管理 Microsoft Entra ID 的驗證方法

Microsoft Entra ID 允許使用各種驗證方法來支援各種不同的登入案例。 系統管理員可以特別設定每個方法，以符合其使用者體驗和安全性的目標。 本主題說明如何管理 Microsoft Entra ID 的驗證方法，以及設定選項如何影響使用者登入和密碼重設案例。

驗證方法原則

驗證方法原則是管理驗證方法的建議方式，包括無密碼驗證等新式方法。 驗證原則管理員可以編輯此原則，以針對所有使用者或特定群組啟用驗證方法。

在驗證方法原則中啟用的方法通常可以在 Microsoft Entra ID 中的任何位置使用，針對驗證和密碼重設方案使用。 例外狀況是，某些方法本質上僅限於在驗證中使用，例如 FIDO2 和 Windows Hello 企業版，而其他方法則僅限於在密碼重設中使用，例如安全性問題。 若要進一步控制指定驗證案例中可使用的方法，請考慮使用「驗證強度」功能。

大部分的方法也有組態參數，以更精確地控制使用該方法的方式。 例如，如果您啟用「語音通話」，您也可以指定除了行動電話之外，是否還可以使用辦公室電話。

或者，假設您想要使用 Microsoft Authenticator 來啟用無密碼驗證。 您可以設定額外的參數，例如顯示使用者登入位置或正在登入的應用程式名稱。 這些選項會在使用者登入時提供更多內容，並協助防止意外的 MFA 核准。

若要管理驗證方法原則中的設定，請至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心，瀏覽至 [資料保護]> [驗證方法]> [原則]。

只有聚合式註冊體驗才知道驗證方法原則。 在驗證方法原則範圍內，但不在聚合式註冊體驗範圍內的使用者，將看不到正確的註冊方法。

舊版 MFA 和 SSPR 原則

另外兩個原則位於 [多重要素驗證] 設定和 [密碼重設] 設定中，提供舊版方式來管理租用戶中所有使用者的部分驗證方法。 您無法控制誰使用已啟用的驗證方法，或使用方法的方式。 管理這些原則需要全域管理員。

重要

在 2023 年 3 月，我們宣佈淘汰在舊版多重要素驗證和自助式密碼重設 (SSPR) 原則中管理驗證方法。 從 2025 年 9 月 30 日起，無法在這些舊版 MFA 和 SSPR 原則中管理驗證方法。 我們建議客戶在淘汰日期之前，使用手動移轉控制項移轉至驗證方法原則。

若要管理舊版 MFA 原則，請選取 [安全性] > [多重要素驗證] > [其他雲端式多重要素驗證設定]。

若要管理自助式密碼重設的驗證方法 (SSPR)，請按一下 [密碼重設]>[驗證方法]。 此原則中的 [行動電話] 選項可允許語音通話或簡訊傳送至行動電話。 [辦公室電話] 選項只允許語音通話。

原則如何一同運作

原則之間不會同步設定，這可讓系統管理員獨立管理每個原則。 Microsoft Entra ID 會遵守所有原則中的設定，因此在任何原則中啟用驗證方法的使用者，都可以註冊並使用該方法。 若要防止使用者使用某種方法，必須在所有原則中將其停用。

讓我們來看一個範例，其中屬於「會計」群組的使用者想要註冊 Microsoft Authenticator。 註冊程序會先檢查驗證方法原則。 如果「會計」群組已啟用 Microsoft Authenticator，則使用者可以註冊它。

如果沒有，註冊程序會檢查舊版 MFA 原則。 在該原則中，如果 MFA 已啟用下列其中一個設定，則任何使用者都可以註冊 Microsoft Authenticator：

• 行動應用程式的通知
• 來自行動應用程式或硬體權杖的驗證碼

如果使用者無法根據其中一個原則註冊 Microsoft Authenticator，註冊程序會檢查舊版 SSPR 原則。 同樣在該原則中，如果使用者已啟用 SSPR，且已啟用上述任何設定，則使用者可以註冊 Microsoft Authenticator：

• 行動應用程式通知
• 行動應用程式程式碼

針對已啟用 [行動電話] 進行 SSPR 的使用者，原則之間的獨立控制可能會影響登入行為。 當其他原則有個別的文字簡訊和語音通話選項時，SSPR 的 [行動電話] 會啟用這兩個選項。 因此，任何使用 [行動電話] 進行 SSPR 的人，也可以使用語音通話進行密碼重設，即使其他原則不允許語音通話也是如此。

同樣地，假設您為群組啟用 [語音通話]。 啟用之後，您會發現即使是非群組成員的使用者都可以使用語音通話登入。 在此情況下，這些使用者可能會啟用舊版 SSPR 原則中的 [行動電話] 或舊版 MFA 原則中的 [電話通話]。

在原則之間移轉

驗證方法原則提供了統一管理所有驗證方法的移轉路徑。 假設已定義每個驗證方法原則所需的使用者群組 (除非它套用至所有使用者)，則可以在驗證方法原則中啟用所有所需的方法。 在此使用者群組管理活動之後，可以停用舊版 MFA 和 SSPR 原則中的方法。 移轉有三個設定，可讓您按照自己的步調進行移轉，並避免在轉換期間發生登入或 SSPR 的問題。 移轉完成後，，您將在單一位置集中控制登入和 SSPR 的驗證方法，並且舊版 MFA 和 SSPR 原則將會停用。

注意

目前只能使用舊版 SSPR 原則來啟用安全性問題。 未來會在驗證方法原則中提供。 如果您使用安全性問題，而且不想停用它們，請務必在舊版 SSPR 原則中啟用，直到未來有新的控制措施可用為止。 您可以移轉其餘驗證方法，但仍在舊版 SSPR 原則中管理安全性問題。

若要檢視移轉選項，請開啟驗證方法原則，然後按一下 [管理移轉]。

下表會說明每個選項。

選項	描述
移轉前	驗證方法原則僅用於驗證。 會遵守舊版原則設定。
移轉進行中	驗證方法原則用於驗證和 SSPR。 會遵守舊版原則設定。
移轉完成	只有驗證方法原則會用於驗證和 SSPR。 會忽略舊版原則設定。

根據租用戶的目前狀態，租用戶預設會設定為 [移轉前] 或 [移轉進行中]。 如果您從 [移轉前] 開始，您可以隨時移至任何狀態。 如果您從 [移轉進行中] 開始，您可以隨時在 [移轉進行中] 和 [Microsoft 完成] 之間移動，但不允許移至 [移轉前]。 如果您移至 [移轉完成]，然後選擇復原到先前的狀態，我們會詢問原因，以便評估產品的效能。

注意

在完全移轉所有驗證方法之後，舊版 SSPR 原則的下列元素會維持作用中：

• [需要重設的方法數目] 控制項：系統管理員可以繼續變更使用者執行 SSPR 之前，必須驗證的驗證方法數量。
• SSPR 系統管理員原則：系統管理員可以繼續註冊並使用舊版 SSPR 系統管理員原則底下所列的任何方法，或他們在驗證方法原則中啟用的方法。

未來，這兩項功能都會與驗證方法原則整合。

已知問題與限制

• 我們最新的更新中，移除了以個別使用者為目標的功能。 先前的目標使用者會留在原則中，但建議將它們移至目標群組。
• 如果 FIDO2 驗證方法原則是以群組為目標，且整體驗證方法原則已設定超過 20 個群組，則某些使用者的 FIDO2 安全性金鑰註冊可能失敗。 我們正努力增加原則大小限制，而平均時間建議將群組目標數限制為不超過 20 個。

下一步

• 如何將 MFA 和 SSPR 原則設定移轉至驗證方法原則
• Microsoft Entra ID 中有哪些可用的驗證和驗證方法？
• Microsoft Entra 多重要素驗證的運作方式
• Microsoft Graph REST API