規劃 Microsoft Entra 多重要素驗證部署
Microsoft Entra 多重要素驗證可協助保護對資料和應用程式的存取,並使用第二種形式驗證來提供另一層安全性。 組織可以透過條件式存取來啟用多重要素驗證,來調整至其特定需求的解決方案。
此部署指南會說明如何規劃並實作 Microsoft Entra 多重要素驗證的推出。
部署 Microsoft Entra 多重要素驗證的必要條件
開始您的部署之前,請確定您符合相關案例的下列必要條件。
案例 | 必要條件 |
---|---|
僅限雲端的身分識別環境 (含新式驗證) | 沒有必要工作 |
混合式身分識別案例 | 部署 Microsoft Entra Connect,並在內部部署 Active Directory Domain Services (AD DS) 與 Microsoft Entra ID 之間同步使用者身分識別。 |
發佈供雲端存取的內部部署舊版應用程式 | 部署 Microsoft Entra 應用程式 Proxy |
選擇 MFA 的驗證方法
有許多方法可用於第二要素驗證。 您可以從可用的驗證方法清單中進行選擇,然後根據安全性、使用性和可用性評估每一種方法。
重要
啟用多個 MFA 方法,以便使用者在其主要方法無法使用時,有備份方法可用。 方法如下:
選擇將在您租用戶中使用的驗證方法時,請考慮這些方法的安全性和使用性:
若要深入了解這些方法的強度和安全性,以及其運作方式,請參閱下列資源:
您可以使用此 PowerShell 指令碼,來分析使用者的 MFA 設定,並建議適當的 MFA 驗證方法。
如需最佳彈性和使用性,請使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。 Microsoft Authenticator 應用程式也符合美國國家標準與技術局 (NIST) 驗證器保證等級 2 需求。
您可以控制租用戶中可用的驗證方法。 例如,您可能想要封鎖某些最不安全的方法,例如 SMS。
驗證方法 | 管理來源 | 範圍 |
---|---|---|
Microsoft Authenticator (推播通知和無密碼電話登入) | MFA 設定或驗證方法原則 | Authenticator 無密碼電話登入可將範圍設定為使用者和群組 |
FIDO2 安全性金鑰 | 驗證方法原則 | 可將範圍設定為使用者和群組 |
軟體或硬體 OATH 權杖 | MFA 設定 | |
簡訊驗證 | MFA 設定 管理驗證原則中主要驗證的 SMS 登入 |
SMS 登入可將範圍設定為使用者和群組。 |
語音通話 | 驗證方法原則 |
規劃條件式存取原則
Microsoft Entra 多重要素驗證是以條件式存取原則強制執行的。 這些原則可讓您在需要安全性時提示使用者進行 MFA,並在不需要時避免造成使用者的困擾。
在 Microsoft Entra 系統管理中心中,您會在 [保護]>[條件式存取]底下設定條件式存取原則。
若要深入了解如何建立條件式存取原則,請參閱在使用者登入時要對 Microsoft Entra 多重要素驗證提示的條件式存取原則。 這可協助您:
- 熟悉使用者介面
- 取得條件式存取如何運作的第一印象
如需有關 Microsoft Entra 條件式存取部署的端對端指引,請參閱條件式存取部署計畫。
Microsoft Entra 多重要素驗證的常見原則
需要 Microsoft Entra 多重要素驗證的常見使用案例包括:
具名位置
為了管理您的條件式存取原則,條件式存取原則的位置條件可讓您將存取控制設定和使用者的網路位置結合。 建議使用具名位置,以便您可以建立 IP 位址範圍、國家與地區的邏輯分組。 這會針對所有應用程式建立一個原則,封鎖來自該具名位置的登入。 請確保您的管理員不受此原則規範。
風險型原則
如果您的組織使用 Microsoft Entra ID Protection 來偵測風險信號,請考慮使用風險型原則,而不是具名位置。 您可以建立原則,在身分識別遭盜用威脅時強制變更密碼,或在登入由於洩漏的認證、來自匿名 IP 位址的登入之類而被視為有風險時要求 MFA。
風險原則包括:
將使用者從個別使用者 MFA 轉換成條件式存取形式的 MFA
如果您的使用者已啟用每一使用者 MFA 並強制執行Microsoft Entra 多重要素驗證,建議您為所有使用者啟用條件式存取,然後手動停用每個使用者多重要素驗證。 如需詳細資訊,請參閱建立條件式存取原則。
規劃使用者工作階段存留期
規劃多重要素驗證部署時,請務必考慮您想要提示使用者的頻率。 經常要求使用者提供認證雖然看似合理,但也可能會帶來反效果。 如果使用者習慣不加思索地輸入其認證,則可能會不慎將這些認證提供給惡意認證提示。 Microsoft Entra ID 有多個設定可決定您需要重新驗證的頻率。 了解您公司和使用者的需求,並設定可為您環境提供最佳平衡的設定。
我們建議使用裝置搭配主要重新整理權杖 (PRT),以改善終端使用者體驗,並只在特定的商務使用案例中使用登入頻率原則,來減少工作階段存留期。
如需詳細資訊,請參閱最佳化重新驗證提示,並了解 Microsoft Entra 多重要素驗證的工作階段存留期。
規劃使用者註冊
每個多重要素驗證部署的主要步驟是讓使用者註冊,以使用 Microsoft Entra 多重要素驗證。 語音和 SMS 等驗證方法允許預先註冊,而其他像是 Authenticator 應用程式的驗證方法則需要使用者互動。 系統管理員必須判斷使用者會如何註冊其方法。
SSPR 與 Microsoft Entra 多重要素驗證之合併註冊
Microsoft Entra 多重要素驗證和自助式密碼重設 (SSPR) 的合併註冊體驗可讓使用者以統一體驗註冊 MFA 和 SSPR。 SSPR 可讓使用者以安全的方式,透過與 Microsoft Entra 多重要素驗證相同的方法重設密碼。 若要確定您了解功能和終端使用者體驗,請參閱合併安全性資訊註冊概念。
請務必通知使用者即將進行的變更、註冊需求,以及任何必要的使用者動作。 我們提供通訊範本和使用者文件,為您的使用者準備新的體驗,並協助確保此體驗能順利推出。 選取該頁面的 [安全性資訊] 連結,將使用者傳送至 https://myprofile.microsoft.com 進行註冊。
使用 Microsoft Entra ID Protection 註冊
Microsoft Entra ID Protection 會同時為 Microsoft Entra 多重要素驗證 案例提供註冊原則,並將風險偵測和補救原則自動化。 您可以建立原則,在身分識別遭盜用威脅時強制變更密碼,或在登入被視為有風險時要求 MFA。 如果您使用 Microsoft Entra ID Protectiony Protection,請設定 Microsoft Entra 多重要素驗證註冊原則,提示使用者在下一次以互動方式登入時註冊。
沒有使用 Microsoft Entra ID Protection 的註冊
如果您沒有啟用 Microsoft Entra ID Protection 的授權,在下次登入需進行 MFA 時,系統會提示使用者註冊。 若要要求使用者使用 MFA,您可以使用條件式存取原則,並將頻繁使用的應用程式 (例如 HR 系統) 設為目標。 如果使用者的密碼遭盜用,其可以用來註冊 MFA,從而控制其帳戶。 因此,建議使用要求信任的裝置和位置,利用條件式存取原則來保護安全性註冊流程。 您也可以要求臨時存取密碼,進一步保護此流程。 限時密碼是由管理員發出的限時密碼,可滿足增強式驗證需求,而且可用來讓其他驗證方法 (包括無密碼驗證) 上線。
提高已註冊使用者的安全性
如果您的使用者已使用 SMS 或語音通話註冊 MFA,您可能會想要將他們移至更安全的方法,例如 Microsoft Authenticator 應用程式。 Microsoft 現在提供功能的公開預覽版,該功能可讓您在登入期間提示使用者設定 Microsoft Authenticator 應用程式。 您可以依群組設定這些提示,從而控制誰可以收到提示、讓目標活動能夠將使用者移至更安全的方法。
規劃復原案例
如先前所述,請確定使用者已註冊多種 MFA 方法,以便若有一種無法使用,則有備份可用。 如果使用者沒有可用的備份方法,您可以:
- 為他們提供臨時存取密碼,以便他們可以管理自己的驗證方法。 您也可以提供臨時存取密碼,以啟用對資源的暫時存取。
- 以管理員身分更新其方法。 若要這樣做,請在 Microsoft Entra 系統管理中心,選取 [保護]> [驗證方法] 並更新其方法。
規劃內部部署系統整合
直接使用 Microsoft Entra ID 驗證並具有新式驗證 (WS-Fed、SAML、OAuth、OpenID Connect) 的應用程式,可以使用條件式存取原則。 某些不會直接向 Microsoft Entra ID 驗證的舊版和內部部署應用程式,並需要額外步驟才能使用 Microsoft Entra 多重要素驗證。 您可以使用 Microsoft Entra ID 應用程式 Proxy 或網路原則服務來整合它們。
與 AD FS 資源整合
建議您將使用 Active Directory 同盟服務 (AD FS) 保護的應用程式移轉至 Microsoft Entra ID。 不過,如果您尚未準備好將這些應用程式移轉至 Microsoft Entra ID,則可以使用 Azure 多重要素驗證配接器搭配 AD FS 2016 或更新版本。
如果您的組織與 Microsoft Entra ID 同盟,您可以同時在內部部署上和雲端中將 Microsoft Entra 多重要素驗證 設定為具有 AD FS 資源的驗證提供者。
RADIUS 用戶多和 Microsoft Entra 多重要素驗證
若為使用 RADIUS 驗證的應用程式,建議將用戶端應用程式移至新式通訊協定,例如 SAML、Open ID Connect 或 OAuth on Microsoft Entra ID。 如果無法更新應用程式,則您可以使用延伸模組來部署網路原則伺服器 (NPS)。 網路原則伺服器 (NPS) 延伸模組可以作為 RADIUS 型應用程式與 Microsoft Entra 多重要素驗證之間的配接器,以提供第二個驗證因素。
一般整合
許多廠商現在支援其應用程式進行 SAML 驗證。 可能的話,建議您將這些應用程式與 Microsoft Entra ID 同盟,並透過條件式存取強制執行 MFA。 如果您的廠商不支援新式驗證,您可以使用 NPS 延伸模組。 常見的 RADIUS 用戶端整合包括遠端桌面閘道和 VPN 伺服器之類的應用程式。
其他可能包括:
Citrix 閘道
Citrix 閘道支援 RADIUS 和 NPS 延伸模組整合,以及 SAML 整合。
Cisco VPN
- Cisco VPN 支援 SSO 的 RADIUS 和 SAML 驗證。
- 從 RADIUS 驗證移至 SAML,即可整合 Cisco VPN,而不是部署 NPS 延伸模組。
所有 VPN
部署 Microsoft Entra 多重要素驗證
您的 Microsoft Entra 多重要素驗證推出計劃應該包含試驗部署,隨後迎接支援能力可容許的部署潮。 開始推出時,請將條件式存取原則套用到一小組試驗使用者上。 評估了對試驗使用者、使用流程和註冊行為的效果之後,就可以將更多群組新增至原則,或將更多使用者新增至現有群組。
請執行以下步驟:
- 符合所需的必要條件
- 設定所選的驗證方法
- 設定設定條件式存取原則
- 設定工作階段存留期設定
- 設定 Microsoft Entra 多重要素驗證註冊原則
管理執行 Microsoft Entra 多重要素驗證
本節提供 Microsoft Entra 多重要素驗證的報告和疑難排解資訊。
報告和監視
Microsoft Entra ID 具有的報告可提供技術和商務見解、遵循您的部署進度,以及檢查您的使用者是否已使用 MFA 成功登入。 請讓您的商務和技術應用程式擁有者根據您組織的需求擁有並取用這些報告。
您可以使用驗證方法活動儀表板,監視整個組織內的驗證方法註冊和使用情況。 這可協助您了解正在註冊哪些方法,以及其使用方式。
檢閱 MFA 事件的登入報告
Microsoft Entra ID 登入報告包括下列情況時事件的驗證詳細資料:當系統提示使用者進行 MFA 時,以及若有任何條件式存取原則使用中。 您也可以使用 PowerShell,報告已註冊 Microsoft Entra 多重要素驗證的使用者。
雲端 MFA 活動的 NPS 延伸模組和 AD FS 記錄目前已包含登入記錄,並不再發佈至 [活動報告]。
如需詳細資訊和其他 Microsoft Entra 多重要素驗證報告,請參閱檢閱 Microsoft Entra 多重要素驗證事件。
疑難排解執行 Microsoft Entra 多重要素驗證
如需常見的問題,請參閱對 Microsoft Entra 多重要素驗證進行疑難排解。
引導逐步解說
如需本文中許多建議的引導逐步解說,請參閱 Microsoft 365 設定多重要素驗證引導式逐步解說。