Azure Multi-Factor Authentication Server 的使用者入口網站
使用者入口網站是一個 IIS 網站,可讓使用者註冊 Microsoft Entra 多重要素驗證並維護其帳戶。 使用者可以變更電話號碼、變更 PIN 碼,或選擇在下一次登入期間略過雙步驟驗證。
使用者以一般使用者名稱和密碼登入使用者入口網站,然後完成雙步驟驗證呼叫或回答安全性問題以完成驗證。 如果允許使用者註冊,使用者會在使用者第一次登入使用者入口網站時設定其電話號碼和 PIN。
使用者入口網站管理員istrators 可設定並獲授與新增使用者及更新現有使用者的許可權。
視您的環境而定,您可能會想要將使用者入口網站部署在與 Azure Multi-Factor Authentication Server 相同的伺服器上,或部署在另一部網際網路對向伺服器上。
重要
在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure MFA Server 更新 中包含的最新移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA 伺服器移轉 。
若要開始使用雲端式 MFA,請參閱 教學課程:使用 Microsoft Entra 多重要素驗證 保護使用者登入事件。
注意
使用者入口網站僅適用于 Multi-Factor Authentication Server。 如果您在雲端中使用多重要素驗證,請參閱 設定您的帳戶以進行雙步驟驗證,或 管理雙步驟驗證 的設定。
安裝 Web 服務 SDK
在任一案例中,如果 Microsoft Entra 多重要素驗證 Web 服務 SDK 尚未 安裝在 Azure Multi-Factor Authentication Server 上,請完成下列步驟。
- 開啟 Multi-Factor Authentication Server 主控台。
- 移至 Web 服務 SDK ,然後選取 [ 安裝 Web 服務 SDK ]。
- 除非您基於某些原因需要變更預設值,否則請使用預設值完成安裝。
- 將 TLS/SSL 憑證系結至 IIS 中的月臺。
如果您在 IIS 伺服器上設定 TLS/SSL 憑證有疑問,請參閱如何在 IIS 上設定 SSL 一文 。
Web 服務 SDK 必須使用 TLS/SSL 憑證來保護。 自我簽署憑證適用于此目的。 將憑證匯入使用者入口網站網頁伺服器上本機電腦帳戶的「受信任的根憑證授權單位」存放區,以便在起始 TLS 連線時信任該憑證。
在與 Azure Multi-Factor Authentication Server 相同的伺服器上部署使用者入口網站
需要下列必要條件,才能在 與 Azure Multi-Factor Authentication Server 相同的伺服器上 安裝使用者入口網站:
- IIS,包括 ASP.NET 和 IIS 6 中繼基底相容性(適用于 IIS 7 或更高版本)
- 如果適用,則為電腦和網域具有系統管理員許可權的帳戶。 帳戶需要建立 Active Directory 安全性群組的許可權。
- 使用 TLS/SSL 憑證保護使用者入口網站。
- 使用 TLS/SSL 憑證保護 Microsoft Entra 多重要素驗證 Web 服務 SDK。
若要部署使用者入口網站,請遵循下列步驟:
開啟 Azure Multi-Factor Authentication Server 主控台,按一下左側功能表中的 [使用者入口網站 ] 圖示,然後按一下 [ 安裝使用者入口網站 ]。
除非您基於某些原因需要變更預設值,否則請使用預設值完成安裝。
將 TLS/SSL 憑證系結至 IIS 中的月臺
注意
此 TLS/SSL 憑證通常是公開簽署的 TLS/SSL 憑證。
從任何電腦開啟網頁瀏覽器,並流覽至安裝使用者入口網站的 URL(範例:
https://mfa.contoso.com/MultiFactorAuth)。 確定不會顯示任何憑證警告或錯誤。
如果您在 IIS 伺服器上設定 TLS/SSL 憑證有疑問,請參閱如何在 IIS 上設定 SSL 一文 。
在不同的伺服器上部署使用者入口網站
如果執行 Azure Multi-Factor Authentication Server 的伺服器不是網際網路對向的伺服器,您應該在 個別的網際網路對向伺服器上安裝使用者入口網站 。
如果您的組織使用 Microsoft Authenticator 應用程式作為其中一個驗證方法,而且想要在其自己的伺服器上部署使用者入口網站,請完成下列需求:
- 使用 Azure Multi-Factor Authentication Server 的 v6.0 或更高版本。
- 在執行 Microsoft Internet Information Services (IIS) 6.x 或更高版本的網際網路面向 Web 服務器上安裝使用者入口網站。
- 使用 IIS 6.x 時,請確定已安裝 ASP.NET v2.0.50727,並設定為 [允許]。
- 使用 IIS 7.x 或更高版本時,IIS,包括基本驗證、ASP.NET 和 IIS 6 中繼基底相容性。
- 使用 TLS/SSL 憑證保護使用者入口網站。
- 使用 TLS/SSL 憑證保護 Microsoft Entra 多重要素驗證 Web 服務 SDK。
- 確定使用者入口網站可以透過 TLS/SSL 連線到 Microsoft Entra 多重要素驗證 Web 服務 SDK。
- 請確定使用者入口網站可以使用「電話Factor 管理員s」安全性群組中的服務帳戶認證,向 Microsoft Entra 多重要素驗證 Web 服務 SDK 進行驗證。 如果已加入網域的伺服器上執行 Azure Multi-Factor Authentication Server,此服務帳戶和群組應該存在於 Active Directory 中。 如果未加入網域,此服務帳戶和群組會存在於 Azure Multi-Factor Authentication Server 本機上。
在 Azure Multi-Factor Authentication Server 以外的伺服器上安裝使用者入口網站需要下列步驟:
在 MFA Server 上,流覽至安裝路徑 (範例:C:\Program Files\Multi-Factor Authentication Server),並將 MultiFactorAuthenticationUserPortalSetup64 檔案 複製到可存取網際網路對向伺服器的位置,供您安裝它。
在網際網路對向 Web 服務器上 ,以系統管理員身分執行 MultiFactorAuthenticationUserPortalSetup64 安裝檔案,視需要變更月臺,並視需要將虛擬目錄變更為簡短名稱。
將 TLS/SSL 憑證系結至 IIS 中的月臺。
注意
此 TLS/SSL 憑證通常是公開簽署的 TLS/SSL 憑證。
流覽至 C:\inetpub\wwwroot\MultiFactorAuth
在 記事本 中編輯 Web.Config 檔案
- 尋找索引鍵 「USE_WEB_SERVICE_SDK」 ,並將 value=「false」 變更 為 value=「true」
- 尋找索引鍵 「WEB_SERVICE_SDK_AUTHENTICATION_USERNAME」, 並將 value=「」 變更 為 value=「DOMAIN\User」 ,其中 DOMAIN\User 是 「電話Factor 管理員s」 群組的一部分。
- 尋找金鑰 「WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD」, 並將 value=「」 變更 為 value=「Password」, 其中 Password 是上一行輸入的服務帳戶密碼。
- 尋找值
https://www.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx,並將此預留位置 URL 變更為我們在步驟 2 中安裝的 Web 服務 SDK URL。 - 儲存 Web.Config 檔案並關閉記事本。
從任何電腦開啟網頁瀏覽器,並流覽至安裝使用者入口網站的 URL(範例:
https://mfa.contoso.com/MultiFactorAuth)。 確定不會顯示任何憑證警告或錯誤。
如果您在 IIS 伺服器上設定 TLS/SSL 憑證有疑問,請參閱如何在 IIS 上設定 SSL 一文 。
在 Azure Multi-Factor Authentication Server 中設定使用者入口網站設定
現在已安裝使用者入口網站,您必須設定 Azure Multi-Factor Authentication Server 以使用入口網站。
- 在 Azure Multi-Factor Authentication Server 主控台中,按一下 [使用者入口網站 ] 圖示。 在 [設定] 索引標籤上,在 [使用者入口網站 URL] 文字方塊中輸入使用者入口網站的 URL 。 如果已啟用電子郵件功能,此 URL 會包含在匯入 Azure Multi-Factor Authentication Server 時傳送給使用者的電子郵件中。
- 選擇您想要在使用者入口網站中使用的設定。 例如,如果允許使用者選擇其驗證方法,請確定 已核取 [允許使用者選取方法 ],以及他們可從中選擇的方法。
- 定義管理員istrators 索引標籤上 應管理員istrators 的人員。您可以使用 [新增/編輯] 方塊中的核取方塊和下拉式清單建立細微的系統管理許可權。
選擇性組態:
- 安全性問題 - 為您的環境定義已核准的安全性問題,以及其出現的語言。
- 傳遞的 會話 - 使用 MFA 設定使用者入口網站與表單型網站整合。
- 受信任的 IP - 允許使用者從受信任的 IP 或範圍清單進行驗證時略過 MFA。
Azure Multi-Factor Authentication Server 為使用者入口網站提供數個選項。 下表提供這些選項的清單,以及其用途的說明。
| 使用者入口網站設定 | 描述 |
|---|---|
| 使用者入口網站 URL | 輸入裝載入口網站的 URL。 |
| 主要驗證 | 指定登入入口網站時要使用的驗證類型。 Windows、Radius 或 LDAP 驗證。 |
| 允許使用者登入 | 允許使用者在使用者入口網站的登入頁面上輸入使用者名稱和密碼。 如果未選取此選項,則方塊會呈現灰色。 |
| 允許使用者註冊 | 允許使用者在多重要素驗證中註冊,方法是將他們帶到設定畫面,提示他們輸入其他資訊,例如電話號碼。 提示備份電話可讓使用者指定次要電話號碼。 提示輸入協力廠商 OATH 權杖可讓使用者指定協力廠商 OATH 權杖。 |
| 允許使用者起始單次略過 | 允許使用者起始一次性略過。 如果使用者設定此選項,當使用者下次登入時,就會生效。 提示略過秒會提供一個方塊,讓使用者可以變更預設值 300 秒。 否則,單次略過僅適用于 300 秒。 |
| 允許使用者選取方法 | 允許使用者指定其主要連絡人方法。 此方法可以是通話、簡訊、行動應用程式或 OATH 權杖。 |
| 允許使用者選取語言 | 允許使用者變更用於通話、簡訊、行動應用程式或 OATH 權杖的語言。 |
| 允許使用者啟用行動應用程式 | 允許使用者產生啟用碼,以完成與伺服器搭配使用的行動應用程式啟用程式。 您也可以設定他們可以在 1 到 10 之間啟用應用程式的裝置數目。 |
| 使用安全性問題進行後援 | 允許發生雙步驟驗證失敗時的安全性問題。 您可以指定必須成功回答的安全性問題數目。 |
| 允許使用者建立協力廠商 OATH 權杖的關聯 | 允許使用者指定協力廠商 OATH 權杖。 |
| 使用 OATH 權杖進行後援 | 當雙步驟驗證未成功時,允許使用 OATH 權杖。 您也可以指定以分鐘為單位的會話逾時。 |
| 啟用 記錄 | 在使用者入口網站上啟用記錄功能。 記錄檔位於:C:\Program Files\Multi-Factor Authentication Server\Logs。 |
重要
從 2019 年 3 月開始,免費/試用 Microsoft Entra 租使用者中的 MFA Server 使用者將無法使用通話選項。 SMS 訊息不會受到這項變更的影響。 電話通話將繼續提供給付費 Microsoft Entra 租使用者中的使用者。 這項變更只會影響免費/試用版 Microsoft Entra 租使用者。
使用者登入使用者入口網站之後,可以看到這些設定。
自助式使用者註冊
如果您想要讓使用者登入並註冊,您必須選取 [允許使用者登入 ] 和 [允許使用者註冊 ] 選項下的 [設定] 索引標籤。請記住,您選取的設定會影響使用者登入體驗。
例如,當使用者第一次登入使用者入口網站時,會進入 Microsoft Entra 多重要素驗證使用者設定頁面。 視您設定 Microsoft Entra 多重要素驗證的方式而定,使用者或許可以選取其驗證方法。
如果他們選取語音通話驗證方法,或已預先設定為使用該方法,頁面會提示使用者視情況輸入其主要電話號碼和擴充功能。 您也可以允許他們輸入備份電話號碼。
如果使用者在驗證時需要使用 PIN,頁面會提示他們建立 PIN。 輸入電話號碼和 PIN 之後(如果適用),使用者按一下 [立即撥打我驗證] 按鈕。 Microsoft Entra 多重要素驗證會對使用者的主要電話號碼執行通話驗證。 使用者必須接聽電話並輸入 PIN 碼(如果適用),然後按 # 以繼續進行自我註冊程式的下一個步驟。
如果使用者選取簡訊驗證方法,或已預先設定為使用該方法,頁面會提示使用者輸入其行動電話號碼。 如果使用者在驗證時需要使用 PIN,頁面也會提示他們輸入 PIN。 輸入電話號碼和 PIN 之後(如果適用的話),使用者按一下 [ 立即給我發短信] 按鈕。 Microsoft Entra 多重要素驗證會對使用者的行動電話執行 SMS 驗證。 使用者會收到具有一次性密碼的簡訊(OTP),然後回復該 OTP 加上 PIN 的訊息(如果適用)。
如果使用者選取行動應用程式驗證方法,頁面會提示使用者在其裝置上安裝 Microsoft Authenticator 應用程式,並產生啟用碼。 安裝應用程式之後,使用者會按一下 [產生啟用碼] 按鈕。
注意
若要使用 Microsoft Authenticator 應用程式,使用者必須為其裝置啟用推播通知。
然後,頁面會顯示啟用碼和 URL 以及條碼圖片。 如果使用者在驗證時需要使用 PIN,頁面會額外提示他們輸入 PIN。 使用者會在 Microsoft Authenticator 應用程式中輸入啟用碼和 URL,或使用條碼掃描器掃描條碼圖片,然後按一下 [啟用] 按鈕。
啟用完成後,使用者按一下 [ 立即 驗證我] 按鈕。 Microsoft Entra 多重要素驗證會對使用者的行動應用程式執行驗證。 使用者必須輸入 PIN 碼(如果適用),然後按其行動應用程式中的 [驗證] 按鈕,以移至自我註冊程式的下一個步驟。
如果系統管理員已將 Azure Multi-Factor Authentication Server 設定為收集安全性問題和解答,則會將使用者帶到 [安全性問題] 頁面。 使用者必須選取四個安全性問題,並提供其所選問題的解答。
使用者自我註冊現已完成,且使用者已登入使用者入口網站。 使用者可以在未來隨時重新登入使用者入口網站,以在系統管理員允許變更其方法時變更其電話號碼、PIN、驗證方法和安全性問題。