如何將 MFA 和 SSPR 原則設定移轉至 Microsoft Entra ID 的驗證方法原則
您可以將分別控制多重要素驗證 (MFA) 和自助式密碼重設 (SSPR) 的 Microsoft Entra ID 舊版原則設定 (部分機器翻譯),移轉至使用驗證方法原則 (部分機器翻譯) 的整合式管理。
您可以使用 Microsoft Entra 管理中心中的驗證方法移轉指南 (預覽版),將移轉自動化。 本指南提供精靈,可協助稽核 MFA 和 SSPR 的目前原則設定。 接著其會在驗證方法原則中合併這些設定,供您更輕鬆地統一管理這些設定。
您也可以根據自己的排程手動移轉原則設定。 移轉程序可完全復原。 您可以在驗證方法原則裡針對使用者和群組精確地設定驗證方法時,繼續使用全租用戶的 MFA 和 SSPR 原則。
如需這些原則在移轉期間彼此搭配運作的詳細資訊,請參閱<管理 Microsoft Entra ID 的驗證方法>(部分機器翻譯)。
自動化移轉指南
借助自動化移轉指南,您只需按幾下滑鼠,即可移轉到管理驗證方法的位置。 您可以瀏覽至 [保護]>[驗證方法]>[原則],從 Microsoft Entra 管理中心進行存取。
![[驗證方法原則] 刀鋒視窗的螢幕擷取畫面,其中顯示了反白顯示的精靈進入點。](media/how-to-authentication-methods-manage/wizard-entry-point.png)
精靈的第一頁將提供相關說明,以及其運作方式。 其也將提供每個舊版原則的連結以供參考。
![[驗證方法原則] 刀鋒視窗的螢幕擷取畫面,其中顯示了反白顯示的精靈第一頁。](media/how-to-authentication-methods-manage/wizard-first-page.png)
然後,精靈會根據貴組織目前在舊版 MFA 和 SSPR 原則中啟用的內容來設定驗證方法原則。 如果在任一個舊版原則中啟用方法,建議您也在驗證方法原則中將其啟用。 透過該設定,使用者可以繼續使用與先前相同方法來登入和重設其密碼。
此外,建議啟用最新的新式安全方法 (例如密鑰、臨時存取密碼以及 Microsoft Authenticator),來改善組織的安全性態勢。 若要編輯建議的設定,請選取每個方法旁的鉛筆圖示。
![[驗證方法原則] 刀鋒視窗的螢幕擷取畫面,其中顯示了反白顯示的精靈第二頁。](media/how-to-authentication-methods-manage/wizard-second-page.png)
設定好所需內容後,請選取 [移轉],然後確認移轉。 為符合精靈中指定的設定,驗證方法原則會進行更新。 舊版 MFA 和 SSPR 原則中的驗證方法會變成灰色,無法再套用。
移轉狀態會更新為 [移轉完成]。 如有需要,您可以隨時將此狀態變更回 [進行中],在舊版原則中重新啟用方法。
手動移轉
首先,針對使用者可用的每個驗證方法,稽核現有原則設定。 如果在移轉期間復原,您可能需要從下列每個原則取得驗證方法設定的記錄:
- MFA 原則
- SSPR 原則 (若使用)
- 驗證方法原則 (若使用)
如果您並未使用 SSPR,且尚未使用驗證方法原則,則只需要從 MFA 原則取得設定。
檢閱舊版 MFA 原則
首先,記載舊版 MFA 原則中可用的方法。
以全域管理員的身分登入 Microsoft Entra 管理中心。
移至 [身分識別]>[使用者]>[所有使用者]>[個別使用者 MFA]>[服務設定] 來檢視設定。 這些設定是全租用戶適用,因此不需要使用者或群組資訊。
對於每個方法,請注意是否針對租用戶加以啟用。 下表列出舊版 MFA 原則中可用的方法,以及驗證方法原則中的對應方法。
| 多重要素驗證原則 | 驗證方法原則 |
|---|---|
| 電話通話 | 語音通話 |
| 電話簡訊 | 簡訊 |
| 行動應用程式的通知 | Microsoft Authenticator |
| 來自行動應用程式或硬體權杖的驗證碼 | 協力廠商軟體 OATH 權杖 硬體 OATH 權杖 Microsoft Authenticator |
檢閱舊版 SSPR 原則
若要取得舊版 SSPR 原則中可用的驗證方法,請移至 [身分識別]>[保護]>[密碼重設]>[驗證方法]。 下表列出舊版 SSPR 原則中可用的方法,以及驗證方法原則中的對應方法。
記錄哪些使用者屬於 SSPR 的範圍 (所有使用者、一個特定群組或沒有使用者),以及他們可以使用的驗證方法。 雖然您還無法在驗證方法原則中管理安全性問題,但請確定您稍後可以管理這些問題時,把這些問題記錄下來。
| SSPR 驗證方法 | 驗證方法原則 |
|---|---|
| 行動應用程式通知 | Microsoft Authenticator |
| 行動應用程式驗證碼 | Microsoft Authenticator 軟體 OATH 權杖 |
| 電子郵件 | 電子郵件 OTP |
| 行動電話 | 語音通話 簡訊 |
| 辦公室電話 | 語音通話 |
| 安全性問題 | 尚無法使用;複製問題以供稍後使用 |
驗證方法原則
若要檢查驗證方法原則中的設定,請至少以驗證原則管理員的身分登入 Microsoft Entra 管理中心,瀏覽至 [資料保護]>[驗證方法]>[原則]。 針對新的租用戶,預設是關閉所有方法,這可讓移轉變得更容易,因為舊版原則設定不需要與現有設定合併。
- 至少以驗證原則管理員的身分登入 Microsoft Entra 管理中心。
- 瀏覽至 [資料保護]>[驗證方法]>
驗證方法原則具有舊版原則中無法使用的其他方法,例如 FIDO2 安全性金鑰、臨時存取密碼,以及 Microsoft Entra 憑證型驗證。 這些方法都不在移轉範圍內。因此,如果您已經設定這些方法,就不需要加以變更。
如果您已在驗證方法原則中啟用其他方法,請記下可以或無法使用這些方法的使用者和群組。 記下可控管方法使用方式的設定參數。 例如,您可以設定 Microsoft Authenticator 在推送通知中提供位置。 針對與每個方法相關聯的類似設定參數,建立針對哪些使用者和群組啟用的記錄。
開始移轉
從您目前使用的原則擷取可用的驗證方法之後,就可以開始移轉。 開啟驗證方法原則,選取 [管理移轉],然後選取 [移轉進行中]。
在進行任何變更之前,您需要設定此選項,因為其會將新原則同時套用至登入和密碼重設案例。
下一個步驟是更新驗證方法原則,以符合您的稽核。 您需要逐一檢閱每個方法。 如果您的租用戶只使用舊版 MFA 原則,且未使用 SSPR,則更新程序很簡單。您可以為所有使用者啟用每個方法,並完全符合現有的原則。
如果您的租用戶同時使用 MFA 和 SSPR,則必須考慮每個方法:
- 如果該方法在兩個舊版原則中都啟用,請在驗證方法原則中為所有使用者啟用此方法。
- 如果該方法在兩個舊版原則中是關閉狀態,則請不要在驗證方法原則中為所有使用者啟用此方法。
- 如果該方法只在一個原則中啟用,則您必須決定是否在所有情況下都可使用該方法。
只要符合原則,您就可以輕鬆地比對目前狀態。 如果發生不相符的情況,則必須決定要完全啟用或停用方法。 例如,假設已啟用行動應用程式的通知,以允許 MFA 的推播通知。 在舊版 SSPR 原則中,並未啟用行動應用程式通知方法。 在此情況下,舊版原則允許 MFA 的推播通知,但不允許 SSPR 的推播通知。
接著,您需要在驗證方法原則中選擇是否要同時針對 SSPR 和 MFA 啟用 Microsoft Authenticator,還是將其停用 (我們建議啟用 Microsoft Authenticator)。
請注意,在驗證方法原則中,除了所有使用者,您還可以選擇為使用者群組啟用方法;您也可以排除使用者群組,使其無法使用指定的方法。 這表示您有許多彈性來控制哪些使用者可以使用哪些方法。 例如,您可以為所有使用者啟用 Microsoft Authenticator,並將簡訊和語音通話限制為需要這些方法的 1 個群組 20 位使用者。
在更新驗證方法原則中的每個方法時,某些方法有可設定的參數,讓您能夠控制該方法的使用方式。 例如,若啟用 [語音通話] 作為驗證方法,您可以選擇同時允許使用辦公室電話和行動電話,或只允許使用行動電話。 逐步執行從稽核設定每個驗證方法的流程。
您不需要符合現有的原則! 您可以檢閱已啟用的方法,並選擇新的原則,以最大化租用戶的安全性和可用性。 請注意,停用已使用這些方法的使用者可能需要這些使用者註冊新的驗證方法,並防止他們使用先前註冊的方法。
接下來幾節會介紹每種方法的具體移轉指導。
電子郵件一次性密碼
電子郵件一次性密碼有兩個控制項:
在設定的 [啟用並設定目標] 區段中,使用 include 和 exclude 作為目標,可用來為租用戶成員啟用電子郵件 OTP,以進行密碼重設。
在 [設定] 區段中有個別的 [允許外部使用者使用電子郵件 OTP] 控制項,可控制 B2B 使用者使用電子郵件 OTP 來登入。 如果啟用此控制項,就無法停用驗證方法。
Microsoft Authenticator
如果在舊版 MFA 原則中啟用 [行動應用程式的通知],請在驗證方法原則中為 [所有使用者] 啟用 Microsoft Authenticator。 將驗證模式設定為 [任何],以允許推播通知或無密碼驗證。
如果舊版 MFA 原則中已啟用 [來自行動應用程式或硬體權杖的驗證碼],請將 [允許使用 Microsoft Authenticator OTP] 設定為 [是]。
注意
如果使用者使用我想使用不同的驗證器應用程式精靈,僅註冊 Microsoft Authenticator 應用程式來使用 OTP 代碼,則必須啟用 [協力廠商軟體 OATH 權杖] 原則。
簡訊和語音電話
舊版 MFA 原則能分別控制簡訊和電話。 但還有一個行動電話控制項,讓行動電話可以傳送簡訊和撥打語音電話。 辦公室電話的另一個控制項只針對語音通話啟用辦公室電話。
驗證方法原則能控制簡訊和語音通話控制項,這符合舊版 MFA 原則。 如果租用戶使用 SSPR,且已啟用 [行動電話],您需要在驗證方法原則中啟用 [簡訊] 和 [語音通話]。 如果租用戶使用 SSPR,且已啟用 [辦公室電話],您需要在驗證方法原則中啟用 [語音通話],並確定已啟用 [辦公室電話] 選項。
注意
在 [簡訊] 設定上,預設會啟用 [用於登入] 選項。 此選項可啟用簡訊登入。 如果已針對使用者啟用簡訊登入,則會略過跨租用戶同步處理。 如果您使用跨租用戶同步處理,或不想啟用簡訊登入,請針對目標使用者停用簡訊登入。
OATH 權杖
舊版 MFA 和 SSPR 原則中的 OATH 權杖控制項是單一控制項,可讓您使用三種不同類型的 OATH 權杖:Microsoft Authenticator 應用程式、協力廠商軟體 OATH TOTP 代碼產生器應用程式,以及硬體 OATH 權杖。
驗證方法原則提供細微控制項,針對每個類型 OATH 權杖分別提供控制項。 使用來自 Microsoft Authenticator 的 OTP,是由原則的 [Microsoft Authenticator] 區段中的 [允許使用 Microsoft Authenticator OTP] 所控制。 協力廠商應用程式是由原則的 [協力廠商軟體 OATH 權杖] 區段所控制。 硬體 OATH 權杖是由原則的 [硬體 OATH 權杖] 區段所控制。
安全性問題
我們也即將針對安全性問題推出相關控制項。 如果在使用安全性問題,也不想停用,請務必在舊版 SSPR 原則中保持啟用狀態,直到出現可用的新控制項為止。 在啟用安全性問題後,您可以按照下一節中的內容完成移轉。
完成移轉
更新驗證方法原則之後,請瀏覽舊版 MFA 和 SSPR 原則,並逐一移除每個驗證方法。 測試並驗證每個方法的變更。
在確定 MFA 和 SSPR 如預期運作,不再需要舊版 MFA 和 SSPR 原則時,即可將移轉流程變更為 [移轉完成]。 在此模式中,Microsoft Entra 遵循驗證方法原則。 如果未設定 [移轉完成],則不會變更舊版原則,但 SSPR 原則中的安全性問題除外。 如需回到舊版原則,您可以隨時將移轉狀態移回 [移轉進行中]。
![螢幕擷取畫面,其中顯示了 [移轉完成]。](media/how-to-authentication-methods-manage/migration-complete.png)
後續步驟
- 管理 Microsoft Entra ID 中的驗證方法 (部分機器翻譯)
- Microsoft Entra ID 中有哪些可用的驗證和驗證方法?(部分機器翻譯)
- Microsoft Entra 多重要素驗證的運作方式 (部分機器翻譯)
- Microsoft Graph REST API (英文)