管理 Microsoft Entra 識別碼的驗證方法
Microsoft Entra ID 允許使用各種驗證方法來支援各種不同的登入案例。 管理員 istrators 可以特別設定每個方法,以符合其用戶體驗和安全性的目標。 本主題說明如何管理 Microsoft Entra ID 的驗證方法,以及組態選項如何影響使用者登入和密碼重設案例。
驗證方法原則
驗證方法原則是管理驗證方法的建議方式,包括無密碼驗證等新式方法。 驗證原則 管理員 istrators 可以編輯此原則,以啟用所有使用者或特定群組的驗證方法。
在驗證方法原則中啟用的方法通常可用於 Microsoft Entra ID 中的任何位置,以用於驗證和密碼重設案例。 例外狀況是,某些方法本質上僅限於在驗證中使用,例如 FIDO2 和 Windows Hello 企業版,而其他方法則僅限於在密碼重設中使用,例如安全性問題。 若要進一步控制指定驗證案例中可使用的方法,請考慮使用 驗證強度 功能。
大部分的方法也有組態參數,更精確地控制該方法的使用方式。 例如,如果您啟用 語音通話,您也可以指定除了行動電話之外,是否可以使用辦公室電話。
或者,假設您想要使用 Microsoft Authenticator 啟用無密碼驗證。 您可以設定額外的參數,例如顯示使用者登入位置或正在登入的應用程式名稱。 這些選項會在使用者登入時提供更多內容,並協助防止意外的 MFA 核准。
若要管理驗證方法原則,請至少以驗證原則 管理員 istrator 登入 Microsoft Entra 系統管理中心,然後流覽至 [保護>驗證方法>原則]。
只有聚合式註冊體驗才知道驗證方法原則。 驗證方法原則範圍中的使用者,但不會看到聚合式註冊體驗,看不到要註冊的正確方法。
舊版 MFA 和 SSPR 原則
另外兩個原則位於 多重要素驗證 設定和 密碼重設 設定中,提供舊版方式來管理租使用者中所有使用者的一些驗證方法。 您無法控制誰使用已啟用的驗證方法,或如何使用方法。 管理這些原則需要全域 管理員 istrator。
重要
在 2023 年 3 月,我們宣佈淘汰在舊版多重要素驗證和自助式密碼重設 (SSPR) 原則中管理驗證方法。 從 2025 年 9 月 30 日起,這些舊版 MFA 和 SSPR 原則無法管理驗證方法。 我們建議客戶使用手動移轉控件,依淘汰日期移轉至驗證方法原則。
若要管理舊版 MFA 原則,請選取 [安全性>多重要素驗證>][其他雲端式多重要素驗證設定]。
若要管理自助式密碼重設的驗證方法(SSPR),請按兩下 [ 密碼重設>驗證方法]。 此原則中的 [行動電話] 選項可讓語音電話或簡訊傳送至行動電話。 Office 電話選項只允許語音通話。
原則如何一起運作
原則之間不會同步處理 設定,這可讓系統管理員獨立管理每個原則。 Microsoft Entra ID 會遵守所有原則中的設定,因此在任何原則中啟用驗證方法的使用者都可以註冊並使用該方法。 若要防止使用者使用 方法,必須在所有原則中停用它。
讓我們逐步解說屬於會計群組的使用者想要註冊 Microsoft Authenticator 的範例。 註冊程式會先檢查驗證方法原則。 如果已啟用 Microsoft Authenticator 的會計群組,用戶可以註冊它。
如果沒有,註冊程式會檢查舊版 MFA 原則。 在該原則中,如果其中一個設定已啟用 MFA,則任何使用者都可以註冊 Microsoft Authenticator:
- 透過行動應用程式通知
- 行動應用程式或硬體令牌的驗證碼
如果使用者無法根據上述任一原則註冊 Microsoft Authenticator,註冊程式會檢查舊版 SSPR 原則。 在該原則中,如果使用者已啟用 SSPR,且已啟用上述任何設定,則使用者可以註冊 Microsoft Authenticator:
- 行動應用程式通知
- 行動應用程式程序代碼
針對針對 SSPR 啟用行動電話 的使用者,原則之間的獨立控制可能會影響登入行為。 當其他原則有個別的簡訊和語音通話選項時, SSPR 的行動電話 會啟用這兩個選項。 因此,任何使用 行動電話 進行 SSPR 的人也可以使用語音通話進行密碼重設,即使其他原則不允許語音通話也一樣。
同樣地,假設您為群組啟用 語音通話 。 啟用之後,您會發現即使是非群組成員的使用者都可以使用語音通話登入。 在此情況下,這些使用者 可能會啟用舊版 SSPR 原則中的行動電話 或 舊版 MFA 原則中的來電 。
原則之間的移轉
驗證方法原則提供所有驗證方法統一管理的移轉路徑。 所有所需的方法都可以在驗證方法原則中啟用,假設已定義每個驗證方法原則所需的使用者群組(除非套用至所有使用者)。 在此使用者群組管理活動之後,可以停用舊版 MFA 和 SSPR 原則中的方法。 移轉有三個設定可讓您以自己的步調移動,並避免在轉換期間發生登入或 SSPR 的問題。 移轉完成後,您將集中控制單一位置的登入和 SSPR 的驗證方法,並停用舊版 MFA 和 SSPR 原則。
注意
目前只能使用舊版 SSPR 原則來啟用安全性問題。 未來會在驗證方法原則中提供。 如果您使用安全性問題,而且不想停用它們,請務必在舊版 SSPR 原則中啟用它們,直到未來有新的控件可用為止。 您可以移轉其餘的驗證方法,但仍在舊版 SSPR 原則中管理安全性問題。
若要檢視移轉選項,請開啟 [驗證方法] 原則,然後按兩下 [ 管理移轉]。
下表會說明每個選項。
選項 | 描述 |
---|---|
移轉前 | 驗證方法原則僅用於驗證。 會遵守舊版原則設定。 |
移轉進行中 | 驗證方法原則用於驗證和 SSPR。 會遵守舊版原則設定。 |
移轉完成 | 只有驗證方法原則會用於驗證和 SSPR。 會忽略舊版原則設定。 |
根據租使用者的目前狀態,租用戶預設會設定為 [移轉前] 或 [進行中移轉]。 如果您從移轉前開始,您可以隨時移至任何狀態。 如果您在移轉進行中開始,您可以隨時在移轉與 Microsoft Complete 之間移動,但不允許移至移轉前。 如果您移至 [移轉完成],然後選擇回復到先前的狀態,我們會詢問為什麼我們可以評估產品的效能。
注意
在完全移轉所有驗證方法之後,舊版 SSPR 原則的下列元素會保持作用中:
- 重 設 控件所需的方法數目:系統管理員可以繼續變更必須驗證多少驗證方法,使用者才能執行 SSPR。
- SSPR 系統管理員原則:系統管理員可以繼續註冊並使用舊版 SSPR 系統管理員原則底下所列的任何方法,或他們啟用在驗證方法原則中使用的方法。
未來,這兩項功能都會與驗證方法原則整合。
已知問題與限制
- 在最近的更新中,我們移除了以個別用戶為目標的能力。 先前的目標使用者會保留在原則中,但建議將它們移至目標群組。
- 如果 FIDO2 驗證方法原則是以群組為目標,且整體驗證方法原則已設定超過 20 個群組,則某些使用者的 FIDO2 安全性密鑰註冊可能會失敗。 我們正努力增加原則大小限制,而平均時間建議將群組目標數目限制為不超過 20 個。