編輯

分享方式:

管理 Microsoft Entra 多重要素驗證的使用者驗證方法

  • 作法

Microsoft Entra ID 中的使用者有兩組不同的連絡人資訊:

  • 公用設定檔連絡人資訊,這是在使用者設定檔中進行管理,並可讓您的組織成員看見。 針對從內部部署 Active Directory 同步處理的使用者,這項資訊會在內部部署 Windows Server Active Directory 網域服務中進行管理。
  • 驗證方法一律會保持私用,且僅用於驗證,包括多重要素驗證。 系統管理員可以在使用者的 [驗證方法] 分頁中管理這些方法,而使用者可以在 [我的帳戶] 的 [安全性資訊] 頁面中管理其方法。

在為您的使用者管理 Microsoft Entra 多重要素驗證方法時,驗證系統管理員可以:

  • 為特定使用者新增驗證方法,包括用於 MFA 的電話號碼。
  • 重設使用者的密碼。
  • 需要使用者重新註冊 MFA。
  • 撤銷現有的 MFA 工作階段。
  • 刪除使用者現有的應用程式密碼

注意

本主題中的螢幕擷取畫面顯示如何使用 Microsoft Entra 系統管理中心中的更新體驗來管理使用者驗證方法。 也有舊版體驗,系統管理員可使用系統管理中心的橫幅在兩者之間切換。 新式體驗與舊版體驗完全相等,它可以管理新式方法,例如臨時存取密碼、密鑰和其他設定。 Microsoft Entra 系統管理中心的舊版體驗將從 2024 年 10 月 31 日起淘汰。 在淘汰之前,組織不需要採取任何動作。

必要條件

預設會啟用的 Microsoft Entra 多重要素驗證。

新增或變更使用者的驗證方法

您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph PowerShell 來新增或變更使用者的驗證方法。 在 Microsoft Entra 系統管理中心,管理使用者驗證方法的舊方法將在 2024 年 10 月 31 日之後淘汰。

注意

基於安全性理由,不應該使用公用使用者連絡人資訊欄位來執行 MFA。 反之,使用者應填入其驗證方法編號以用於 MFA。

如何從 Microsoft Entra 系統管理中心新增驗證方法的螢幕擷取畫面。

若要在 Microsoft Entra 系統管理中心新增或變更使用者的驗證方法:

  1. 驗證系統管理員以上權限的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 選擇您想要新增或變更驗證方法的用戶,然後選取 [ 驗證方法]。
  4. 在視窗頂端,選取 [+ 新增驗證方法]
    • 選取方法 (電話號碼或電子郵件)。 電子郵件可用於自行密碼重設,但不能用於驗證。 新增電話號碼時,請選取電話類型,然後輸入有效格式的電話號碼 (例如 +1 4255551234)。
    • 選取 [新增]。

用戶可以在我的登入中 新增或編輯自己的驗證方法 |安全性資訊。 例如,若要變更電話號碼,請選取 [電話號碼 ],然後點選 [變更]。

使用 PowerShell 管理方法

使用下列命令安裝 Microsoft.Graph.Identity.Signins PowerShell 模組。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

管理使用者驗證選項

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

驗證系統管理員可以要求其他使用者重設其密碼、重新註冊 MFA,或從其使用者物件撤銷現有的 MFA 工作階段。 使用者無法更新自己的使用者物件。 若要變更或重設自己的安全性方法,使用者可移至 [安全性資訊],或移至 [自助式密碼重設] 以重設密碼。 若要管理其他使用者設定,請完成下列步驟:

  1. 驗證系統管理員以上權限的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選擇您想要對其執行動作的使用者,然後選取 [驗證方法]。 在視窗頂端,選擇下列其中一個使用者選項:

    • 重設密碼會重設使用者密碼並指派暫時密碼,暫時密碼必須在下次登入時變更。
    • 需要重新註冊 MFA 會停用使用者的硬體 OATH 權杖,並從此使用者中刪除下列驗證方法:電話號碼、Microsoft Authenticator 應用程式和軟體 OATH 權杖。 如果需要,系統會要求使用者在下次登入時設定新的 MFA 驗證方法。
    • 撤銷 MFA 工作階段會清除使用者記住的 MFA 工作階段,並要求使用者在裝置上的原則下次要求時執行 MFA。

    從 Microsoft Entra 系統管理中心管理驗證方法的螢幕擷取畫面。

刪除使用者現有的應用程式密碼

針對已定義應用程式密碼的使用者,系統管理員也可以選擇刪除這些密碼,並使這些應用程式中的舊版驗證失敗。 如果您需要為使用者提供協助,或需要重設其驗證方法,則可能需要執行這些動作。 與這些應用程式密碼相關的非瀏覽器應用程式會停止運作,直到建立新應用程式密碼為止。

若要刪除使用者的應用程式密碼,請完成下列步驟:

  1. 驗證系統管理員 (部分機器翻譯) 以上權限的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選取 [多重要素驗證]。 您可能必須捲動到右邊才能看到此功能表選項。 選取以下的範例螢幕擷取畫面,以查看完整的視窗和功能表位置:從 Microsoft Entra ID 的 [使用者] 視窗中選取 [多重要素驗證] 的螢幕擷取畫面。

  4. 勾選您想要管理之使用者旁邊的方塊。 快速步驟選項清單隨即出現在右側。

  5. 選取 [管理使用者設定],然後勾選 [刪除所選取使用者產生的所有現有應用程式密碼] 方塊,如下列範例所示:刪除所有現有的應用程式密碼的螢幕擷取畫面。

  6. 選取 [儲存],然後 [關閉]

相關內容