共用方式為

在 Microsoft Entra ID 管理外部驗證方法 (預覽)

外部驗證方法 (EAM) 可讓使用者在登入 Microsoft Entra ID 時,選擇符合多重要素驗證 (MFA) 需求的外部提供者。

重要

外部驗證提供者目前處於公開預覽狀態。 如需預覽的詳細資訊,請參閱 線上服務的通用授權條款。 在此預覽版中,我們可讓您讓外部驗證提供者與 Microsoft Entra ID 租用戶整合為外部驗證方法 (EAM) 。 EAM 可以滿足來自條件式存取原則、Microsoft Entra ID Protection 風險型條件式存取原則、Privileged Identity Management (PIM) 啟用,以及當應用程式本身需要 MFA 時的 MFA 需求。 EAM 與同盟不同,因為使用者身分識別是在 Microsoft Entra ID 產生和管理。 使用同盟時,身分識別會在外部識別提供者管理。 EAM 至少需要 Microsoft Entra ID P1 授權。

以下是外部身份驗證方法如何運作的圖表:

外部方法驗證運作方式的圖表。

重要

我們正在更新EAM預覽版以支援改進功能。 作為改善的一部分,我們將執行後端移轉,可能會影響使用 EAM 登入的一些使用者。 如需詳細資訊,請參閱 EAM 的驗證方法註冊。 我們正在推出 2025 年 9 月的改善。

配置 EAM 所需的中繼資料

若要建立 EAM,您需要來自外部驗證提供者的下列資訊:

  • 應用程式識別碼通常是來自提供者的多租用戶應用程式,整合時會用到。 您需要在租戶中為此應用程式提供管理員同意。

  • 用戶端識別碼是您提供者的識別碼,作為驗證整合的一部分,用來識別要求驗證的 Microsoft Entra ID。

  • 發現 URL 是外部驗證提供者的 OpenID Connect (OIDC) 發現端點。

    如需如何設定應用程式註冊的詳細資訊,請參閱 使用 Microsoft Entra ID 設定新的外部驗證提供者

    重要

    請確定子系 (金鑰標識碼) 屬性在id_token的 JSON Web 令牌 (JWT) 標頭和從提供者jwks_uri擷取的 JSON Web 金鑰集 (JWKS) 中,都以 base64 編碼。 此編碼對齊對於驗證程序期間令牌簽章的無縫驗證而言非常重要。 不對齊可能會導致金鑰比對或簽章驗證發生問題。

在 Microsoft Entra 系統管理中心管理企業資產管理 (EAM)

EAM 透過 Microsoft Entra ID 驗證方法原則管理,就像內建方法一樣。

在系統管理中心建立 EAM

在系統管理中心建立 EAM 之前,請確定您有設定 EAM 的中繼資料

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>身份驗證方法>新增外部方法 (預覽)

    如何在 Microsoft Entra 系統管理中心新增 EAM 的螢幕擷取畫面。

    根據提供者的設定資訊新增方法屬性。 例如:

    • 名稱:Adatum
    • 用戶端識別碼:00001111-aaaa-2222-bbbb-3333cccc4444
    • 探索端點:https://adatum.com/.well-known/openid-configuration
    • 應用程式識別碼:11112222-bbbb-3333-cccc-4444dddd5555

    重要

    使用者會在方法選擇器中看到顯示名稱。 在建立 方法之後,您無法變更名稱。 顯示名稱必須是唯一的。

    如何新增 EAM 屬性的螢幕擷取畫面。

    您需要至少擁有特權角色管理員角色,才能授予提供者應用程式的管理員許可。 如果您沒有授與同意所需的角色,依舊可以儲存驗證方法,但在授與同意之前,您無法啟用它。

    輸入提供者的值之後,請按按鈕以要求將管理員同意授與應用程式,它才能從使用者讀取必要的資訊,以正確進行驗證。 系統會提示您使用具有系統管理員權限的帳戶登入,並將必要權限授與提供者的應用程式。

    登入之後,選取 [ 接受 ] 以授與管理員同意:

    如何授與系統管理員同意的螢幕擷取畫面。

    您可以先查看提供者應用程式要求的權限,然後再授與同意。 當您授與管理者同意且變更複寫之後,頁面會重新整理,顯示已授與管理者同意。

    授與同意之後驗證方法原則的螢幕擷取畫面。

如果應用程式有權限,則您也可以在儲存之前先啟用方法。 否則,您必須以停用狀態儲存方法,並在應用程式獲得同意之後啟用。

啟用方法之後,範圍內的所有使用者都可以針對任何 MFA 提示選擇方法。 如果提供者的應用程式同意尚未核准,則使用該方法的任何登入都會失敗。

如果應用程式已刪除或不再具有權限,使用者會看到錯誤並登入失敗。 該方法無法使用。

在系統管理中心設定 EAM

若要在 Microsoft Entra 系統管理中心管理您的 EAM,請開啟驗證方法原則。 選取方法名稱以開啟設定選項。 您可以選擇要包含和排除哪些使用者使用此方法。

如何針對特定使用者設定 EAM 使用範圍的螢幕擷取畫面。

在系統管理中心刪除 EAM

如果您不再希望使用者能夠使用 EAM,您可以:

  • 將 [啟用]設定為 [關閉],以儲存方法設定
  • 選取 [刪除] 以移除方法

如何刪除 EAM 的螢幕擷取畫面。

使用 Microsoft Graph 管理 EAM

若要使用 Microsoft Graph 管理驗證方法原則,您需要 Policy.ReadWrite.AuthenticationMethod 權限。 如需詳細資訊,請參閱更新 Authentication 方法政策

使用者體驗

啟用 EAM 的使用者,可以在需要登入和多重要素驗證時使用它。

如果使用者有其他登入方式,且系統慣用的 MFA 已啟用,則這些其他方法會以預設順序顯示。 使用者可以選擇使用不同的方法,然後選取 EAM。 例如,如果使用者已啟用 Authenticator 作為另一種方法,系統會提示使用者輸入數字比對

顯示在啟用系統偏好的多因素驗證 (MFA) 時,如何選擇 EAM 的螢幕截圖。

如果使用者未啟用其他方法,他們只能選擇 EAM。 系統會將他們重新導向至外部驗證提供者,以完成驗證。

如何登入 EAM 的螢幕擷取畫面。

EAM 驗證方法的註冊

在 EAM 預覽版中,為 EAM 啟用的群組成員的使用者可以使用 EAM 來滿足 MFA。 這些使用者不會包含在有關驗證方法註冊的報告中。

Microsoft Entra ID 中推出 EAM 註冊正在進行中。 推出完成後,用戶必須先向 Microsoft Entra 識別元註冊其 EAM,才能使用它來滿足 MFA。 在此推出過程中,Microsoft Entra ID 會自動註冊在過去 28 天內使用 EAM 登入的最新 EAM 使用者。

在註冊功能推出後 28 天內未使用 EAM 登入的使用者必須先註冊 EAM,才能再次使用。 根據目前的驗證設定,這些使用者可能會在下次登入時看到變更:

  • 如果他們只針對 EAM 啟用,他們必須先完成 EAM 的 Just-In-Time 註冊,才能繼續。
  • 如果他們已啟用 EAM 和其他驗證方法,他們可能會失去 EAM 進行驗證的存取權。 有兩種方式可以重新取得存取權:
    • 他們可以在 安全性資訊中註冊其 EAM。
    • 系統管理員可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph 代表他們註冊 EAM。

後續各節涵蓋每個選項的步驟。

用戶在安全性資訊中註冊其 EAM 的方式

使用者可以依照下列步驟在安全性資訊中註冊 EAM:

  1. 登入 安全性資訊
  2. 選取 [+ 新增登入方法]。
  3. 當系統提示您從可用選項清單中選取登入方法時,請選取 [外部驗證方法]。
  4. 在確認畫面上選取 [ 下一步 ]。
  5. 使用外部提供者完成第二個因素挑戰。 如果成功,使用者可以看到其登入方法中所列的 EAM。

使用者使用註冊精靈註冊其 EAM 的方式

當使用者登入時,註冊精靈可協助他們註冊他們啟用使用的EAM。 如果啟用其他驗證方法,可能需要選取 [ 我想要設定不同的>方法外部驗證方法 ] 以繼續進行。 他們需要向 EAM 提供者進行驗證,才能在 entra 識別碼Microsoft註冊 EAM。

如果驗證成功,訊息會確認註冊已完成,且已註冊 EAM。 系統會將使用者重新導向至他們想要存取的資源。 

如果驗證失敗,則會將使用者重新導向回註冊精靈,而註冊頁面會顯示錯誤訊息。 使用者可以再試一次,或選擇其他方法啟用登入的方式。 

系統管理員如何為用戶註冊 EAM

系統管理員可以註冊 EAM 的使用者。 如果他們為 EAM 註冊使用者,則使用者不需要在 安全性資訊 或使用註冊精靈註冊其 EAM。

系統管理員也可以代表使用者刪除註冊。 他們可以刪除註冊,以協助用戶在復原案例中,因為其下一個簽署會觸發新的註冊。 他們可以在 Microsoft Entra 系統管理中心 或使用 Microsoft Graph 刪除 EAM 註冊。 系統管理員可以建立 PowerShell 腳本,以一次更新多個使用者的註冊狀態。

在 Microsoft Entra 系統管理中心:

  1. 選取 [使用者]>[所有使用者]
  2. 選取需要註冊 EAM 的使用者。
  3. 在 [使用者] 功能表中,選取 [ 驗證方法],然後選取 [+ 新增驗證方法]。
  4. 選取 [外部驗證方法]。
  5. 選取一或多個 EAM,然後選取 [ 儲存]。
  6. 成功訊息隨即出現,而您先前選取的方法會列在 [可用驗證方法] 中。

平行使用 EAM 和條件式存取自訂控制項

EAM 和自訂控制項可平行運作。 Microsoft 建議系統管理員設定兩個條件式存取原則:

  • 一項政策會強制執行自訂控件
  • 另一項與 MFA 補助相關的政策要求

包含每個原則的測試使用者群組,但不能同時包含兩者。 如果使用者同時包含在這兩個原則中,或具有這兩個條件的任何原則,則使用者必須在登入時必須符合 MFA。 他們還必須符合自訂控制項,因此會將他們二度重新導向至外部提供者。

FAQ

1. 為什麼在裝置設定期間外部身份驗證方法 (EAM) 無法在 Windows 10 上運作?

回答:
如果您要使用僅限 EAM 身分識別來設定執行 Windows 10 的裝置,您可能會遇到現成 (OOB) 安裝體驗失敗的問題,並阻止您繼續登入。

發生此行為是因為 在 OOBE(現成體驗)期間,Windows 10 原本不支援 EAM
Microsoft 不再支援 Windows 10 (https://www.microsoft.com/en-us/windows/end-of-support?msockid=26a3312b6b246f501ec624846a4f6e11),並且 沒有計劃將 EAM 支援擴展 到它。

若要使用外部驗證方法登入,請 升級至 Windows 11

下一步

如需管理驗證方法的詳細資訊,請參閱管理 Microsoft Entra ID 的驗證方法 (部分為機器翻譯)。

如需 EAM 提供者參考,請參閱 Microsoft Entra 多重要素驗證外部方法提供者參考 (預覽)

  • Last updated on