如何將 MFA 和 SSPR 原則設定移轉至 Microsoft Entra 識別碼的驗證方法原則
您可以移轉Microsoft Entra ID 舊版原則設定 ,分別控制多重要素驗證和自助式密碼重設 (SSPR) 以使用 驗證方法原則進行整合管理。
您可以依自己的排程移轉原則設定,且程式是完全可逆的。 您可以在驗證方法原則中更精確地為使用者和群組設定驗證方法時,繼續使用全租使用者 MFA 和 SSPR 原則。 當您準備好在驗證方法原則中一起管理所有驗證方法時,即可完成移轉。
如需這些原則在移轉期間如何一起運作的詳細資訊,請參閱 管理Microsoft Entra ID 的驗證方法。
開始之前
首先,針對使用者可用的每個驗證方法,執行現有原則設定的稽核。 如果您在移轉期間復原,您可能會想要從下列每個原則取得驗證方法設定的記錄:
- MFA 原則
- SSPR 原則(如果使用)
- 驗證方法原則(如果使用)
如果您未使用 SSPR 且尚未使用驗證方法原則,則只需要從 MFA 原則取得設定。
檢閱舊版 MFA 原則
首先,記載舊版 MFA 原則中可用的方法。 以全域管理員的身分登入 Microsoft Entra 系統管理中心。 移至 [身分>識別使用者>所有使用者] [每位使用者>MFA>服務設定] 以檢視設定。 這些設定是全租使用者,因此不需要使用者或群組資訊。
針對每個方法,請注意是否為租用戶啟用。 下表列出舊版 MFA 原則中可用的方法,以及驗證方法原則中的對應方法。
多重要素驗證原則 | 驗證方法原則 |
---|---|
電話通話 | 語音通話 |
電話簡訊 | SMS |
行動應用程式的通知 | Microsoft 驗證器 |
來自行動應用程式或硬體權杖的驗證碼 | 第三方軟體 OATH 令牌 硬體 OATH 權杖 Microsoft 驗證器 |
檢閱舊版 SSPR 原則
若要取得舊版 SSPR 原則中可用的驗證方法,請移至 [身分>識別使用者>密碼重設>驗證方法]。 下表列出舊版 SSPR 原則中的可用方法,以及驗證方法原則中的對應方法。
記錄哪些使用者屬於 SSPR 的範圍(所有使用者、一個特定群組或沒有使用者),以及他們可以使用的驗證方法。 雖然安全性問題尚未可在驗證方法原則中管理,但請確定您稍後會記錄這些問題。
SSPR 驗證方法 | 驗證方法原則 |
---|---|
行動應用程式通知 | Microsoft 驗證器 |
行動應用程式程式碼 | Microsoft 驗證器 軟體 OATH 令牌 |
電子郵件 | 電子郵件 OTP |
行動電話 | 語音通話 SMS |
辦公室電話 | 語音通話 |
安全性問題 | 尚無法使用;複製問題以供稍後使用 |
驗證方法原則
若要檢查驗證方法原則中的設定,請至少以驗證原則管理員身分登入 Microsoft Entra 系統管理中心,並流覽至 [保護>驗證方法原則>]。 新的租用戶預設有 [關閉] 的所有方法,這可讓移轉變得更容易,因為舊版原則設定不需要與現有設定合併。
- 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 保護>驗證方法>
驗證方法原則具有舊版原則中無法使用的其他方法,例如 FIDO2 安全性密鑰、暫時存取傳遞,以及Microsoft Entra 憑證型驗證。 這些方法不在移轉範圍內,如果您已經設定它們,就不需要對這些方法進行任何變更。
如果您已在驗證方法原則中啟用其他方法,請記下可以或無法使用這些方法的使用者和群組。 記下可控管方法使用方式的組態參數。 例如,您可以將 Microsoft Authenticator 設定為在推播通知中提供位置。 針對與每個方法相關聯的類似組態參數,建立哪些使用者和群組的記錄。
開始移轉
從您目前使用的原則擷取可用的驗證方法之後,您就可以開始移轉。 開啟 [驗證方法] 原則,選取 [ 管理移轉],然後選取 [ 進行中的移轉]。
在進行任何變更之前,您會想要設定此選項,因為它會將新原則套用至登入和密碼重設案例。
下一個步驟是更新驗證方法原則,以符合您的稽核。 您會想要逐一檢閱每個方法。 如果您的租使用者只使用舊版 MFA 原則,且未使用 SSPR,則更新很簡單 - 您可以為所有使用者啟用每個方法,並完全符合現有的原則。
如果您的租用戶同時使用 MFA 和 SSPR,您必須考慮每個方法:
- 如果在兩個舊版原則中啟用方法,請在驗證方法原則中為所有使用者啟用此方法。
- 如果方法在這兩個舊版原則中都關閉,請讓驗證方法原則中的所有使用者關閉此方法。
- 如果方法只在一個原則中啟用,您必須決定是否在所有情況下都可使用。
原則符合的位置,您可以輕鬆地比對目前狀態。 如果發生不相符的情況,您必須決定要完全啟用或停用方法。 例如,假設 已啟用透過行動裝置應用程式的 通知,以允許 MFA 的推播通知。 在舊版 SSPR 原則中, 不會啟用行動應用程式通知 方法。 在此情況下,舊版原則允許 MFA 的推播通知,但不允許 SSPR。
在 [驗證方法] 原則中,您接著需要選擇是否要為 SSPR 和 MFA 啟用 Microsoft Authenticator ,還是停用它(我們建議啟用 Microsoft Authenticator)。
請注意,在 [驗證方法] 原則中,除了所有使用者之外,您也可以選擇為使用者群組啟用方法,而且您也可以排除使用者群組,使其無法使用指定的方法。 這表示您有許多彈性可控制哪些使用者可以使用哪些方法。 例如,您可以為所有用戶啟用 Microsoft Authenticator,並將 SMS 和 Voice 通話限制為需要這些方法的 1 個使用者群組。
當您更新驗證方法原則中的每個方法時,某些方法都有可設定的參數,可讓您控制該方法的使用方式。 例如,如果您啟用 語音通話 作為驗證方法,您可以選擇允許辦公室電話和行動電話,或只允許行動裝置。 逐步執行從稽核設定每個驗證方法的程式。
您不需要符合現有的原則! 您可以檢閱已啟用的方法,並選擇新的原則,以最大化租用戶的安全性和可用性。 請注意,停用已使用這些方法的使用者可能需要這些使用者註冊新的驗證方法,並防止他們使用先前註冊的方法。
下一節涵蓋每個方法的特定移轉指引。
以電子郵件寄送一次性密碼
電子郵件一次性密碼有兩個控制項:
在組態的 [啟用和目標] 區段中,使用 include 和 exclude 作為目標 ,可用來為租使用者的成員啟用電子郵件 OTP,以用於 密碼重設。
[設定] 區段中有個別的 [允許外部使用者使用電子郵件 OTP] 控件,控制 B2B 使用者登入電子郵件 OTP 的使用。 如果啟用此控件,就無法停用驗證方法。
Microsoft 驗證器
如果在舊版 MFA 原則中啟用透過行動裝置應用程式的通知,請在驗證方法原則中為所有用戶啟用 Microsoft Authenticator。 將驗證模式設定為 [任何 ] 以允許推播通知或無密碼驗證。
如果在舊版 MFA 原則中啟用行動應用程式或硬體令牌的驗證碼,請將 [允許使用 Microsoft驗證器 OTP] 設定為 [是]。
注意
如果使用者使用「我想要使用不同的驗證器應用程式」精靈來註冊Microsoft Authenticator 應用程式,則必須啟用 第三方軟體 OATH 令牌 原則。
簡訊和語音通話
舊版 MFA 原則有個別的 SMS 和 電話控制。 但也有一個 手機 控件,可以同時啟用手機的簡訊和語音通話。 Office 電話的另一個控件只允許語音通話的辦公室電話。
驗證方法原則具有 SMS 和語音通話的控件,符合舊版 MFA 原則。 如果您的租用戶已啟用 SSPR 和 行動電話 ,您要在驗證方法原則中啟用 SMS 和 語音通話 。 如果您的租用戶已啟用 SSPR 和 Office 電話 ,您要想要在驗證方法原則中啟用 語音通話 ,並確定 已啟用 Office 電話 選項。
注意
SMS 設定上預設會啟用 [用於登入] 選項。 此選項會啟用SMS登入。 如果使用者已啟用SMS登入,則會略過跨租使用者同步處理。 如果您使用跨租使用者同步處理或不想啟用SMS登入,請停用目標使用者的SMS登入。
OATH 權杖
舊版 MFA 和 SSPR 原則中的 OATH 令牌控件是單一控件,可讓您使用三種不同類型的 OATH 令牌:Microsoft Authenticator 應用程式、第三方軟體 OATH TOTP 程式代碼產生器應用程式,以及硬體 OATH 令牌。
驗證方法原則具有細微的控制,每個類型 OATH 令牌都有個別的控件。 使用來自 Microsoft Authenticator 的 OTP 是由原則Microsoft Authenticator 區段中允許使用 Microsoft Authenticator OTP 控件所控制。 第三方應用程式是由原則的第 三方軟體 OATH 令牌 區段所控制。 硬體 OATH 令牌是由 原則的 [硬體 OATH 令牌 ] 區段所控制。
安全性問題
安全性問題的控件即將推出。 如果您使用安全性問題,而且不想停用它們,請務必在舊版 SSPR 原則中啟用它們,直到有新的控件可用為止。 您可以完成移轉,如下一節所述的啟用安全性問題。
完成移轉
更新驗證方法原則之後,請流覽舊版 MFA 和 SSPR 原則,並逐一移除每個驗證方法。 測試並驗證每個方法的變更。
當您判斷 MFA 和 SSPR 如預期般運作,而不再需要舊版 MFA 和 SSPR 原則時,您可以將移轉程式變更為 [移轉完成]。 在此模式中,Microsoft僅 Entra 遵循驗證方法原則。 如果 已設定移轉完成,則無法對舊版原則進行 變更,但 SSPR 原則中的安全性問題除外。 如果您需要基於某些原因回到舊版原則,您可以隨時將移轉狀態移回 進行中的 移轉。