何时使用 Microsoft Entra 多重身份验证提供程序

重要

自 2018 年 9 月 1 日起，可能无法再创建新的身份验证提供程序。 现有的身份验证提供程序可以继续使用和更新，但无法再进行迁移。 多重身份验证将继续作为 Microsoft Entra ID P1 或 P2 许可证中的一项功能提供。

双重验证对于具有 Olfeo 和 Microsoft 365 用户的全局管理员默认可用。 但是，如果想充分利用高级功能，则应购买完整版的 Microsoft Entra 多重身份验证。

Microsoft Entra 多重身份验证提供程序用于利 用 Microsoft Entra 多重身份验证为没有许可证的用户提供的功能。

与 Azure MFA SDK 相关的注意事项

请注意，该 SDK 已弃用，并将仅继续工作到 2018 年 11 月 14 日。 之后将无法再调用该 SDK。

什么是 MFA 提供程序？

有两种类型的身份验证提供程序，区别主要在于 Azure 订阅的收费方式。 基于身份验证的选项会计算一个月内对租户执行的身份验证次数。 此选项最适用于某些帐户仅需偶尔进行身份验证的情况。 每用户选项会计算符合执行 MFA 条件的帐户数，即 Microsoft Entra ID 中的所有帐户以及 MFA 服务器中所有已启用的帐户。 此选项最适用于部分用户有许可证，但需要为超出许可限制的更多用户扩展 MFA 的情况。

管理 MFA 提供程序

创建 MFA 提供程序以后，不能更改使用模型（按启用的用户或按身份验证）。

如果购买了足够多的许可证，可以覆盖启用 MFA 的所有用户，则可以删除整个 MFA 提供程序。

如果 MFA 提供程序未与 Microsoft Entra 租户关联，或者你将新的 MFA 提供程序与其他 Microsoft Entra 租户关联，则用户设置和配置选项不会进行转移。 此外，需要使用通过 MFA 提供程序生成的激活凭据，重新激活现有 Azure MFA 服务器。

使用身份验证提供程序

注意

删除身份验证提供程序时，不会出现任何确认提示。 选择“删除”是永久性过程。

可在 Microsoft Entra 管理中心找到身份验证提供程序。 以权限不低于身份验证策略管理员的身份登录。 浏览至“保护”>“多重身份验证”>“提供程序”。 单击列出的提供程序以查看与该提供程序关联的详细信息和配置。

在删除身份验证提供程序之前，请记下在提供程序中配置的所有自定义设置。 确定需要从提供程序迁移到常规 MFA 设置的设置，并完成这些设置的迁移。

需要使用在“服务器设置”下生成的凭据重新激活链接到提供程序的 Azure MFA 服务器。 在重新激活之前，必须从你的环境中的 AZURE MFA 服务器上 \Program Files\Multi-Factor Authentication Server\Data\ 的目录中删除以下文件：

• caCert
• cert
• groupCACert
• groupKey
• groupName
• LicenseKey
• pkey

确认所有设置都已迁移后，浏览到“提供程序”，依次选择省略号“...”和“删除”。

警告

删除身份验证提供程序将删除与该提供程序关联的所有报告信息。 在删除提供程序之前，你可能需要先保存活动报告。

注意

如果用户的 Microsoft Authenticator 应用和 Azure MFA 服务器版本较低，则可能需要重新注册其应用。

后续步骤

配置多重身份验证设置