您可以將分別控制多重要素驗證 (MFA) 和自助式密碼重設 (SSPR) 的 Microsoft Entra ID 舊版原則設定,移轉至使用驗證方法原則的統一管理。
您可以在 Microsoft Entra 系統管理中心使用驗證方法移轉指南,將移轉自動化。 本指南提供精靈,可協助稽核 MFA 和 SSPR 的目前原則設定。 接著其會在驗證方法原則中合併這些設定,供您更輕鬆地統一管理這些設定。
您也可以根據自己的排程手動移轉原則設定。 移轉程序可完全復原。 您可以在精確地設定驗證方法原則以針對使用者和群組時,繼續使用租戶範圍的 MFA 和 SSPR 原則。
如需這些政策在移轉期間相互運作的詳細資訊,請參閱管理 Microsoft Entra ID 的驗證方法。
注意
移轉指南只會移轉租用戶政策設定。 不會移轉個別的用戶設定。
自動化移轉指南
借助自動化移轉指南,您只需按幾下滑鼠,即可移轉到管理驗證方法的位置。 您可以流覽至 Entra ID>>,從 Microsoft Entra 系統管理中心存取它。
![[驗證方法原則] 頁面的螢幕擷取畫面,其中顯示了凸顯的精靈進入點。](media/how-to-authentication-methods-manage/wizard-entry-point.png)
精靈的第一頁將提供相關說明,以及其運作方式。 它也提供每個舊版原則的連結供你參考。
![[驗證方法政策面板] 的螢幕擷取畫面,其中顯示了被反白的向導的首頁。](media/how-to-authentication-methods-manage/wizard-first-page.png)
然後,精靈會根據貴組織目前在舊版 MFA 和 SSPR 原則中啟用的內容來設定驗證方法原則。 如果在任一個舊版原則中啟用方法,建議您也在驗證方法原則中將其啟用。 透過該設定,使用者可以繼續使用與先前相同方法來登入和重設其密碼。
此外,建議啟用最新的新式安全方法 (例如密鑰、臨時存取密碼以及 Microsoft Authenticator),來改善組織的安全性態勢。 若要編輯建議的設定,請選取每個方法旁的鉛筆圖示。
![[驗證方法原則] 面板的螢幕擷取畫面,其中顯示了設定精靈的第二頁已標註。](media/how-to-authentication-methods-manage/wizard-second-page.png)
設定好所需內容後,請選取 [移轉],然後確認移轉。 為符合精靈中指定的設定,驗證方法原則會進行更新。 舊版 MFA 和 SSPR 原則中的驗證方法會變成灰色,無法再套用。
您的移轉狀態會更新為 移轉完成。 如有需要,您可以隨時將此狀態變更回 [進行中],在舊版原則中重新啟用方法。
手動移轉
首先,針對使用者可用的每個驗證方法,稽核現有原則設定。 如果您在遷移過程中回復,您可能會想要從下列每個政策取得驗證方法設定的記錄:
- MFA 政策
- SSPR 原則 (若使用)
- 驗證方法原則 (若使用)
如果您並未使用 SSPR,且尚未使用驗證方法原則,則只需要從多重要素驗證原則取得設定。
檢閱舊版多重要素驗證政策
首先,整理舊版多重要素驗證原則中可用的方法。
- 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>使用者>個別使用者 MFA>服務設定 以檢視設定。
這些設定是全租用戶適用,因此不需要使用者或群組資訊。
針對每個方法,請注意其是否已為租戶啟用。 下表列出舊版多重要素驗證原則中可用的方法,以及驗證方法原則中的對應方法。
| 多重要素驗證原則 | 驗證方法原則 |
|---|---|
| 電話通話 | 語音通話 |
| 發送簡訊到手機 | SMS |
| 手機應用程式通知 | Microsoft Authenticator |
| 來自行動應用程式或硬體權杖的驗證碼 | 協力廠商軟體 OATH 權杖 硬體 OATH 令牌 Microsoft Authenticator |
檢閱舊版 SSPR 原則
若要取得舊版 SSPR 原則中可用的驗證方法,請移至 Entra ID>Users>密碼重設>驗證方法。 下表列出舊版 SSPR 原則中可用的方法,以及驗證方法原則中的對應方法。
記錄哪些使用者屬於 SSPR 的範圍 (所有使用者、一個特定群組或沒有使用者),以及他們可以使用的驗證方法。 安全性問題尚無法在驗證方法原則中管理,而且會在舊版 SSPR 驗證方法設定中保持可管理。 您可以移至 Entra ID>使用者>密碼重設>屬性,以檢視目前的密碼問題資訊。
| SSPR 驗證方法 | 驗證方法原則 |
|---|---|
| 行動應用程式通知 | Microsoft Authenticator |
| 行動應用程式驗證碼 | Microsoft Authenticator 軟體 OATH 驗證器 |
| 電子郵件 OTP | |
| 行動電話 | 語音通話 SMS |
| 辦公室電話 | 語音通話 |
| 安全性問題 | 尚無法使用;複製問題以供稍後使用 |
驗證方法原則
若要檢查驗證方法原則中的設定,請至少以驗證原則管理員身分登入 Microsoft Entra 系統管理中心,並流覽至 Entra ID>驗證方法原則>。 新的租用戶預設會將所有方法關閉,這讓移轉變得更容易,因為舊版的原則設定不需要與現有設定合併。
- 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>驗證方法>
驗證方法原則具有舊版原則中無法使用的其他方法,例如 FIDO2 安全性密鑰、臨時存取密碼,以及 Microsoft Entra 憑證型驗證。 這些方法都不在移轉範圍內。因此,如果您已經設定這些方法,就不需要加以變更。
如果您已在驗證方法原則中啟用其他方法,請記下可以或無法使用這些方法的使用者和群組。 記下可控管方法使用方式的設定參數。 例如,您可以設定 Microsoft Authenticator 在推送通知中提供位置。 為每個方法相關聯的類似設定參數,記錄哪些使用者和群組是啟用的。
開始移轉
從您目前使用的原則擷取可用的驗證方法之後,就可以開始移轉。 開啟驗證方法原則,選取 [管理移轉],然後選取 [移轉進行中]。
在您進行任何變更之前,請先設定此選項,因為它會將新原則套用至登入和密碼重設案例。
下一個步驟是更新驗證方法原則,以符合您的稽核。 您需要逐一檢閱每個方法。 如果您的租用戶僅使用舊版 MFA 原則,且未使用自助式密碼重設 (SSPR),更新過程很簡單明瞭。您可以為所有使用者啟用每個方法,並精確符合現有的原則。
如果您的租戶同時使用多重要素驗證和自助式密碼重設,必須分別考慮這兩種方法:
- 如果該方法在兩個舊版原則中都啟用,請在驗證方法原則中為所有使用者啟用此方法。
- 如果該方法在兩個舊版原則中是關閉狀態,則請不要在驗證方法原則中為所有使用者啟用此方法。
- 如果該方法只在一個原則中啟用,則您必須決定是否在所有情況下都可使用該方法。
如果政策符合,您可以輕鬆地對應您的當前狀態。 如果發生不相符的情況,則必須決定是否要整個啟用或停用該方法。 例如,假設已啟用行動應用程式的通知,以允許推送多重身份驗證通知。 在舊版 SSPR 原則中,並未啟用行動裝置應用程式通知方法。 在此情況下,遺留的原則允許 MFA 的推播通知,但不允許 SSPR 的推播通知。
接著,您需要在驗證方法原則中選擇是否要同時針對 SSPR 和多重要素驗證啟用 Microsoft Authenticator,還是將其停用 (我們建議啟用 Microsoft Authenticator)。
請注意,在驗證方法原則中,除了所有使用者之外,您也可以選擇為使用者群組啟用方法;您也可以排除使用者群組,使其無法使用指定的方法。 這表示您有許多彈性來控制哪些使用者可以使用哪些方法。 例如,您可以為所有使用者啟用 Microsoft Authenticator,並將 SMS 和語音電話限制為需要這些方法的 1 個群組 20 位使用者。
當您更新驗證方法原則中的每個方法時,某些方法都有可設定的參數,讓您能夠控制該方法的使用方式。 例如,如果您啟用語音通話作為驗證方法,您可以選擇同時允許使用辦公室電話和行動電話,或只允許使用行動電話。 逐步執行從稽核設定每個驗證方法的流程。
您不需要符合現有的政策! 這是一個很好的機會,您可以檢閱已啟用的方法,並選擇新的原則,以提升租戶的安全性和可用性。 請注意,停用已經在使用的驗證方法可能需要這些使用者註冊新的驗證方法,並防止他們使用已註冊的先前方法。
下一節涵蓋每個方法的特定移轉指導。
以電子郵件寄送一次性密碼
電子郵件一次性密碼有兩個控制項:
在 [啟用和目標] 區段下:可以選擇啟用租用戶成員使用電子郵件 OTP 來進行密碼重設,並選擇包含或排除特定群組(或為所有成員用戶啟用使用)。
在 [設定] 區段底下:有一個單獨的 允許外部使用者使用電子郵件 OTP 的控制項,讓 B2B 用戶能夠使用電子郵件 OTP 進行 登入。 如果啟用此設定,就無法停用電子郵件 OTP 驗證方法。
Microsoft Authenticator
如果在舊版多重驗證原則中啟用了行動應用程式通知,請在驗證方法原則中為所有使用者啟用Microsoft Authenticator。 將驗證模式設定為 [任何],以允許推播通知或無密碼驗證。
如果在舊版多重要素驗證政策中已啟用由行動應用程式或硬體 Token 產生的驗證碼,請將允許使用 Microsoft Authenticator OTP設定為是。
注意
如果使用者只使用 「我想使用不同的驗證器應用程式」 嚮導來註冊 Microsoft Authenticator 作為 OTP 驗證碼,則需要啟用 第三方軟體 OATH 令牌 政策。
簡訊和語音電話
舊版多重要素驗證原則能分別控制 SMS 和 電話通話。 但還有一個行動電話控制項,讓手機可以撥打 SMS 和語音電話。 另一個控制項只針對語音通話啟用辦公室電話。
驗證方法原則具有控制SMS和語音通話的功能,以匹配舊版多重要素驗證原則。 如果您的租使用者使用 SSPR,且已啟用 [行動電話],您會想要在驗證方法原則中啟用 [SMS] 和 [語音通話]。 如果您的租使用者使用 SSPR,且已啟用 [辦公室電話],您必需在驗證方法原則中啟用語音通話,並確定已啟用 [辦公室電話]選項。
注意
在 [SMS] 設定上,預設會啟用 [用於登入] 選項。 此選項可啟用 SMS 登入。 如果對使用者啟用了 SMS 登入,則他們將被略過跨租戶同步處理。 如果您使用跨租用戶同步處理,或不想啟用 SMS 登入,請針對目標使用者停用 SMS 登入。
OATH 令牌
舊版多重要素驗證和 SSPR 原則中的 OATH 權杖控制項是單一控制項,可讓您使用三種不同類型的 OATH 權杖:Microsoft Authenticator 應用程式、協力廠商軟體 OATH TOTP 代碼產生器應用程式,以及硬體 OATH 權杖。
驗證方法原則提供細微控制項,針對每個類型 OATH 權杖分別提供控制項。 使用來自 Microsoft Authenticator 的 OTP,是由原則的 [Microsoft Authenticator] 區段中的 [允許使用 Microsoft Authenticator OTP] 所控制。 第三方應用程式受原則中 [第三方軟體 OATH 權杖] 區段控制。 硬體 OATH 權杖由政策的 [硬體 OATH 權杖] 區段所控制。
安全性問題
控制 安全性問題 將保留在 SSPR 中。 如果您使用安全性問題,而且不想在此移轉過程中停用它們,請務必在舊版 SSPR 原則中保持啟用。 在下一節中描述的情況下啟用安全性問題,您可以完成移轉。
完成移轉
更新驗證方法原則後,檢查舊版 MFA 和 SSPR 原則,並逐一移除每個驗證方法。 測試並驗證每個方法的變更。
當您判斷多重要素驗證和 SSPR 如預期運作,不再需要舊版多重要素驗證和 SSPR 原則時,您可以將移轉流程變更為 [移轉完成]。 在此模式中,Microsoft Entra 僅遵循驗證方法原則。 如果未設定 [移轉完成],則不會變更舊版原則,但 SSPR 原則中的安全性問題除外。 如果基於某些原因,您需要回到舊版原則,您可以隨時將移轉狀態移回 [移轉進行中]。
