從 MFA Server 遷移至 Microsoft Entra 多重要素驗證
多重要素驗證對於保護基礎結構和資產免受不良執行者保護非常重要。 Azure Multi-Factor Authentication Server (MFA Server) 不適用於新的部署,且即將淘汰。 使用 MFA Server 的客戶應移至使用雲端式 Microsoft Entra 多重要素驗證。
在本文中,我們假設您有混合式環境,其中:
- 您正使用 MFA Server 進行多重要素驗證。
- 您在 Microsoft Entra 識別碼上使用同盟搭配 Active Directory 同盟服務 (AD FS) 或其他識別提供者同盟產品。
- 雖然本文的範圍是 AD FS,但類似的步驟也適用於其他識別提供者。
- 您的 MFA 伺服器已與 AD FS 整合。
- 您可能有使用AD FS進行驗證的應用程式。
視您的目標而定,移轉有多個可能的結束狀態。
| 目標:僅解除委任 MFA 伺服器 | 目標:解除委任 MFA 伺服器並移至 Microsoft Entra 驗證 | 目標:解除委任 MFA 伺服器和 AD FS | |
|---|---|---|---|
| MFA 提供者 | 將 MFA 提供者從 MFA Server 變更為 Microsoft Entra 多重要素驗證。 | 將 MFA 提供者從 MFA Server 變更為 Microsoft Entra 多重要素驗證。 | 將 MFA 提供者從 MFA Server 變更為 Microsoft Entra 多重要素驗證。 |
| 使用者驗證 | 繼續針對 Microsoft Entra 驗證使用同盟。 | 移至具有密碼哈希同步處理的 Microsoft Entra 識別碼(慣用)或傳遞驗證 和 無縫單一登錄 (SSO)。 | 使用密碼哈希同步處理移至 Microsoft Entra ID(慣用)或傳遞驗證 和 SSO。 |
| 應用程式驗證 | 繼續對您的應用程式使用AD FS驗證。 | 繼續對您的應用程式使用AD FS驗證。 | 將應用程式移至 Microsoft Entra 識別符,再移轉至 Microsoft Entra 多重要素驗證。 |
如果可以,請將多重要素驗證和使用者驗證移至 Azure。 如需逐步指引,請參閱 移至 Microsoft Entra 多重要素驗證和 Microsoft Entra 用戶驗證。
如果您無法移動使用者驗證,請參閱使用同盟移至 Microsoft Entra 多重要素驗證的逐步指引。
必要條件
- AD FS 環境 (如果您在移轉 MFA Server 之前未將所有應用程式移轉至 Microsoft Entra,則為必要專案)
- 升級至適用於 Windows Server 2019 的 AD FS,伺服器陣列行為層級 (FBL) 4。 此升級可讓您根據群組成員資格選取驗證提供者,以取得更順暢的用戶轉換。 雖然在適用於 Windows Server 2016 FBL 3 的 AD FS 上移轉時可能會移轉,但對用戶來說並不那麼順暢。 在移轉期間,系統會提示用戶選取驗證提供者(MFA Server 或 Microsoft Entra 多重要素驗證),直到移轉完成為止。
- 許可權
- Active Directory 中的企業系統管理員角色,為 Microsoft Entra 多重要素驗證設定 AD FS 伺服器陣列
- 使用 PowerShell 在 Microsoft Entra ID 中設定 Microsoft Entra ID 的全域管理員角色
所有移轉路徑的考慮
從 MFA Server 移轉至 Microsoft Entra 多重要素驗證,不只是移動已註冊的 MFA 電話號碼。 Microsoft 的 MFA 伺服器可以與許多系統整合,您必須評估這些系統如何使用 MFA Server 來瞭解與 Microsoft Entra 多重要素驗證整合的最佳方式。
移轉 MFA 使用者資訊
以批次方式思考行動使用者的常見方式包括依區域、部門或系統管理員等角色行動使用者。 您應該反覆移動用戶帳戶,從測試和試驗群組開始,並確定您已備妥復原計劃。
您可以使用 MFA 伺服器移轉公用程式 ,將儲存在內部部署 Azure MFA Server 中的 MFA 數據同步處理至 Microsoft Entra 多重要素驗證,並使用 分段推出 將使用者重新路由傳送至 Azure MFA。 分段推出可協助您測試,而不需對網域同盟設定進行任何變更。
若要協助使用者區分新新增的帳戶與連結至 MFA Server 的舊帳戶,請確定 MFA Server 上行動應用程式的帳戶名稱是以區分這兩個帳戶的方式命名。 例如,MFA Server 上 [行動應用程式] 底下的 [帳戶名稱] 已重新命名為 [內部部署 MFA 伺服器]。 Microsoft Authenticator 上的帳戶名稱將會隨著下一個推播通知變更給使用者。
移轉電話號碼也會導致移轉過時的數位,並讓使用者更可能停留在電話型 MFA 上,而不是在無密碼模式中設定更安全的方法,例如 Microsoft Authenticator。 因此,我們建議您無論選擇的移轉路徑為何,您都有所有用戶註冊 合併的安全性資訊。
移轉硬體安全性金鑰
Microsoft Entra ID 提供 OATH 硬體令牌的支援。 您可以使用 MFA Server 移轉公用程式來同步處理 MFA Server 與 Microsoft Entra 多重要素驗證之間的 MFA 設定,並使用分段推出來測試使用者移轉,而不變更網域同盟設定。
如果您只想要移轉 OATH 硬體令牌,則需要 使用 CSV 檔案將令牌上傳至 Microsoft Entra ID,通常稱為「種子檔案」。 種子檔案包含將令牌上傳至 Microsoft Entra ID 所需的秘密密鑰、令牌序號和其他必要資訊。
如果您不再具有秘密密鑰的種子檔案,就無法從 MFA Server 匯出秘密密鑰。 如果您無法再存取秘密密鑰,請連絡硬體廠商以取得支援。
MFA Server Web 服務 SDK 可用來匯出指派給指定使用者的任何 OATH 令牌序號。 您可以使用此資訊與種子檔案,將令牌匯入 Microsoft Entra ID,並根據序號將 OATH 令牌指派給指定的使用者。 用戶也必須在匯入時連絡,才能從裝置提供 OTP 資訊,以完成註冊。 請參閱說明檔主題 GetUserInfo>使用者 設定> MFA Server 上的 Multi-Factor Authentication Server 中的OathTokenSerialNumber。
更多移轉
從 MFA Server 移轉至 Microsoft Entra 多重要素驗證的決定會開啟其他移轉的大門。 完成更多移轉取決於許多因素,特別是:
- 您願意對使用者使用 Microsoft Entra 驗證
- 您願意將應用程式移至 Microsoft Entra ID
由於 MFA Server 是應用程式和使用者驗證不可或缺的一部分,因此請考慮將這兩個函式移至 Azure 作為 MFA 移轉的一部分,最後將 AD FS 解除委任。
我們的建議:
- 使用 Microsoft Entra ID 進行驗證,因為它可啟用更強固的安全性和治理
- 盡可能將應用程式移至 Microsoft Entra 識別碼
若要為您的組織選取最佳的用戶驗證方法,請參閱 為您的 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法。 我們建議您使用密碼哈希同步處理 (PHS)。
無密碼驗證
在註冊使用者使用 Microsoft Authenticator 作為第二個因素的一部分時,建議您在註冊時啟用無密碼電話登入。 如需詳細資訊,包括 FIDO2 安全性金鑰和 Windows Hello 企業版 等其他無密碼方法,請流覽使用 Microsoft Entra ID 規劃無密碼驗證部署。
Microsoft Identity Manager 自助式密碼重設
Microsoft Identity Manager (MIM) SSPR 可以使用 MFA Server,在密碼重設流程中叫用 SMS 單次密碼。 MIM 無法設定為使用 Microsoft Entra 多重要素驗證。 建議您評估將 SSPR 服務移至 Microsoft Entra SSPR。 您可以使用註冊 Microsoft Entra 多重要素驗證的用戶機會,使用合併的註冊體驗來註冊 Microsoft Entra SSPR。
如果您無法移動 SSPR 服務,或利用 MFA Server 來叫用特殊許可權存取管理 (PAM) 案例的 MFA 要求,建議您更新為 替代的第三方 MFA 選項。
RADIUS 用戶端和 Microsoft Entra 多重要素驗證
MFA Server 支援 RADIUS,針對支援通訊協定的應用程式和網路裝置叫用多重要素驗證。 如果您使用RADIUS與 MFA Server,建議您將用戶端應用程式移至新式通訊協定,例如 SAML、OpenID 連線 或 Microsoft Entra ID 上的 OAuth。 如果無法更新應用程式,您可以使用 Microsoft Entra 多重要素驗證延伸模組來部署網路原則伺服器 (NPS)。 網路原則伺服器 (NPS) 擴充功能可作為 RADIUS 型應用程式與 Microsoft Entra 多重要素驗證之間的適配卡,以提供第二個驗證要素。 此「配接器」可讓您將RADIUS用戶端移至 Microsoft Entra 多重要素驗證,並解除委任您的 MFA Server。
重要考量
針對RADIUS用戶端使用NPS時有一定限制,建議您評估任何RADIUS用戶端,以判斷您是否可以將它們升級至新式驗證通訊協定。 請洽詢服務提供者,以取得支援的產品版本及其功能。
- NPS 擴充功能不會使用 Microsoft Entra 條件式存取原則。 如果您繼續使用RADIUS並使用NPS擴充功能,則所有前往NPS的驗證要求都會要求使用者執行 MFA。
- 用戶必須先註冊 Microsoft Entra 多重要素驗證,才能使用 NPS 擴充功能。 否則,擴充功能無法驗證使用者,這會產生技術支援中心通話。
- 當 NPS 擴充功能叫用 MFA 時,MFA 要求會傳送至用戶的預設 MFA 方法。
- 由於登入發生在非 Microsoft 應用程式上,使用者通常看不到需要多重要素驗證的視覺通知,而且要求已傳送至其裝置。
- 在多重要素驗證需求期間,用戶必須能夠存取其默認驗證方法,才能完成需求。 他們無法選擇替代方法。 即使租使用者驗證方法和多重要素驗證原則中已停用預設驗證方法,也會使用其默認驗證方法。
- 使用者可以在 [安全性資訊] 頁面中變更其預設多重要素驗證方法(aka.ms/mysecurityinfo)。
- RADIUS 用戶端可用的 MFA 方法是由傳送 RADIUS 存取要求的客戶端系統所控制。
- 在使用者輸入密碼之後需要使用者輸入的 MFA 方法只能與支援 RADIUS 存取挑戰回應的系統搭配使用。 輸入方法可能包括 OTP、硬體 OATH 令牌或 Microsoft Authenticator。
- 某些系統可能會限制 Microsoft Authenticator 推播通知和電話可用的多重要素驗證方法。
注意
RADIUS 用戶端與 NPS 系統之間所使用的密碼加密演算法,以及用戶端可以使用的輸入方法會影響可用的驗證方法。 如需詳細資訊,請參閱 判斷使用者可以使用的驗證方法。
常見的RADIUS用戶端整合包括遠端桌面閘道和 VPN 伺服器等應用程式。 其他可能包括:
- Citrix 閘道
- Citrix Gateway 同時支援 RADIUS 和 NPS 擴充功能整合,以及 SAML 整合。
- Cisco VPN
- Cisco VPN 支援 SSO 的 RADIUS 和 SAML 驗證。
- 藉由從RADIUS驗證移至SAML,您可以整合 Cisco VPN,而不需部署 NPS 擴充功能。
- 所有 VPN
- 建議您盡可能將您的 VPN 同盟為 SAML 應用程式。 此同盟可讓您使用條件式存取。 如需詳細資訊,請參閱 整合至 Microsoft Entra ID 應用程式資源庫的 VPN 廠商清單。
部署 NPS 的資源
- 新增 NPS 基礎結構
- NPS 部署最佳做法
- Microsoft Entra 多重要素驗證 NPS 擴充功能健康情況檢查腳本
- 整合現有的 NPS 基礎結構與 Microsoft Entra 多重要素驗證