Så här migrerar du MFA- och SSPR-principinställningar till principen Autentiseringsmetoder för Microsoft Entra-ID
Du kan migrera äldre principinställningar för Microsoft Entra-ID som separat styr multifaktorautentisering (MFA) och självbetjäning av lösenordsåterställning (SSPR) till enhetlig hantering med principen Autentiseringsmetoder.
Du kan använda migreringsguiden för autentiseringsmetoder (förhandsversion) i administrationscentret för Microsoft Entra för att automatisera migreringen. Guiden innehåller en guide som hjälper dig att granska dina aktuella principinställningar för MFA och SSPR. Sedan konsolideras inställningarna i principen Autentiseringsmetoder, där de enklare kan hanteras tillsammans.
Du kan också migrera principinställningar manuellt enligt ditt eget schema. Migreringsprocessen är helt reversibel. Du kan fortsätta att använda MFA- och SSPR-principer för hela klientorganisationen medan du konfigurerar autentiseringsmetoderna mer exakt för användare och grupper i principen Autentiseringsmetoder.
Mer information om hur dessa principer fungerar tillsammans under migreringen finns i Hantera autentiseringsmetoder för Microsoft Entra-ID.
Guide för automatiserad migrering
Med guiden för automatisk migrering kan du migrera där du hanterar autentiseringsmetoder med bara några få klick. Den kan nås från administrationscentret för Microsoft Entra genom att bläddra till Principer för skyddsautentiseringsmetoder>>.
På den första sidan i guiden förklaras vad det är och hur det fungerar. Den innehåller också länkar till var och en av de äldre principerna för din referens.
Guiden konfigurerar sedan principen för autentiseringsmetod baserat på vad din organisation för närvarande har aktiverat i de äldre MFA- och SSPR-principerna. Om en metod är aktiverad i någon av de äldre principerna är rekommendationen att även aktivera den i autentiseringsmetodprincipen. Med den konfigurationen kan användarna fortsätta att logga in och återställa sitt lösenord med samma metod som de använde tidigare.
Dessutom rekommenderar vi att du aktiverar de senaste moderna, säkra metoderna som nyckelnycklar, tillfälligt åtkomstpass och Microsoft Authenticator för att förbättra organisationens säkerhetsstatus. Om du vill redigera den rekommenderade konfigurationen väljer du pennikonen bredvid varje metod.
När du är nöjd med konfigurationen väljer du Migrera och bekräftar sedan migreringen. Principen Autentiseringsmetoder uppdateras för att matcha konfigurationen som anges i guiden. Autentiseringsmetoderna i de äldre MFA- och SSPR-principerna blir nedtonade och tillämpas inte längre.
Migreringsstatusen uppdateras till Slutförd migrering. Du kan ändra den här statusen tillbaka till Pågår när som helst för att återaktivera metoder i de äldre principerna om det behövs.
Manuell migrering
Börja med att göra en granskning av dina befintliga principinställningar för varje autentiseringsmetod som är tillgänglig för användare. Om du återställer under migreringen kanske du vill ha en post med autentiseringsmetodinställningarna från var och en av dessa principer:
- MFA-princip
- SSPR-princip (om den används)
- Princip för autentiseringsmetoder (om den används)
Om du inte använder SSPR och ännu inte använder principen Autentiseringsmetoder behöver du bara hämta inställningar från MFA-principen.
Granska den äldre MFA-principen
Börja med att dokumentera vilka metoder som är tillgängliga i den äldre MFA-principen.
Logga in på administrationscentret för Microsoft Entra som global administratör.
Gå till Identitetsanvändare>>Alla användare>MFA-tjänstinställningar> per användare för att visa inställningarna. De här inställningarna är hela klientorganisationen, så det finns inget behov av användar- eller gruppinformation.
För varje metod anger du om den är aktiverad för klientorganisationen eller inte. I följande tabell visas metoder som är tillgängliga i den äldre MFA-principen och motsvarande metoder i autentiseringsmetodprincipen.
Princip för multifaktorautentisering | Princip för autentiseringsmetod |
---|---|
Ring till telefon | Röstsamtal |
Sms till telefon | SMS |
Meddelande via mobilapp | Microsoft Authenticator |
Verifieringskod från mobilapp eller maskinvarutoken | Oath-token från tredje part Oath-token för maskinvara Microsoft Authenticator |
Granska den äldre SSPR-principen
Om du vill hämta de autentiseringsmetoder som är tillgängliga i den äldre SSPR-principen går du till Autentiseringsmetoder för återställning av identitetsskyddslösenord>>>. I följande tabell visas tillgängliga metoder i den äldre SSPR-principen och motsvarande metoder i autentiseringsmetodprincipen.
Registrera vilka användare som finns i omfånget för SSPR (antingen alla användare, en specifik grupp eller inga användare) och de autentiseringsmetoder som de kan använda. Säkerhetsfrågor är ännu inte tillgängliga att hantera i principen Autentiseringsmetoder, men se till att du registrerar dem för senare när de är det.
SSPR-autentiseringsmetoder | Princip för autentiseringsmetod |
---|---|
Avisering om mobilapp | Microsoft Authenticator |
Mobilappkod | Microsoft Authenticator Oath-token för programvara |
E-post | OtP för e-post |
Mobiltelefon | Röstsamtal SMS |
Office-telefon | Röstsamtal |
Säkerhetsfrågor | Inte tillgänglig än; kopiera frågor för senare användning |
Princip för autentiseringsmetoder
Om du vill kontrollera inställningarna i principen Autentiseringsmetoder loggar du in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper och bläddrar till Principer för skyddsautentiseringsmetoder>>. En ny klientorganisation har alla metoder av som standard, vilket gör migreringen enklare eftersom äldre principinställningar inte behöver sammanfogas med befintliga inställningar.
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till metoder för skyddsautentisering>>
Principen Autentiseringsmetoder har andra metoder som inte är tillgängliga i äldre principer, till exempel FIDO2-säkerhetsnyckel, tillfälligt åtkomstpass och Microsoft Entra-certifikatbaserad autentisering. De här metoderna finns inte i omfånget för migrering och du behöver inte göra några ändringar i dem om du redan har konfigurerat dem.
Om du har aktiverat andra metoder i principen Autentiseringsmetoder skriver du ned de användare och grupper som kan eller inte kan använda dessa metoder. Anteckna de konfigurationsparametrar som styr hur metoden kan användas. Du kan till exempel konfigurera Microsoft Authenticator för att tillhandahålla plats i push-meddelanden. Ange vilka användare och grupper som är aktiverade för liknande konfigurationsparametrar som är associerade med varje metod.
Starta migreringen
När du har avbildat tillgängliga autentiseringsmetoder från de principer som du använder för närvarande kan du starta migreringen. Öppna principen Autentiseringsmetoder, välj Hantera migrering och välj Migrering pågår.
Du vill ange det här alternativet innan du gör några ändringar eftersom det tillämpar din nya princip på både inloggnings- och lösenordsåterställningsscenarier.
Nästa steg är att uppdatera principen Autentiseringsmetoder så att den matchar din granskning. Du vill granska varje metod en i taget. Om din klientorganisation bara använder den äldre MFA-principen och inte använder SSPR är uppdateringen enkel – du kan aktivera varje metod för alla användare och exakt matcha din befintliga princip.
Om klientorganisationen använder både MFA och SSPR måste du överväga varje metod:
- Om metoden är aktiverad i båda de äldre principerna aktiverar du den för alla användare i principen Autentiseringsmetoder.
- Om metoden är inaktiverad i båda de äldre principerna lämnar du den inaktiverad för alla användare i principen Autentiseringsmetoder.
- Om metoden endast är aktiverad i en princip måste du bestämma om den ska vara tillgänglig i alla situationer eller inte.
Där principerna matchar kan du enkelt matcha ditt aktuella tillstånd. Om det finns ett matchningsfel måste du bestämma om metoden ska aktiveras eller inaktiveras helt och hållet. Anta till exempel att Meddelande via mobilapp är aktiverat för att tillåta push-meddelanden för MFA. I den äldre SSPR-principen är inte aviseringsmetoden mobilapp aktiverad. I så fall tillåter äldre principer push-meddelanden för MFA men inte SSPR.
I principen Autentiseringsmetoder måste du sedan välja om du vill aktivera Microsoft Authenticator för både SSPR och MFA eller inaktivera det (vi rekommenderar att du aktiverar Microsoft Authenticator).
Observera att du i principen Autentiseringsmetoder har möjlighet att aktivera metoder för grupper av användare utöver alla användare, och du kan även utesluta grupper av användare från att kunna använda en viss metod. Det innebär att du har stor flexibilitet för att styra vilka användare som kan använda vilka metoder. Du kan till exempel aktivera Microsoft Authenticator för alla användare och begränsa SMS - och röstsamtal till en grupp med 20 användare som behöver dessa metoder.
När du uppdaterar varje metod i principen Autentiseringsmetoder har vissa metoder konfigurerbara parametrar som gör att du kan styra hur metoden kan användas. Om du till exempel aktiverar röstsamtal som autentiseringsmetod kan du välja att tillåta både office-telefon och mobiltelefoner, eller endast mobilt. Gå igenom processen för att konfigurera varje autentiseringsmetod från granskningen.
Du behöver inte matcha din befintliga princip! Det är ett bra tillfälle att granska dina aktiverade metoder och välja en ny princip som maximerar säkerheten och användbarheten för din klientorganisation. Observera bara att inaktivering av metoder för användare som redan använder dem kan kräva att dessa användare registrerar nya autentiseringsmetoder och hindrar dem från att använda tidigare registrerade metoder.
I nästa avsnitt beskrivs specifik migreringsvägledning för varje metod.
E-post engångslösenord
Det finns två kontroller för engångslösenord för e-post:
Målinriktning med hjälp av inkludera och exkludera i konfigurationens avsnittet Aktivera och mål används för att aktivera OTP för e-post för medlemmar i en klientorganisation för användning i Lösenordsåterställning.
Det finns en separat Tillåt externa användare att använda otp-kontroll för e-post i avsnittet Konfigurera som styr användningen av OTP för e-post för inloggning av B2B-användare. Autentiseringsmetoden kan inte inaktiveras om den här kontrollen är aktiverad.
Microsoft Authenticator
Om Meddelande via mobilapp är aktiverat i den äldre MFA-principen aktiverar du Microsoft Authenticator för Alla användare i principen Autentiseringsmetoder. Ställ in autentiseringsläget på Alla för att tillåta push-meddelanden eller lösenordslös autentisering.
Om Verifieringskod från mobilapp eller maskinvarutoken är aktiverad i den äldre MFA-principen anger du Tillåt användning av Microsoft Authenticator OTP till Ja.
Not
Om användarna registrerar Microsoft Authenticator-appen endast för OTP-kod med hjälp av guiden "Jag vill använda en annan autentiseringsapp" måste du aktivera principen för OATH-token från tredje part.
SMS- och röstsamtal
Den äldre MFA-principen har separata kontroller för SMS - och telefonsamtal. Men det finns också en mobiltelefonkontroll som möjliggör mobiltelefoner för både SMS och röstsamtal. Och en annan kontroll för Office Phone aktiverar endast en kontorstelefon för röstsamtal.
Principen Autentiseringsmetoder har kontroller för SMS- och röstsamtal som matchar den äldre MFA-principen. Om din klientorganisation använder SSPR och mobiltelefonen är aktiverad vill du aktivera både SMS - och röstsamtal i principen Autentiseringsmetoder. Om din klientorganisation använder SSPR och Office Phone är aktiverat vill du aktivera röstsamtal i principen Autentiseringsmetoder och se till att alternativet Office-telefon är aktiverat.
Not
Alternativet Använd för inloggning är standard aktiverat i SMS-inställningar . Det här alternativet aktiverar SMS-inloggning. Om SMS-inloggning är aktiverat för användare hoppas de över från synkronisering mellan klientorganisationer. Om du använder synkronisering mellan klientorganisationer eller inte vill aktivera SMS-inloggning inaktiverar du SMS-inloggning för målanvändare.
OATH-token
OATH-tokenkontrollerna i de äldre MFA- och SSPR-principerna var enskilda kontroller som aktiverade användningen av tre olika typer av OATH-token: Microsoft Authenticator-appen, programvara från tredje part OATH TOTP-kodgeneratorappar och maskinvaru-OATH-token.
Principen Autentiseringsmetoder har detaljerad kontroll med separata kontroller för varje typ av OATH-token. Användning av OTP från Microsoft Authenticator styrs av kontrollen Tillåt användning av Microsoft Authenticator OTP i avsnittet Microsoft Authenticator i principen. Appar från tredje part styrs av avsnittet OATH-token från tredje part i principen. Maskinvaru-OATH-token styrs av avsnittet Maskinvaru-OATH-token i principen.
Säkerhetsfrågor
En kontroll för säkerhetsfrågor kommer snart. Om du använder säkerhetsfrågor och inte vill inaktivera dem ser du till att de är aktiverade i den äldre SSPR-principen tills den nya kontrollen är tillgänglig. Du kan slutföra migreringen enligt beskrivningen i nästa avsnitt med säkerhetsfrågor aktiverade.
Slutför migreringen
När du har uppdaterat principen Autentiseringsmetoder går du igenom de äldre MFA- och SSPR-principerna och tar bort varje autentiseringsmetod en i taget. Testa och verifiera ändringarna för varje metod.
När du fastställer att MFA och SSPR fungerar som förväntat och du inte längre behöver de äldre MFA- och SSPR-principerna kan du ändra migreringsprocessen till Slutförd migrering. I det här läget följer Microsoft Entra-only principen för autentiseringsmetoder. Inga ändringar kan göras i de äldre principerna om slutförd migrering har angetts, förutom säkerhetsfrågor i SSPR-principen. Om du av någon anledning behöver gå tillbaka till de äldre principerna kan du när som helst flytta tillbaka migreringstillståndet till Migrering pågår .