Så här migrerar du MFA- och SSPR-principinställningar till principen autentiseringsmetoder för Microsoft Entra ID
Du kan migrera äldre principinställningar för Microsoft Entra-ID som separat styr multifaktorautentisering och självbetjäning av lösenordsåterställning (SSPR) till enhetlig hantering med principen Autentiseringsmetoder.
Du migrerar principinställningar enligt ditt eget schema och processen är helt reversibel. Du kan fortsätta att använda MFA- och SSPR-principer för hela klientorganisationen medan du konfigurerar autentiseringsmetoderna mer exakt för användare och grupper i principen Autentiseringsmetoder. Du slutför migreringen när du är redo att hantera alla autentiseringsmetoder tillsammans i principen Autentiseringsmetoder.
Mer information om hur dessa principer fungerar tillsammans under migreringen finns i Hantera autentiseringsmetoder för Microsoft Entra-ID.
Innan du börjar
Börja med att göra en granskning av dina befintliga principinställningar för varje autentiseringsmetod som är tillgänglig för användare. Om du återställer under migreringen kanske du vill ha en post med autentiseringsmetodinställningarna från var och en av dessa principer:
- MFA-policy
- SSPR-princip (om den används)
- Princip för autentiseringsmetoder (om den används)
Om du inte använder SSPR och ännu inte använder principen Autentiseringsmetoder behöver du bara hämta inställningar från MFA-principen.
Granska den äldre MFA-principen
Börja med att dokumentera vilka metoder som är tillgängliga i den äldre MFA-principen. Logga in på administrationscentret för Microsoft Entra som global administratör. Gå till Identitetsanvändare>>Alla användare>MFA-tjänstinställningar> per användare för att visa inställningarna. De här inställningarna är hela klientorganisationen, så det finns inget behov av användar- eller gruppinformation.
För varje metod anger du om den är aktiverad för klientorganisationen eller inte. I följande tabell visas metoder som är tillgängliga i den äldre MFA-principen och motsvarande metoder i autentiseringsmetodprincipen.
| Princip för multifaktorautentisering | Princip för autentiseringsmetod |
|---|---|
| Samtal till telefon | Röstsamtal |
| Textmeddelande till telefon | SMS |
| Meddelande via mobilapp | Microsoft Authenticator |
| Verifieringskod från mobilapp eller maskinvarutoken | Oath-token från tredje part Maskinvaru-OATH-token Microsoft Authenticator |
Granska den äldre SSPR-principen
Om du vill hämta de autentiseringsmetoder som är tillgängliga i den äldre SSPR-principen går du till Autentiseringsmetoder för lösenordsåterställning>av identitetsanvändare.>> I följande tabell visas tillgängliga metoder i den äldre SSPR-principen och motsvarande metoder i autentiseringsmetodprincipen.
Registrera vilka användare som finns i omfånget för SSPR (antingen alla användare, en specifik grupp eller inga användare) och de autentiseringsmetoder som de kan använda. Säkerhetsfrågor är ännu inte tillgängliga att hantera i principen Autentiseringsmetoder, men se till att du registrerar dem för senare när de är det.
| SSPR-autentiseringsmetoder | Princip för autentiseringsmetod |
|---|---|
| Meddelanden via mobilapp | Microsoft Authenticator |
| Kod för mobilapp | Microsoft Authenticator Oath-token för programvara |
| E-postadress för OTP | |
| Mobiltelefon | Röstsamtal SMS |
| Telefon (kontor) | Röstsamtal |
| Säkerhetsfrågor | Inte tillgänglig än; kopiera frågor för senare användning |
Princip för autentiseringsmetoder
Om du vill kontrollera inställningarna i principen Autentiseringsmetoder loggar du in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper och bläddrar till Principer för skyddsautentiseringsmetoder>>. En ny klientorganisation har alla metoder av som standard, vilket gör migreringen enklare eftersom äldre principinställningar inte behöver sammanfogas med befintliga inställningar.
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till metoder för skyddsautentisering>>
Principen Autentiseringsmetoder har andra metoder som inte är tillgängliga i äldre principer, till exempel FIDO2-säkerhetsnyckel, tillfälligt åtkomstpass och Microsoft Entra-certifikatbaserad autentisering. De här metoderna finns inte i omfånget för migrering och du behöver inte göra några ändringar i dem om du redan har konfigurerat dem.
Om du har aktiverat andra metoder i principen Autentiseringsmetoder skriver du ned de användare och grupper som kan eller inte kan använda dessa metoder. Anteckna de konfigurationsparametrar som styr hur metoden kan användas. Du kan till exempel konfigurera Microsoft Authenticator för att tillhandahålla plats i push-meddelanden. Ange vilka användare och grupper som är aktiverade för liknande konfigurationsparametrar som är associerade med varje metod.
Starta migreringen
När du har avbildat tillgängliga autentiseringsmetoder från de principer som du använder för närvarande kan du starta migreringen. Öppna principen Autentiseringsmetoder, välj Hantera migrering och välj Migrering pågår.
Du vill ange det här alternativet innan du gör några ändringar eftersom det tillämpar din nya princip på både inloggnings- och lösenordsåterställningsscenarier.
Nästa steg är att uppdatera principen Autentiseringsmetoder så att den matchar din granskning. Du vill granska varje metod en i taget. Om din klientorganisation bara använder den äldre MFA-principen och inte använder SSPR är uppdateringen enkel – du kan aktivera varje metod för alla användare och exakt matcha din befintliga princip.
Om klientorganisationen använder både MFA och SSPR måste du överväga varje metod:
- Om metoden är aktiverad i båda de äldre principerna aktiverar du den för alla användare i principen Autentiseringsmetoder.
- Om metoden är inaktiverad i båda de äldre principerna lämnar du den inaktiverad för alla användare i principen Autentiseringsmetoder.
- Om metoden endast är aktiverad i en princip måste du bestämma om den ska vara tillgänglig i alla situationer eller inte.
Där principerna matchar kan du enkelt matcha ditt aktuella tillstånd. Om det finns ett matchningsfel måste du bestämma om metoden ska aktiveras eller inaktiveras helt och hållet. Anta till exempel att Meddelande via mobilapp är aktiverat för att tillåta push-meddelanden för MFA. I den äldre SSPR-principen är inte aviseringsmetoden mobilapp aktiverad. I så fall tillåter äldre principer push-meddelanden för MFA men inte SSPR.
I principen Autentiseringsmetoder måste du sedan välja om du vill aktivera Microsoft Authenticator för både SSPR och MFA eller inaktivera det (vi rekommenderar att du aktiverar Microsoft Authenticator).
Observera att du i principen Autentiseringsmetoder har möjlighet att aktivera metoder för grupper av användare utöver alla användare, och du kan även utesluta grupper av användare från att kunna använda en viss metod. Det innebär att du har stor flexibilitet för att styra vilka användare som kan använda vilka metoder. Du kan till exempel aktivera Microsoft Authenticator för alla användare och begränsa SMS - och röstsamtal till en grupp med 20 användare som behöver dessa metoder.
När du uppdaterar varje metod i principen Autentiseringsmetoder har vissa metoder konfigurerbara parametrar som gör att du kan styra hur metoden kan användas. Om du till exempel aktiverar röstsamtal som autentiseringsmetod kan du välja att tillåta både office-telefon och mobiltelefoner, eller endast mobilt. Gå igenom processen för att konfigurera varje autentiseringsmetod från granskningen.
Du behöver inte matcha din befintliga princip! Det är ett bra tillfälle att granska dina aktiverade metoder och välja en ny princip som maximerar klientorganisationens säkerhet och användbarhet. Notera bara att om du inaktiverar metoder för användare som redan använder dem kan det krävas att dessa användare registrerar nya autentiseringsmetoder och förhindra dem från att använda tidigare registrerade metoder.
I nästa avsnitt beskrivs specifik migreringsvägledning för varje metod.
E-post engångslösenord
Det finns två kontroller för engångslösenord för e-post:
Målinriktning med hjälp av inkludera och exkludera i konfigurationens avsnittet Aktivera och mål används för att aktivera OTP för e-post för medlemmar i en klientorganisation för användning i Lösenordsåterställning.
Det finns en separat Tillåt externa användare att använda otp-kontroll för e-post i avsnittet Konfigurera som styr användningen av OTP för e-post för inloggning av B2B-användare. Autentiseringsmetoden kan inte inaktiveras om den här kontrollen är aktiverad.
Microsoft Authenticator
Om Meddelande via mobilapp är aktiverat i den äldre MFA-principen aktiverar du Microsoft Authenticator för Alla användare i principen Autentiseringsmetoder. Ställ in autentiseringsläget på Alla för att tillåta push-meddelanden eller lösenordslös autentisering.
Om Verifieringskod från mobilapp eller maskinvarutoken är aktiverad i den äldre MFA-principen anger du Tillåt användning av Microsoft Authenticator OTP till Ja.
SMS- och röstsamtal
Den äldre MFA-principen har separata kontroller för SMS- och Telefon-anrop. Men det finns också en mobiltelefonkontroll som möjliggör mobiltelefoner för både SMS och röstsamtal. Och en annan kontroll för Office Phone aktiverar endast en kontorstelefon för röstsamtal.
Principen Autentiseringsmetoder har kontroller för SMS- och röstsamtal som matchar den äldre MFA-principen. Om din klientorganisation använder SSPR och mobiltelefonen är aktiverad vill du aktivera både SMS - och röstsamtal i principen Autentiseringsmetoder. Om din klientorganisation använder SSPR och Office Phone är aktiverat vill du aktivera röstsamtal i principen Autentiseringsmetoder och se till att alternativet Office-telefon är aktiverat.
Kommentar
Alternativet Använd för inloggning är standard aktiverat iSMS-inställningar . Det här alternativet aktiverar SMS-inloggning. Om SMS-inloggning är aktiverat för användare hoppas de över från synkronisering mellan klientorganisationer. Om du använder synkronisering mellan klientorganisationer eller inte vill aktivera SMS-inloggning inaktiverar du SMS-inloggning för målanvändare.
OATH-token
OATH-tokenkontrollerna i de äldre MFA- och SSPR-principerna var enskilda kontroller som aktiverade användningen av tre olika typer av OATH-token: Microsoft Authenticator-appen, programvara från tredje part OATH TOTP-kodgeneratorappar och maskinvaru-OATH-token.
Principen Autentiseringsmetoder har detaljerad kontroll med separata kontroller för varje typ av OATH-token. Användning av OTP från Microsoft Authenticator styrs av kontrollen Tillåt användning av Microsoft Authenticator OTP i avsnittet Microsoft Authenticator i principen. Appar från tredje part styrs av avsnittet OATH-token från tredje part i principen. Maskinvaru-OATH-token styrs av avsnittet Maskinvaru-OATH-token i principen.
Säkerhetsfrågor
En kontroll för säkerhetsfrågor kommer snart. Om du använder säkerhetsfrågor och inte vill inaktivera dem ser du till att de är aktiverade i den äldre SSPR-principen tills den nya kontrollen är tillgänglig. Du kan slutföra migreringen enligt beskrivningen i nästa avsnitt med säkerhetsfrågor aktiverade.
Slutför migreringen
När du har uppdaterat principen Autentiseringsmetoder går du igenom de äldre MFA- och SSPR-principerna och tar bort varje autentiseringsmetod en i taget. Testa och verifiera ändringarna för varje metod.
När du fastställer att MFA och SSPR fungerar som förväntat och du inte längre behöver de äldre MFA- och SSPR-principerna kan du ändra migreringsprocessen till Slutförd migrering. I det här läget följer Microsoft Entra-only principen för autentiseringsmetoder. Inga ändringar kan göras i de äldre principerna om slutförd migrering har angetts, förutom säkerhetsfrågor i SSPR-principen. Om du av någon anledning behöver gå tillbaka till de äldre principerna kan du när som helst flytta tillbaka migreringstillståndet till Migrering pågår .
