator + 信箱 + 手機(此處手機為使用者的真實行動電話,由管理員配置或使用者在到職時自行登錄)
SMS-Act虛擬號碼不能登錄為Entra ID帳號的SSPR手機——即便表單接受格式,臨時號過期後復原流程會失敗。
常見問題與解決
| 現象 | 原因 | 解決方案 |
|---|---|---|
| Authenticator碼「不正確」但輸入無誤 | 裝置時間漂移 | 手機 → 設定 → 日期與時間 → 自動 |
| 推播通知不再到達 | 背景資料被殺 | 允許Authenticator背景活動 + 電池白名單 |
| MSA反覆「無法驗證帳號」 | 新裝置且無受信復原 | 用列印的復原代碼,或走30天帳號復原表單 |
| 申請時收不到簡訊碼 | 使用了VoIP/虛擬號被攔 | 改用SMS-Act真實號碼;或改用Authenticator |
| Authenticator與手機都遺失 | 無受信裝置 | 用FIDO2金鑰或復原代碼;否則走帳號復原表單(3–30天) |
| Entra ID帳號輸錯5次被鎖 | 智慧鎖定(預設冷卻10分鐘) | 等10分鐘或聯絡租用戶管理員 |
SMS-Act在Microsoft 2FA鏈中的定位
它只適用於一處:個人MSA建立時的初始手機驗證。
| 場景 | 是否適用SMS-Act |
|---|---|
| 從零建立新的Outlook.com / Xbox MSA | ✅ 是 |
| 驗證Xbox兒童帳號年齡閘門 | ❌ 需要付款工具 |
| 給已有MSA新增簡訊作為2FA因素 | ❌ 臨時號過期 |
| 給Entra ID新增簡訊作為主2FA | ❌ 僅管理員配置 |
| 自助密碼重設(SSPR)手機 | ❌ 需要長期號碼 |
| 高價值帳號的復原因素 | ❌ 請用Authenticator + FIDO2 + 復原代碼 |
規律是:虛擬號 = 一次性申請助手,不是長期2FA因素。MSA建好後立即設定Authenticator和passkey,簡訊只能當你無法依賴的兜底。
2026 Microsoft帳號最佳2FA組合
| 角色 | 推薦主因素 | 推薦次因素 | 復原 |
|---|---|---|---|
| 個人MSA,一般使用者 | Authenticator | 信箱OTP | 列印儲存的復原代碼 |
| 個人MSA,進階使用者 | Passkey(Hello / Face ID) | Authenticator | FIDO2金鑰 + 復原代碼 |
| 工作/學校一般使用者 | Authenticator(數字比對) | OATH權杖 | SSPR via Authenticator + 備用信箱 |
| 工作/學校全域管理員 | FIDO2 / Passkey | 第二把FIDO2 | 獨立租用戶的緊急管理員帳號 |
SMS-Act無法幫你做什麼
- 把手機新增為MSA的2FA因素——請用你自己的真實手機,而非臨時號。
- Entra ID手機配置——由管理員控制。
- 找回被鎖帳號——30天復原表單需要身份資訊,而非簡訊。
- 繞過條件式存取——租用戶強制原則無法繞過。
- Xbox家長核准 / 年齡閘門——需要家長持有的付款工具。
重要說明
- SMS-Act僅提供一次性臨時號碼(有效約15分鐘),統一 8點數/次,失敗點數自動退回帳號;不提供號碼租賃或包月號碼。
- SMS-Act 不支援 Telegram,也不提供中國大陸號碼或中國大陸專屬應用程式驗證。付款方式:Stripe。
相關閱讀
使用聲明
本平台旨在支援開發測試、業務驗證及跨境應用場景,協助使用者在合理且合規的前提下完成相關流程。
使用者應確保其行為符合所在地法律法規及相關平台規範。本平台不參與亦不控制使用者的具體使用方式。
若發現異常或不當使用情況,平台有權依規則對帳號採取限制措施。
使用者須年滿18歲,並對其使用行為及可能產生的結果負全部責任。如不同意本聲明,請停止使用本平台服務。