啟用每一使用者 Azure AD Multi-Factor Authentication 來保護登入事件

若要在 Azure AD 中保護使用者登入事件,您可以要求多重要素驗證 (MFA)。 使用條件式存取原則來啟用 Azure AD Multi-Factor Authentication,是保護使用者的建議方法。 條件式存取是一項 Azure AD Premium P1 或 P2 功能,可讓您套用規則,以視需要在某些情況下要求 MFA。 若要開始使用條件式存取,請參閱教學課程:使用 Azure AD Multi-Factor Authentication 保護使用者登入事件

針對未使用條件式存取的 Azure AD 免費租用戶,您可以使用安全性預設值來保護使用者。 系統會視需要提示使用者進行 MFA,但您無法定義自己的規則來控制行為。

如有需要,您可以改為為每個帳戶啟用每一使用者 Azure AD Multi-Factor Authentication。 當個別為使用者啟用時,這些使用者就會在每次登入時執行多重要素驗證 (但有一些例外,例如當其從信任的 IP 位址登入時,或開啟了記住受信任裝置上的 MFA 功能時)。

除非您的 Azure AD 授權未包含條件式存取,而且您不想要使用安全性預設值,否則不建議變更使用者狀態。 如需啟用 MFA 的不同方式的詳細資訊,請參閱 Azure AD Multi-Factor Authentication 的功能和授權

重要

本文將詳細說明如何檢視和變更每一使用者 Azure AD Multi-Factor Authentication 的狀態。 如果您使用條件式存取或安全性預設值,則不會使用這些步驟來檢閱或啟用使用者帳戶。

透過條件式存取原則啟用 Azure AD Multi-Factor Authentication 不會變更使用者的狀態。 如果使用者顯示為已停用,請不要驚慌。 條件式存取不會變更狀態。

如果您使用條件式存取原則,則請勿啟用或強制每一使用者 Azure AD Multi-Factor Authentication。

Azure AD Multi-Factor Authentication 使用者狀態

使用者的狀態會反映管理員是否已為其註冊使用每一使用者 Azure AD Multi-Factor Authentication。 Azure AD Multi-Factor Authentication 中的使用者帳戶具有下列三種不同狀態:

描述 受影響的舊版驗證 受影響的瀏覽器應用程式 受影響的新式驗證
已停用 未註冊使用每一使用者 Azure AD Multi-Factor Authentication 的使用者的預設狀態。 No
啟用 使用者已註冊使用每一使用者 Azure AD Multi-Factor Authentication,但仍可使用其密碼進行舊版驗證。 如果使用者尚未註冊使用 MFA 驗證方法,則會在下一次使用新式驗證登入時 (例如透過網頁瀏覽器) 收到註冊的提示。 不會。 舊版驗證可繼續運作,直到註冊程序完成為止。 是的。 工作階段到期之後,必須進行 Azure AD Multi-Factor Authentication 註冊。 是的。 存取權杖到期之後,必須進行 Azure AD Multi-Factor Authentication 註冊。
已強制 系統會在 Azure AD Multi-Factor Authentication 中依每一使用者註冊使用者。 如果使用者尚未註冊使用驗證方法,則會在下一次使用新式驗證登入時 (例如透過網頁瀏覽器) 收到註冊的提示。 在 [已啟用] 狀態下完成註冊的使用者會自動移至 [已強制] 狀態。 是。 應用程式需要應用程式密碼。 是。 登入時需要 Azure AD Multi-Factor Authentication。 是的。 登入時需要 Azure AD Multi-Factor Authentication。

所有使用者一開始都是「已停用」狀態。 為使用者註冊使用每一使用者 Azure AD Multi-Factor Authentication 時,其狀態會變更為 [已啟用]。 當已啟用的使用者登入並完成註冊程序之後,他們的狀態就會變更為「已強制」。 管理員可以將使用者在狀態之間移動,包括從 [已強制] 到 [已啟用] 或 [已停用]。

注意

如果已為使用者重新啟用每一使用者 MFA,且使用者未重新註冊,其 MFA 狀態不會在 MFA 管理 UI 中從 [已啟用] 轉換成 [已強制]。 管理員必須直接將使用者移至 [已強制]。

檢視使用者的狀態

若要檢視和管理使用者狀態,請完成下列步驟以存取 Azure 入口網站頁面:

  1. 以全域管理員身分登入 Azure 入口網站
  2. 搜尋並選取 [Azure Active Directory],然後選取 [使用者]>[所有使用者]。
  3. 選取 [每一使用者 MFA]。 從 Azure AD 中的 [使用者] 視窗中選取 [Multi-Factor Authentication] 的螢幕擷取畫面。
  4. 隨即開啟新的頁面,其中顯示使用者狀態,如下列範例所示。 顯示 Azure AD Multi-Factor Authentication 範例使用者狀態資訊的螢幕擷取畫面

變更使用者的狀態

若要變更使用者的每一使用者 Azure AD Multi-Factor Authentication 狀態,請完成下列步驟:

  1. 使用先前的步驟來檢視使用者的狀態,以進入 Azure AD Multi-Factor Authentication 的 [使用者] 頁面。

  2. 尋找您要啟用每一使用者 Azure AD Multi-Factor Authentication 的使用者。 您可能需要將頂端的檢視變更為 [使用者]。 從 [使用者] 索引標籤選取要變更狀態的使用者

  3. 核取要變更其狀態的使用者名稱旁方塊。

  4. 在右側的 [快速步驟] 下,選擇 [啟用] 或 [停用]。 在下列範例中, 使用者 John Smith 在其名稱旁邊有檢查,且已啟用使用: 按一下 [快速步驟] 功能表上的 [啟用] 來啟用選取的使用者

    提示

    [已啟用] 的使用者會在註冊使用 Azure AD Multi-Factor Authentication 時,自動切換為 [已強制]。 請勿手動將使用者狀態變更為 [已強制],除非使用者已註冊,或可接受使用者在與舊版驗證通訊協定連結時遇到中斷的情況。

  5. 在開啟的快顯視窗中確認您的選取項目。

當您啟用使用者之後,請透過電子郵件通知他們。 告訴使用者系統會顯示提示來要求其在下一次登入時註冊。 此外,如果您的組織使用不支援新式驗證的非瀏覽器應用程式,他們就需要建立應用程式密碼。 如需詳細資訊,請參閱 Azure AD Multi-Factor Authentication 使用者指南以協助其開始使用。

啟用每個使用者 MFA 並強制執行使用者以停用

如果您的使用者的啟用是使用每一使用者啟用並強制 Azure AD Multi-Factor Authentication,則下列 PowerShell 可在轉換至基於 Azure AD Multi-Factor Authentication 的條件式存取時協助您。

在 ISE 視窗中執行此 PowerShell,或儲存為 .PS1 檔案在本機執行。 只有使用 MSOnline 模組才能完成該作業。

# Connect to tenant
Connect-MsolService

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

後續步驟

若要設定 Azure AD Multi-Factor Authentication 設定,請參閱設定Azure AD Multi-Factor Authentication 設定

若要管理 Azure AD Multi-Factor Authentication 的使用者設定,請參閱使用 Azure AD Multi-Factor Authentication 管理使用者設定

若要了解系統提示或不提示使用者執行 MFA 的原因,請參閱 Azure AD Multi-Factor Authentication 報告