設定 Microsoft Entra 多重要素驗證設定
若要自訂 Microsoft Entra 多重要素驗證的使用者體驗,您可以設定帳戶鎖定閾值或詐騙警示和通知等設定選項。
下列 Microsoft Entra 多重要素驗證設定可供使用:
| 功能 | 描述 |
|---|---|
| 帳戶鎖定 (僅限 MFA 伺服器) | 如果資料列中有太多遭到拒絕的驗證嘗試,請暫時鎖定使用 Microsoft Entra 多重要素驗證的帳戶。 此功能僅適用於使用 MFA Server 輸入 PIN 進行驗證的使用者。 |
| 封鎖/解除封鎖使用者 | 封鎖特定使用者,使其無法接收 Microsoft Entra 多重要素驗證要求。 系統會自動拒絕已封鎖使用者的任何驗證嘗試。 使用者在遭到封鎖後的 90 天,或是手動將其解除封鎖之前,均會維持封鎖。 |
| 詐騙警示 | 設定可讓使用者報告詐騙驗證要求的設定。 |
| 報告可疑活動 | 設定可讓使用者報告詐騙驗證要求的設定。 |
| 通知 | 啟用 MFA 伺服器中事件的通知。 |
| OATH 權杖 | 用於雲端式 Microsoft Entra 多重要素驗證環境,以管理使用者的 OATH 權杖。 |
| 電話 通話設定 | 設定與雲端和內部部署環境之通話和問候語相關的設定。 |
| 提供者 | 這會顯示任何可能已與您帳戶建立關聯的現有驗證提供者。 自 2018 年 9 月 1 日起已停用新增新提供者。 |
帳戶鎖定 (僅限 MFA 伺服器)
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
注意
帳戶鎖定只會影響使用 MFA Server 內部部署登入的使用者。
為避免重複嘗試進行 MFA 的攻擊,帳戶鎖定設定可讓您指定帳戶在鎖定前一段期間內允許失敗的嘗試次數。 只有在內部部署使用 MFA Server 輸入 MFA 提示字元的 PIN 碼時,才會套用帳戶鎖定設定。
以下是可用的設定:
- 觸發帳戶鎖定的 MFA 拒絕次數
- 帳戶鎖定計數器重設前的分鐘數
- 帳戶自動解除封鎖前的分鐘數
若要設定帳戶鎖定設定,請完成下列步驟:
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>多重要素驗證>帳戶鎖定]。 您可能需要按兩下 [ 顯示更多 ] 以查看 多重要素驗證。
輸入您的環境值,然後選取 [儲存]。
封鎖及解除封鎖使用者
如果使用者的裝置遺失或遭竊,您可以封鎖相關聯帳戶的 Microsoft Entra 多重要素驗證嘗試。 系統會自動拒絕封鎖使用者的任何 Microsoft Entra 多重要素驗證嘗試。 使用者在遭到封鎖後的 90 天會維持封鎖。 如需說明如何執行這項操作的影片,請參閱 如何封鎖和解除封鎖租使用者中的使用者。
封鎖使用者
要封鎖使用者,請完成下列步驟。
- 流覽至 [保護>多重要素驗證>封鎖/解除封鎖使用者]。
- 選取 [ 新增 ] 以封鎖使用者。
- 以 格式
username@domain.com輸入封鎖使用者的使用者名稱,然後在 [原因] 方塊中提供批注。 - 選取 [ 確定 ] 以封鎖使用者。
解除封鎖使用者
要解除封鎖使用者,請完成下列步驟:
- 移至 [ 保護>多重要素驗證>封鎖/解除封鎖使用者]。
- 在使用者旁邊的 [ 動作] 欄中 ,選取 [解除封鎖]。
- 在 [解除封鎖的原因] 方塊中輸入批注。
- 選取 [確定] 以封鎖使用者。
詐騙警示
詐騙警示功能可讓用戶回報詐騙嘗試存取其資源。 收到未知且可疑的 MFA 提示時,使用者可以使用 Microsoft Authenticator 應用程式或透過手機回報詐騙嘗試。
Microsoft 建議使用 報告可疑活動 ,而不是詐騙警示,因為它與 Identity Protection 整合,以進行風險驅動補救、更好的報告功能,以及最低許可權的系統管理。
下列詐騙警示設定選項可供使用:
自動封鎖回報詐騙的使用者。 如果使用者回報詐騙,則會封鎖用戶帳戶的 Azure AD 多重要素驗證嘗試 90 天,或直到系統管理員解除封鎖帳戶為止。 系統管理員可以使用登入報告來檢閱登入,並採取適當的動作來防止未來的詐騙。 然後 ,系統管理員可以解除封鎖 用戶帳戶。
在初始問候語期間報告詐騙的程序代碼。 當使用者收到電話以執行多重要素驗證時,他們通常會按下 # 來確認其登入。 若要回報詐騙,使用者先輸入程式碼,再按 #。 此程式代碼預設為 0 ,但您可以加以自訂。 如果啟用自動封鎖,在使用者按下 0# 回報詐騙之後,他們必須按 1 以確認帳戶封鎖。
注意
Microsoft 的預設語音問候語會指示使用者按 0# 提交詐騙警示。 如果您想要使用 0 以外的程式代碼,請記錄並上傳您自己的自訂語音問候語,併為您的使用者提供適當的指示。
若要啟用及設定詐騙警示,請完成下列步驟:
- 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>多重要素驗證>詐騙] 警示。
- 將 [允許使用者提交詐騙警示] 設定為 [開啟]。
- 設定 [自動封鎖在初始問候語設定期間報告詐騙] 或 [程序代碼] 的使用者,以視需要回報詐騙。
- 選取 [儲存]。
報告可疑的活動
報告可疑活動,已更新 的 MFA 詐騙警示 功能,現已可供使用。 收到未知且可疑的 MFA 提示時,使用者可以使用 Microsoft Authenticator 或透過手機回報詐騙嘗試。 這些警示會與 Identity Protection 整合,以取得更完整的涵蓋範圍和功能。
回報 MFA 提示的用戶會設定為 「高用戶風險」。 管理員 istrators 可以使用風險型原則來限制這些使用者的存取,或啟用自助式密碼重設 (SSPR) 讓使用者自行補救問題。 如果您先前使用 詐騙警示 自動封鎖功能,且沒有以風險為基礎的原則的 Microsoft Entra ID P2 授權,您可以使用風險偵測事件來識別和停用受影響的使用者,並自動防止其登入。 如需使用風險型原則的詳細資訊,請參閱 風險型存取原則。
若要從驗證方法啟用報告可疑活動,設定:
- 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>驗證方法> 設定]。
- 將 [報告可疑活動] 設定為 [已啟用]。 如果您選擇 [Microsoft 受管理],此功能仍會保持停用。 如需 Microsoft Managed 值的詳細資訊,請參閱 保護 Microsoft Entra ID 中的驗證方法。
- 選取 [ 所有使用者 ] 或特定群組。
- 選取報表 程序代碼。
- 按一下 [儲存]。
注意
如果您啟用 報告可疑活動 並指定自定義語音報告值,而租使用者仍 已啟用詐騙警示 ,並已設定自定義語音報告號碼, 則會使用報告可疑活動 值,而不是 詐騙警示。
檢視可疑的活動事件
當用戶回報 MFA 提示為可疑時,事件會顯示在 [登入] 報告中(以使用者拒絕的登入身分)、[稽核記錄] 和 [風險偵測] 報告中顯示。
若要檢視風險偵測報告,請選取 [保護>身分識別保護>風險偵測]。 風險事件是標準 風險偵測 報告的一部分,而且會顯示為偵測類型 用戶報告可疑活動、風險層級 高、來源 終端用戶報告。
若要在登入報告中檢視詐騙報告,請選取 [身分>識別監視與健康情況>登入記錄驗證詳細數據]。> 詐騙報告是標準 Microsoft Entra 登入 報告的一部分,並會出現在結果詳細數據中,如 MFA 拒絕、詐騙代碼輸入。
若要在稽核記錄中檢視詐騙報告,請選取 [身分>識別監視與健康情況>稽核記錄]。 詐騙報告會出現在 [活動類型詐騙] 底下 - 使用者因 MFA 或 Fraud 報告而遭到封鎖 - 不會根據詐騙報告的租使用者層級設定採取任何動作。
注意
如果使用者執行無密碼驗證,則不會回報為高風險。
管理可疑的活動事件
用戶回報提示為可疑之後,應調查並補救 Identity Protection 的風險。
報告可疑的活動和詐騙警示
報告可疑活動和 舊版 詐騙警示 實作可以平行運作。 當您開始使用報告可疑活動與目標測試群組時,您可以保留整個租用戶的詐騙警示功能。
如果 啟用自動封鎖的詐騙警示 ,並 啟用報告可疑活動 ,則會將使用者新增至封鎖清單,並針對任何其他已設定的原則設定為高風險和範圍內。 這些使用者必須從封鎖清單中移除,並補救其風險,讓他們能夠使用 MFA 登入。
通知
您可以設定 Microsoft Entra ID 以在使用者報告詐騙警示時傳送電子郵件通知。 這些通知通常會傳送給身分識別管理員,因為使用者的帳號登入資訊可能已遭盜用。 下列是詐騙警示通知電子郵件的範例:
若要設定詐騙警示通知:
- 移至 [保護>多重要素驗證>通知]。
- 輸入要傳送通知的電子郵件位址。
- 若要移除現有的電子郵件位址,請選取 電子郵件地址旁邊的 [...] ,然後選取 [ 刪除]。
- 選取 [儲存]。
OATH 權杖
Microsoft Entra ID 支援使用 OATH TOTP SHA-1 令牌,每 30 或 60 秒重新整理代碼一次。 您可向自選廠商購買這些權杖。
OATH TOTP 硬體權杖通常會隨附在權杖中預先程式設計的秘密金鑰或種子。 您必須將這些金鑰輸入 Microsoft Entra ID,如下列步驟所述。 祕密金鑰僅限 128 個字元,可能不會和所有權杖都相容。 秘密金鑰只能包含 a-z 或 A-Z 字元和數位 1-7。 必須採用 Base32 編碼。
可程式化的 OATH TOTP 硬體權杖,也可以透過軟體權杖設定流程中的 Microsoft Entra ID 進行設定。
OATH 硬體權杖支援為公開預覽的一部分。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
取得權杖之後,您必須以逗號分隔值 (CSV) 檔案格式上傳權杖。 包含UPN、序號、秘密金鑰、時間間隔、製造商和型號,如下列範例所示:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
注意
請務必在 CSV 檔案中包含標頭資料列。
以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心,移至 [保護>多重要素驗證>OATH 令牌],然後上傳 CSV 檔案。
視 CSV 檔案的大小而定,可能需要幾分鐘的時間才能處理。 選取 [ 重新整理 ] 以取得狀態。 如果檔案中有任何錯誤,您可以下載列出錯誤的 CSV 檔案。 下載 CSV 檔案中的欄位名稱與上傳版本中的欄位名稱不同。
解決任何錯誤之後,系統管理員可以選取 [啟用 ] 來啟用每個密鑰,然後輸入令牌中顯示的 OTP。
使用者可能最多會合併五個 OATH 硬體權杖或驗證器應用程式 (例如 Microsoft Authenticator 應用程式),設定為可供隨時使用。
重要
請務必只將每個令牌指派給單一使用者。 未來,支援將單一令牌指派給多個使用者,將停止以防止安全性風險。
通話設定
如果使用者收到 MFA 提示的電話,您可以設定其體驗,例如來電者標識碼或他們聽到的語音問候語。
在 美國 中,如果您尚未設定 MFA 來電者標識碼,來自 Microsoft 的語音通話會來自下列號碼。 具有垃圾郵件篩選的用戶應該排除這些號碼。
默認號碼: +1 (855) 330-8653
下表列出不同國家/地區的更多數位。
| 國家/地區 | 數字(秒) |
|---|---|
| 奧地利 | +43 6703062076 |
| 孟加拉 | +880 9604606026 |
| 克羅埃西亞 | +385 15507766 |
| 厄瓜多 | +593 964256042 |
| 愛沙尼亞 | +372 6712726 |
| 法國 | +33 744081468 |
| 迦納 | +233 308250245 |
| 希臘 | +30 2119902739 |
| 瓜地馬拉 | +502 23055056 |
| 香港特別行政區 | +852 25716964 |
| 印度 | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
| 約旦 | +962 797639442 |
| 肯亞 | +254 709605276 |
| 荷蘭 | +31 202490048 |
| 奈及利亞 | +234 7080627886 |
| 巴基斯坦 | +92 4232618686 |
| 波蘭 | +48 699740036 |
| 沙烏地阿拉伯 | +966 115122726 |
| 南非 | +27 872405062 |
| 西班牙 | +34 913305144 |
| 斯里蘭卡 | +94 117750440 |
| 瑞典 | +46 701924176 |
| 台灣 | +886 277515260 |
| 土耳其 | +90 8505404893 |
| 烏克蘭 | +380 443332393 |
| 阿拉伯聯合大公國 | +971 44015046 |
| 越南 | +84 2039990161 |
注意
當 Microsoft Entra 多重要素驗證通話透過公用電話網路放置時,有時通話會透過不支援來電者標識符的電信業者路由傳送。 因此,即使 Microsoft Entra 多重要素驗證一律會傳送它,但無法保證呼叫端標識符。 這同時適用於 Microsoft Entra 多重要素驗證所提供的電話和簡訊。 如果您需要驗證文字訊息是否來自 Microsoft Entra 多重要素驗證,請參閱 傳送訊息時會使用哪些簡短代碼?。
若要設定您自己的來電者標識碼,請完成下列步驟:
- 移至 [保護>多重要素驗證> 電話 呼叫設定。
- 將 MFA 來電者識別碼 設定為您希望使用者在手機上看到的號碼。 只允許以美國為基礎的數位。
- 選取 [儲存]。
注意
當 Microsoft Entra 多重要素驗證通話透過公用電話網路放置時,有時通話會透過不支援來電者標識符的電信業者路由傳送。 因此,即使 Microsoft Entra 多重要素驗證一律會傳送它,但無法保證呼叫端標識符。 這同時適用於 Microsoft Entra 多重要素驗證所提供的電話和簡訊。 如果您需要驗證文字訊息是否來自 Microsoft Entra 多重要素驗證,請參閱 傳送訊息時會使用哪些簡短代碼?。
自訂語音消息
您可以使用自己的錄製或問候語進行 Microsoft Entra 多重要素驗證。 除了預設的 Microsoft 錄製或取代訊息之外,也可以使用這些訊息。
開始之前,請注意下列限制:
- 支援的檔案格式是.wav和.mp3。
- 檔案大小限制為 1 MB。
- 驗證訊息應該少於 20 秒。 超過 20 秒的訊息可能會導致驗證失敗。 如果使用者在訊息完成之前沒有回應,驗證就會逾時。
自訂訊息語言行為
對使用者播放自定義語音消息時,訊息的語言取決於下列因素:
- 使用者的語言。
- 用戶瀏覽器偵測到的語言。
- 其他驗證案例的行為可能會不同。
- 任何可用自定義訊息的語言。
- 新增自訂訊息時,系統管理員會選擇此語言。
例如,如果只有一個自定義訊息,且其為德文:
- 以德文語言驗證的使用者將聽到自定義德文訊息。
- 以英文驗證的用戶會聽到標準的英文訊息。
自訂語音消息預設值
您可以使用下列範例腳本來建立您自己的自訂訊息。 如果您未設定自己的自定義訊息,這些片語就是預設值。
| 訊息名稱 | 指令碼 |
|---|---|
| 驗證成功 | 您的登入已成功驗證。 再見。 |
| 延伸模組提示 | 感謝您使用 Microsoft 的登入驗證系統。 請按磅鍵繼續。 |
| 詐騙確認 | 已提交詐騙警示。 若要解除封鎖您的帳戶,請連絡貴公司的IT技術支援中心。 |
| 詐騙問候語 (標準) | 感謝您使用 Microsoft 的登入驗證系統。 請按磅鍵以完成您的驗證。 如果您未起始此驗證,可能會有人嘗試存取您的帳戶。 請按零磅以提交詐騙警示。 這會通知貴公司的 IT 小組,並封鎖進一步的驗證嘗試。 |
| 回報詐騙 | 已提交詐騙警示。 若要解除封鎖您的帳戶,請連絡貴公司的IT技術支援中心。 |
| 啟用 | 感謝您使用 Microsoft 登入驗證系統。 請按磅鍵以完成您的驗證。 |
| 驗證拒絕重試 | 驗證遭拒。 |
| 重試 (標準) | 感謝您使用 Microsoft 登入驗證系統。 請按磅鍵以完成您的驗證。 |
| 問候語(標準) | 感謝您使用 Microsoft 登入驗證系統。 請按磅鍵以完成您的驗證。 |
| 問候語(PIN) | 感謝您使用 Microsoft 的登入驗證系統。 請輸入 PIN 碼,然後輸入磅鍵以完成驗證。 |
| 詐騙問候語 (PIN) | 感謝您使用 Microsoft 的登入驗證系統。 請輸入 PIN 碼,然後輸入磅鍵以完成驗證。 如果您未起始此驗證,可能會有人嘗試存取您的帳戶。 請按零磅以提交詐騙警示。 這會通知貴公司的 IT 小組,並封鎖進一步的驗證嘗試。 |
| 重試 (PIN) | 感謝您使用 Microsoft 的登入驗證系統。 請輸入 PIN 碼,然後輸入磅鍵以完成驗證。 |
| 數字之後的延伸模組提示 | 如果已經在這個延伸模組,請按磅鍵繼續。 |
| 驗證遭拒 | 很抱歉,目前無法將您登入。 請稍後再試一次。 |
| 開啟問候語 (標準) | 感謝您使用 Microsoft 登入驗證系統。 請按磅鍵以完成您的驗證。 |
| 開啟重試 (標準) | 感謝您使用 Microsoft 登入驗證系統。 請按磅鍵以完成您的驗證。 |
| 開啟問候語 (PIN) | 感謝您使用 Microsoft 的登入驗證系統。 請輸入 PIN 碼,然後輸入磅鍵以完成驗證。 |
| 數位之前的擴充功能提示 | 感謝您使用 Microsoft 的登入驗證系統。 請將此呼叫轉移至擴充 <功能>。 |
設定自訂訊息
若要使用您自己的自訂訊息,請完成下列步驟:
- 移至 [保護>多重要素驗證> 電話 呼叫設定。
- 選取 [ 新增問候語]。
- 選擇問候語的類型,例如問候語(標準)或驗證成功。
- 選取 [ 語言]。 請參閱上一節的 自定義訊息語言行為。
- 流覽並選取要上傳.mp3或.wav聲音檔案。
- 選取 [新增],然後選取 [儲存]。
MFA 服務設定
設定 可在服務設定中取得應用程式密碼、信任IP、驗證選項,以及記住受信任裝置上的多重要素驗證。 這是舊版入口網站。
您可以從 Microsoft Entra 系統管理中心存取服務設定,方法是移至 [保護>多重要素驗證>] [開始使用>>設定其他雲端式 MFA 設定]。 視窗或索引標籤會以其他服務設定選項開啟。
可信任 IP
Microsoft Entra 多重要素驗證的 可信任 IP 功能會針對從已定義 IP 位址範圍登入的使用者,略過多重要素驗證提示。 您可以為內部部署環境設定受信任的IP範圍。 當使用者在其中一個位置時,就不會收到 Microsoft Entra 多重要素驗證提示。 信任的 IP 功能需要 Microsoft Entra ID P1 版本。
注意
只有當您使用 MFA Server 時,受信任的 IP 才能包含私人 IP 範圍。 針對雲端式 Microsoft Entra 多重要素驗證,您只能使用公用 IP 位址範圍。
只有具名位置 (預覽) 介面才支援 IPv6 範圍。
如果您的組織使用 NPS 擴充功能將 MFA 提供給內部部署應用程式,來源 IP 位址一律會顯示為驗證嘗試流經的 NPS 伺服器。
| Microsoft Entra 租用戶類型 | 信任的IP功能選項 |
|---|---|
| 受控 | 特定IP位址範圍:管理員 istrators 指定一系列IP位址,可略過從公司內部網路登入的使用者多重要素驗證。 最多可以設定50個受信任的IP範圍。 |
| 同盟 | 所有同盟使用者:所有從組織內部登入的同盟使用者都可以略過多重要素驗證。 使用者會使用由 Active Directory 同盟服務 (AD FS) 發出的宣告略過驗證。 特定IP位址範圍:管理員 istrators 指定一系列IP位址,可略過從公司內部網路登入的使用者多重要素驗證。 |
受信任的IP略過僅適用於公司內部網路。 如果您選取 [ 所有同盟使用者 ] 選項,且使用者從公司內部網路外部登入,用戶必須使用多重要素驗證進行驗證。 即便使用者提出 AD FS 宣告,該流程仍相同。
注意
如果租用戶中同時設定每個使用者的 MFA 和條件式存取原則,您必須將受信任的 IP 新增至條件式存取原則,並更新 MFA 服務設定。
公司網路內的用戶體驗
停用受信任的IP功能時,瀏覽器流程需要多重要素驗證。 舊版豐富型用戶端應用程式需要應用程式密碼。
使用信任的IP時,瀏覽器流程不需要多重要素驗證。 如果使用者尚未建立應用程式密碼,則較舊的豐富型用戶端應用程式不需要應用程式密碼。 使用應用程式密碼之後,需要密碼。
公司網路外部的用戶體驗
無論是否已定義受信任的IP,瀏覽器流程都需要多重要素驗證。 舊版豐富型用戶端應用程式需要應用程式密碼。
使用條件式存取啟用具名位置
您可以使用條件式存取規則,使用下列步驟來定義具名位置:
- 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取>具名位置]。
- 選取 [ 新增位置]。
- 輸入位置的名稱。
- 選取 [ 標示為信任的位置]。
- 在 CIDR 表示法中輸入環境的 IP 範圍。 例如, 40.77.182.32/27。
- 選取 建立。
使用條件式存取啟用信任的 IP 功能
若要使用條件式存取原則啟用受信任的IP,請完成下列步驟:
以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>條件式存取>具名位置]。
選取 [ 設定 MFA 信任的IP]。
在 [服務 設定] 頁面上的 [信任 IP] 底下,選擇下列其中一個選項:
對於來自我的內部網路之同盟使用者的要求:若要選擇此選項,請選取複選框。 所有從公司網路登入的同盟用戶,都會使用AD FS所發出的宣告,略過多重要素驗證。 確定AD FS有規則可將內部網路宣告新增至適當的流量。 如果規則不存在,請在 AD FS 中建立下列規則:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);注意
[ 略過內部網路 上同盟使用者要求的多重要素驗證] 選項會影響位置的條件式存取評估。 如果選取該選項,任何具有 insidecorporatenetwork 宣告的要求都會被視為來自信任位置。
對於來自特定範圍公用IP的要求:若要選擇此選項,請在文字框中以CIDR表示法輸入IP位址。
- 針對範圍中 xxx.xxx.xxx.1 到 xxx.xxx.xxx.254 的 IP 位址,請使用表示法,例如 xxx.xxx.xxx.0/24。
- 針對單一IP位址,請使用表示法,例如 xxx.xxx.xxx.xxx/32。
- 輸入最多 50 個 IP 位址範圍。 從這些IP位址登入的使用者會略過多重要素驗證。
選取 [儲存]。
使用服務設定啟用信任的 IP 功能
如果您不想使用條件式存取原則來啟用受信任的 IP,您可以使用下列步驟來設定 Microsoft Entra 多重要素驗證的服務設定:
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>多重要素驗證>][其他雲端式 MFA 設定]。
在 [服務設定] 頁面上的 [信任 IP] 底下,選擇下列其中一個選項或兩個選項:
如需來自內部網路上同盟使用者的要求:若要選擇此選項,請選取複選框。 所有從公司網路登入的同盟用戶,都會使用AD FS所發出的宣告,略過多重要素驗證。 確定AD FS有規則可將內部網路宣告新增至適當的流量。 如果規則不存在,請在 AD FS 中建立下列規則:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);對於來自指定IP位址子網範圍的要求:若要選擇此選項,請在文字框中以CIDR表示法輸入IP位址。
- 針對範圍中 xxx.xxx.xxx.1 到 xxx.xxx.xxx.254 的 IP 位址,請使用表示法,例如 xxx.xxx.xxx.0/24。
- 針對單一IP位址,請使用表示法,例如 xxx.xxx.xxx.xxx/32。
- 輸入最多 50 個 IP 位址範圍。 從這些IP位址登入的使用者會略過多重要素驗證。
選取 [儲存]。
驗證方法
您可以選擇服務設定入口網站中可供使用者使用的驗證方法。 當用戶註冊其帳戶以進行 Microsoft Entra 多重要素驗證時,他們會從您啟用的選項中選擇慣用的驗證方法。 設定我的帳戶以進行多重要素驗證中會提供用戶註冊程式的指引。
下列驗證方法可供使用:
| 方法 | 描述 |
|---|---|
| 電話通話 | 進行自動語音通話。 使用者會接聽電話,然後按電話上的 # 進行驗證。 電話號碼不會同步至 內部部署的 Active Directory。 |
| 電話簡訊 | 傳送包含驗證碼的簡訊。 系統會提示使用者將驗證碼輸入登入介面。 此程序稱為單向 SMS。 雙向簡訊表示使用者必須回復特定程式碼。 雙向 SMS 已在 2018 年 11 月 14 日之後退場,且不受支援。 管理員 istrators 應該為先前使用雙向 SMS 的使用者啟用另一種方法。 |
| 行動應用程式的通知 | 將推播通知傳送給用戶的電話或已註冊的裝置。 用戶檢視通知,然後選取 [ 驗證 ] 以完成驗證。 Microsoft Authenticator 應用程式適用於 Windows 電話、Android 和 iOS。 |
| 來自行動應用程式或硬體權杖的驗證碼 | Microsoft Authenticator 應用程式每隔 30 秒就會產生新的 OATH 驗證碼。 使用者會將驗證碼輸入登入介面。 Microsoft Authenticator 應用程式適用於 Windows 電話、Android 和 iOS。 |
如需詳細資訊,請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法?。
啟用和停用驗證方法
若要啟用或停用驗證方法,請完成下列步驟:
- 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分識別>使用者]。
- 選取 [依使用者 MFA]。
- 在 頁面頂端的 [多重要素驗證 ] 下,選取 [服務設定]。
- 在 [服務設定] 頁面上的 [驗證選項] 底下,選取或清除適當的複選框。
- 選取 [儲存]。
記住多重要素驗證
記住多重要素驗證功能可讓使用者在使用 MFA 成功登入裝置之後,略過指定天數的後續驗證。 若要增強可用性,並將用戶必須在特定裝置上執行 MFA 的次數降到最低,請選取 90 天以上的持續時間。
重要
如果帳戶或裝置遭到入侵,記住受信任裝置的 MFA 可能會影響安全性。 如果公司帳戶遭到入侵或受信任的裝置遺失或遭竊,您應該 撤銷 MFA 會話。
撤銷動作會撤銷所有裝置的信任狀態,而且用戶必須再次執行多重要素驗證。 您也可以指示使用者在自己的裝置上還原原始 MFA 狀態,如管理多重要素驗證的設定中所述。
此功能運作方式
當使用者在登入時選取 [不要再次要求 X 天] 選項時,記住多重要素驗證功能會在瀏覽器中設定持續性 Cookie。 在 Cookie 到期之前,系統不會再次提示使用者從該瀏覽器輸入 MFA。 如果使用者在同一部裝置上開啟不同的瀏覽器或清除 Cookie,系統會再次提示他們進行驗證。
不論應用程式是否支援新式驗證,都不會在非瀏覽器應用程式上顯示 [不要再次要求 X 天] 選項。 這些應用程式會使用 每小時提供新存取令牌的重新整理令牌 。 當重新整理令牌經過驗證時,Microsoft Entra ID 會檢查最後一個多重要素驗證是否發生在指定的天數內。
此功能可減少 Web 應用程式上的驗證數目,而 Web 應用程式通常會每次提示。 如果設定了較低的持續時間,此功能可以增加通常每 180 天提示的新式驗證客戶端驗證數目。 結合條件式存取原則時,也可能增加驗證數目。
重要
當使用者透過 MFA Server 或第三方多重要素驗證解決方案執行 AD FS 多重要素驗證時,記住多重要素驗證功能與保持我登入 AD FS 的功能不相容。
如果您的用戶選取 [讓我在 AD FS 上保持登入],並且將其裝置標示為 MFA 信任,則使用者不會在記住多重要素驗證天數到期後自動驗證。 Microsoft Entra ID 會要求新的多重要素驗證,但 AD FS 會傳回具有原始 MFA 宣告和日期的令牌,而不是再次執行多重要素驗證。 此反應會設定 Microsoft Entra ID 與 AD FS 之間的驗證迴圈。
記住多重要素驗證功能與 B2B 使用者不相容,且在 B2B 使用者登入受邀租使用者時不會顯示。
記住多重要素驗證功能與登入頻率條件式訪問控制不相容。 如需詳細資訊,請參閱 使用條件式存取設定驗證會話管理。
啟用記住多重要素驗證
若要啟用並設定選項以允許使用者記住其 MFA 狀態並略過提示,請完成下列步驟:
- 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分識別>使用者]。
- 選取 [依使用者 MFA]。
- 在 頁面頂端的 [多重要素驗證 ] 下,選取 [服務設定]。
- 在 [服務設定] 頁面上的 [記住多重要素驗證] 底下,選取 [允許使用者在他們信任的裝置上記住多重要素驗證]。
- 設定天數,以允許受信任的裝置略過多重要素驗證。 為了獲得最佳用戶體驗,請將持續時間延長至90天以上。
- 選取 [儲存]。
將裝置標示為受信任
啟用 記住多重要素驗證 功能之後,使用者可以選取 [不要再詢問] 來將裝置標示為受信任。
下一步
若要深入瞭解,請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法?