移轉至 Microsoft Entra 多重要素驗證和 Microsoft Entra 使用者驗證
多重要素驗證可協助保護您的基礎結構和資產免於惡意執行者的威脅。 不再為新的部署提供 Microsoft 的 Multi-Factor Authentication Server (MFA 伺服器)。 使用 MFA 伺服器的客戶應該移至 Microsoft Entra 多重要素驗證 (Microsoft Entra 多重要素驗證)。
有幾個選項可從 MFA 伺服器移轉到Microsoft Entra ID:
- 良好:只將您的 MFA 服務移至 Microsoft Entra ID。
- 較佳:將您的 MFA 服務和使用者驗證移至 Microsoft Entra ID,如本文所述。
- 最佳:將您所有的應用程式、MFA 服務和使用者驗證移至 Microsoft Entra ID。 如果您規劃移動本文中所涵蓋的應用程式,請參閱本文的「將應用程式移至 Microsoft Entra ID」一節。
若要為您的組織選取適當的 MFA 移轉選項,請參閱從 MFA 伺服器移轉到 Microsoft Entra 多重要素驗證中的考量。
下圖顯示移轉到 Microsoft Entra 多重要素驗證和雲端驗證的程序,同時將部分應用程式保留在 AD FS 上。 此程序可讓您根據群組成員資格,以反覆方式將使用者從 MFA 伺服器移轉到 Microsoft Entra 多重要素驗證。
本文的後續章節將說明每個步驟。
注意
如果您規劃在此移轉過程中將任何應用程式移至 Microsoft Entra ID,您應該在 MFA 移轉之前執行這項操作。 如果您移動所有應用程式,則可以略過 MFA 移轉程序的章節。 請參閱本文結尾處的<移動應用程式>一節。
移轉到 Microsoft Entra ID 和使用者驗證的程序
準備群組和條件式存取
群組會用於 MFA 移轉的三個功能。
透過分段推出以反覆方式將使用者移至 Microsoft Entra 多重要素驗證。
使用在 Microsoft Entra ID 中建立的群組,也稱為僅限雲端的群組。 您可以使用 Microsoft Entra 安全性群組或 Microsoft 365 群組,將使用者移至 MFA 和進行條件式存取原則。
重要
「分段推出」不支援巢狀群組與動態成員資格群組。 請不要使用這些類型的群組。
條件式存取原則。 您可以使用 Microsoft Entra ID 或內部部署群組進行條件式存取。
針對具有宣告規則的 AD FS 應用程式叫用 Microsoft Entra 多重要素驗證。 此步驟僅適用於使用應用程式搭配 AD FS。
您必須使用內部部署 Active Directory 安全性群組。 當 Microsoft Entra 多重要素驗證成為其他驗證方法之後,您可以指定使用者群組在每個信賴憑證者信任上使用該方法。 例如,您可以為已移轉的使用者呼叫 Microsoft Entra 多重要素驗證,為尚未移轉的使用者呼叫 MFA 伺服器。 此策略在測試和移轉期間都很有幫助。
注意
不建議您重複使用安全性所使用的群組。 僅使用安全性群組來保護具有條件式存取原則的高價值應用程式群組。
設定條件式存取原則
如果您已使用條件式存取來決定何時提示使用者進行 MFA,則不需要對原則進行任何變更。 將使用者移轉到雲端驗證之後,使用者將會開始使用 Microsoft Entra 多重要素驗證 (如您的條件式存取原則所定義)。 而不會再將其重新導向至 AD FS 和 MFA 伺服器。
如果您的同盟網域已將 federatedIdpMfaBehavior 設定為 enforceMfaByFederatedIdp
,或將 SupportsMfa 旗標設定為 $True
(federatedIdpMfaBehavior 會在兩者都設定時覆寫 SupportsMfa),那麼您可能會以宣告規則在 AD FS 上強制執行 MFA。
在此情況下,您將需要在 Microsoft Entra ID 信賴憑證者信任上分析宣告規則,並建立支援相同安全性目標的條件式存取原則。
如有必要,請先設定條件式存取原則,再啟用分段推出。 如需詳細資訊,請參閱以下資源:
準備 AD FS
如果 AD FS 中沒有任何需要 MFA 的應用程式,您可以略過本節,並前往準備分段推出一節。
將 AD FS 伺服器陣列升級至 2019、FBL 4
在 AD FS 2019 中,Microsoft 發行了新功能,協助信賴憑證者 (例如應用程式) 指定其他驗證方法。 您可以使用群組成員資格來判斷驗證提供者,以指定其他驗證方法。 藉由指定其他驗證方法,您可以轉換為 Microsoft Entra 多重要素驗證,並且在轉換期間讓其他驗證保持不變。
如需詳細資訊,請參閱升級至使用 WID 資料庫的 Windows Server 2016 AD FS。 本文討論如何將您的伺服器陣列升級至 AD FS 2019,並將您的 FBL 升級至 4。
設定宣告規則以叫用 Microsoft Entra 多重要素驗證
Microsoft Entra 多重要素驗證既已是額外的驗證方法,您就可以設定宣告規則,也稱為「信賴憑證者信任」,指派使用者群組使用 Microsoft Entra 多重要素驗證。 藉由使用群組,您可以控制全域或透過應用程式呼叫哪些驗證提供者。 例如,您可以為已註冊合併安全性資訊或已移轉電話號碼的使用者呼叫 Microsoft Entra 多重要素驗證,同時為電話號碼尚未移轉的使用者呼叫 MFA 伺服器。
注意
宣告規則需要內部部署安全性群組。
備份規則
設定新的宣告規則之前,請先備份您的規則。 您在執行清除步驟時將必須還原這些宣告。
視您的設定而定,您可能也需要複製現有的規則,並附加要為移轉建立的新規則。
若要檢視全域規則,請執行:
Get-AdfsAdditionalAuthenticationRule
若要檢視信賴憑證者信任,請執行下列命令,並將 RPTrustName 取代為信賴憑證者信任宣告規則的名稱:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
存取控制原則
注意
存取控制原則無法設定成根據群組成員資格來叫用特定驗證提供者。
若要從存取控制原則轉換為其他驗證規則,請使用 MFA 伺服器驗證提供者,針對每個信賴憑證者信任執行此命令:
Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**
此命令會將邏輯從您目前的存取控制原則移至其他驗證規則。
設定群組,並尋找 SID
您必須具有特定群組,以便將您要叫用 Microsoft Entra 多重要素驗證的使用者放在其中。 您必須尋找該群組的安全識別碼 (SID)。
若要尋找群組 SID,請執行下列命令,並以您的群組名稱取代 GroupName
:
Get-ADGroup GroupName
設定宣告規則以呼叫 Microsoft Entra 多重要素驗證
當群組中的使用者不在公司網路上時,下列 Microsoft Graph PowerShell Cmdlet 會為其叫用 Microsoft Entra 多重要素驗證。
執行上述 Cmdlet,以找到的 SID 取代 "YourGroupSid"
。
請務必檢閱如何在 2019 中選擇其他驗證提供者。
重要
繼續之前,請先備份您的宣告規則。
設定全域宣告規則
執行下列命令,並將 RPTrustName 取代為信賴憑證者信任宣告規則的名稱:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
此命令會針對您的信賴憑證者信任傳回您目前的其他驗證規則。
您必須將下列規則附加至目前的宣告規則:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
下列範例假設您目前的宣告規則已設定為在使用者從您的網路外部連線時提示進行 MFA。 此範例包含您需要附加的其他規則。
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
設定每個應用程式的宣告規則
此範例會修改特定信賴憑證者信任 (應用程式) 的宣告規則。 其中包含您需要附加的其他規則。
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
在 AD FS 中將 Microsoft Entra 多重要素驗證設定為驗證提供者
若要設定 AD FS 的 Microsoft Entra 多重要素驗證,您必須設定每個 AD FS 伺服器。 如果您的伺服器陣列中有多部 AD FS 伺服器,您可以使用 Microsoft Graph PowerShell 從遠端設定這些伺服器。
如需此程序的逐步指示,請參閱設定 AD FS 伺服器。
設定伺服器之後,您可以將 Microsoft Entra 多重要素驗證新增為其他驗證方法。
準備分段推出
現在您已準備好啟用分段推出。 分段推出可協助您反覆將使用者移至 PHS 或 PTA,同時也移轉其內部部署 MFA 設定。
- 請務必檢閱支援的案例。
- 首先,您必須執行 PHS 的前置工作或 PTA 的前置工作。 建議使用 PHS。
- 接著,您要執行無縫 SSO 的前置工作。
- 針對您選取的驗證方法啟用雲端驗證的分段推出。
- 新增您為分段推出建立的群組。 請記住,您會反覆將使用者新增至群組,而且這些群組不能是巢狀群組或組動態成員資格群組。
註冊使用者以進行 Microsoft Entra 多重要素驗證
本節介紹使用者如何註冊合併安全性 (MFA 和自助式密碼重設),以及如何移轉其 MFA 設定。 Microsoft Authenticator 可在無密碼模式下使用。 此外也可在任一註冊方法中作為 MFA 的第二個要素。
註冊合併安全性註冊 (建議使用)
建議讓您的使用者註冊合併安全性資訊,這是為 MFA 和 SSPR 註冊其驗證方法和裝置的單一位置。
Microsoft 提供通訊範本,您可以將其提供給使用者,引導他們完成合併註冊程序。
其中包括電子郵件、海報、桌上型立牌和各種其他資產的範本。 使用者會在 https://aka.ms/mysecurityinfo
註冊其資訊,這會將其帶往合併安全性註冊畫面。
建議您使用條件式存取來保護安全性註冊程序,以要求從信任的裝置或位置進行註冊。 如需追蹤註冊狀態的資訊,請參閱 Microsoft Entra ID 的驗證方法活動。
注意
如果使用者「必須」從非信任的位置或裝置註冊合併安全性資訊,可以對其發行臨時存取密碼或暫時將其從原則中排除。
從 MFA 伺服器移轉 MFA 設定
您可以使用 MFA 伺服器移轉公用程式將已註冊的使用者 MFA 設定從 MFA 伺服器同步至 Microsoft Entra ID。 您可以同步電話號碼、硬體權杖和裝置註冊,例如 Microsoft Authenticator 應用程式設定。
將使用者新增至適當的群組
- 如果您已建立新的條件式存取原則,請將適當的使用者新增至這些群組。
- 如果您為宣告規則建立了內部部署安全性群組,請將適當的使用者新增至這些群組。
- 只有將使用者新增至適當的條件式存取規則之後,才能將使用者新增至您為分段推出建立的群組。 完成之後,使用者將會開始使用您選取的 Azure 驗證方法 (PHS 或 PTA),並在必須執行 MFA 時使用 Microsoft Entra 多重要素驗證。
重要
「分段推出」不支援巢狀群組與動態成員資格群組。 請勿使用這些類型的群組。
不建議您重複使用安全性所使用的群組。 如果您使用安全性群組來保護具有條件式存取原則的高價值應用程式群組,請勿將該群組用於其他目的。
監視
有許多 Azure 監視器活頁簿以及使用量與深入解析報告可用來監視您的部署。 您可以在 Microsoft Entra ID 瀏覽窗格的 [監視] 下中找到這些報表。
監視分段推出
在 [活頁簿] 區段中,選取 [公用範本]。 在 [混合式驗證] 區段下,選取 [分段推出中的群組、使用者和登入] 活頁簿。
此活頁簿可用來監視下列活動:
- 已新增至分段推出的使用者和群組。
- 已從分段推出中移除的使用者和群組。
- 分段推出中的使用者登入失敗,以及失敗的原因。
監視 Microsoft Entra 多重要素驗證註冊
您可以使用驗證方法使用量與深入解析報告,來監視 Microsoft Entra 多重要素驗證註冊。 您可以在 Microsoft Entra ID 中找到此報告。 選取 [監視],然後選取 [使用量與深入解析]。
在 [使用量與深入解析] 中,選取 [驗證方法]。
您可以在 [註冊] 索引標籤上找到詳細的 Microsoft Entra 多重要素驗證註冊資訊。您可以選取 [已註冊 Azure 多重要素驗證的使用者] 超連結,向下鑽研以檢視已註冊使用者的清單。
監視應用程式登入健康狀態
您可以使用應用程式登入健康狀態活頁簿或應用程式活動使用量報告,監視移至 Microsoft Entra ID 的應用程式。
- 應用程式登入健康狀態活頁簿。 如需使用此活頁簿的詳細指引,請參閱監視應用程式登入健康狀態以獲得復原能力。
- Microsoft Entra 應用程式活動使用量報告。 您可以使用此報表來檢視個別應用程式的成功和失敗登入,並能夠向下切入和檢視特定應用程式的登入活動。
清除工作
將所有使用者移至 Microsoft Entra 雲端驗證和Microsoft Entra 多重要素驗證之後,您就可以解除委任 MFA 伺服器。 建議您檢閱 MFA 伺服器記錄,確保沒有任何使用者或應用程式正在使用此伺服器,再將其移除。
將您的網域轉換為受控驗證
您現在應該將 Microsoft Entra ID 中的同盟網域轉換為受控,並移除分段推出設定。 此轉換可確保新的使用者不需要加入移轉群組,就能使用雲端驗證。
還原 AD FS 上的宣告規則,並移除 MFA 伺服器驗證提供者
依照設定宣告規則以叫用 Microsoft Entra 多重要素驗證下的步驟還原宣告規則,並移除所有 AzureMFAServerAuthentication 宣告規則。
例如,從規則中移除下列區段:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
停用在 AD FS 中作為驗證提供者的 MFA 伺服器
此變更可確保只會使用 Microsoft Entra 多重要素驗證作為驗證提供者。
- 開啟 AD FS 管理主控台。
- 在 [服務] 底下,以滑鼠右鍵按一下 [驗證方法],然後選取 [編輯多重要素驗證方法]。
- 清除 [Azure Multi-Factor Authentication Server] 核取方塊。
解除委任 MFA 伺服器
遵循您的企業伺服器解除委任程序,以移除您環境中的 MFA 伺服器。
解除委任 MFA 伺服器時的可能考量包括:
- 建議您檢閱 MFA 伺服器記錄,確保沒有任何使用者或應用程式正在使用此伺服器,再將其移除。
- 從伺服器的主控台解除安裝 Multi-Factor Authentication Server。
- 選擇性地先清除備份之後遺留的記錄和資料目錄。
- 解除安裝多重要素驗證網頁伺服器 SDK,並包括任何留在 inetpub\wwwroot\MultiFactorAuthWebServiceSdk 和/或 MultiFactorAuth 目錄中的檔案 (如果適用的話)。
- 若為 MFA 伺服器 8.0.x 版之前的版本,可能也需要移除多重要素驗證手機應用程式 Web 服務。
將應用程式驗證移至 Microsoft Entra ID
如果您連同 MFA 和使用者驗證一起移轉所有應用程式驗證,您將能夠移除大部分的內部部署基礎結構,進而降低成本和風險。 如果您移動所有應用程式驗證,則可以略過準備 AD FS 階段並簡化 MFA 移轉。
下圖顯示移動所有應用程式驗證的程序。
如果無法在移轉前移動所有應用程式,請儘量在開始之前多移動一些應用程式。 如需將應用程式移轉至 Azure 的詳細資訊,請參閱將應用程式移轉至 Microsoft Entra ID 的資源。