滿足 Microsoft Entra ID 多重要素驗證 (MFA) 控制要求，採用來自聯邦身份提供者的 MFA 宣告。

發行項
2025/01/07

本檔概述 Microsoft Entra ID 所需的主張，來自聯合身份提供者 (IdP)，以遵循已配置的 federatedIdpMfaBehaviour 值，包括 acceptIfMfaDoneByFederatedIdp 和 enforceMfaByFederatedIdp，以進行安全性斷言標記語言 (SAML) 和 WS-Fed 聯合。

提示

使用同盟 IdP 設定Microsoft Entra 識別碼 選擇性。 Microsoft Entra 建議使用在 Microsoft Entra 身分識別中提供的驗證方法。

Microsoft Entra ID 包含先前僅透過同盟 IdP 提供的驗證方法支援，例如具有 Entra Certificate Based Authentication 的憑證/智慧卡
Microsoft Entra ID 包含整合第三方 MFA 提供者與外部驗證方法的支援
使用與聯邦身份提供者整合的應用程式可以直接與 Microsoft Entra ID 整合。

使用 WS-Fed 或 SAML 1.1 聯邦 IdP

當系統管理員選擇性地設定其Microsoft Entra ID 租使用者以使用同盟 IdP 使用 WS-Fed 同盟時，Microsoft Entra 會重新導向至 IdP 以進行驗證，並以包含 SAML 1.1 判斷提示的要求安全性令牌回應（RSTR）形式來預期回應。如果配置為這樣，Microsoft Entra 如果存在以下兩個宣告之一，將接受由 IdP 完成的多因素驗證 (MFA)：

http://schemas.microsoft.com/claims/multipleauthn
http://schemas.microsoft.com/claims/wiaormultiauthn

它們可以包含在斷言中，作為 AuthenticationStatement 元素的一部分。例如：

XML

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

或者，它們可以包含在斷言中，作為 AttributeStatement 元素的一部分。例如：

XML

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

登入頻率使用 UserAuthenticationInstant（SAML 斷言 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant），這是使用密碼進行 SAML1.1/WS-Fed 的第一要素驗證的 AuthInstant。

使用 SAML 2.0 聯合 IdP

當系統管理員選擇性地使用 SAMLP/SAML 2.0 同盟標識符租使用者設定其Microsoft Entra 標識符租使用者，並預期包含 SAML 2.0 判斷提示的回應時，Microsoft Entra 會重新導向至 Id P 以進行驗證，並預期會有包含 SAML 2.0 判斷提示的回應。輸入 MFA 數據聲明必須存在於 AuthnContext的 AuthnStatement 元素中。

XML

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

因此，若要讓來自外部的 MFA 聲明由 Microsoft Entra 處理，它們必須存在於的元素中。只有一種方法可以以這種方式呈現。

登入頻率使用在 AuthnStatement中提供的 MFA 或第一因素驗證的 AuthInstant。在載體 AttributeReference 區段內共用的任何斷言會被忽略，包括 http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant。

federatedIdpMfaBehaviour

其他資源

訓練

模組

描述 Microsoft Entra 識別碼的驗證功能 - Training

描述 Microsoft Entra 識別碼的驗證功能

認證

Microsoft Certified: Identity and Access Administrator Associate - Certifications

示範 Microsoft Entra ID 的功能，以現代化身分識別解決方案、實作混合式解決方案，以及實作身分識別治理。

文件

如何在 Microsoft Entra ID 管理外部驗證方法 (EAM) (預覽) - Microsoft Entra ID

了解如何為 Microsoft Entra 多重要素驗證管理外部驗證方法 (EAM)
Microsoft Entra 多重要素驗證外部方法提供者參考 (預覽) - Microsoft Entra ID

了解如何為Microsoft Entra 多重要素驗證設定外部驗證方法 (EAM) 提供者
在 Microsoft Entra ID 中找出並解決管理員增強式驗證涵蓋範圍中的差距 - Microsoft Entra ID

了解如何在 Microsoft Entra ID 中找出並解決管理員增強式驗證涵蓋範圍中的差距
Microsoft Entra 多重要素驗證常見問題 - Microsoft Entra ID

與 Microsoft Entra 多重要素驗證相關的常見問答集。
規劃強制Microsoft Entra 多重要素驗證（MFA） - Microsoft Entra ID

針對登入 Azure 和其他管理入口網站的使用者規劃強制性多重要素驗證。
如何確認使用者已針對強制Microsoft Entra 多重要素驗證進行設定（MFA） - Microsoft Entra ID

針對登入 Azure 和其他管理入口網站的使用者，驗證強制多重要素驗證的步驟。
驗證方法和功能 - Microsoft Entra ID

瞭解 Microsoft Entra 識別碼中可用的不同驗證方法和功能，以協助改善和保護登入事件
保護 Microsoft Entra ID 中的驗證方法 - Microsoft Entra ID

瞭解可在 Microsoft Entra ID 中預設啟用的驗證功能

共用方式為

滿足 Microsoft Entra ID 多重要素驗證 (MFA) 控制要求，採用來自聯邦身份提供者的 MFA 宣告。

使用 WS-Fed 或 SAML 1.1 聯邦 IdP

使用 SAML 2.0 聯合 IdP

意見反應

其他資源

共用方式為

滿足 Microsoft Entra ID 多重要素驗證 (MFA) 控制要求，採用來自聯邦身份提供者的 MFA 宣告。

使用 WS-Fed 或 SAML 1.1 聯邦 IdP

搭配 WS-Fed 或 SAML 1.1 來使用登入頻率與會話控制的條件式存取原則

使用 SAML 2.0 聯合 IdP

使用 SAML 2.0 的登入頻率和會話控制條件式存取原則

相關內容

意見反應

其他資源