編輯

管理 Microsoft Entra 多重要素驗證的用戶驗證方法

  • 作法

Microsoft Entra ID 中的使用者有兩組不同的連絡資訊:

  • 公開配置檔連絡資訊,這是在使用者配置檔中管理,且可供貴組織成員看見。 對於從 內部部署的 Active Directory 同步處理的使用者,此資訊會在內部部署 Windows Server Active Directory 網域服務 中管理。
  • 驗證方法一律會保留為私用,且僅用於驗證,包括多重要素驗證。 管理員 istrators 可以在使用者的驗證方法刀鋒視窗中管理這些方法,而且使用者可以在 MyAccount 的安全性資訊頁面中管理其方法。

為您的使用者管理 Microsoft Entra 多重要素驗證方法時,驗證系統管理員可以:

  • 新增特定使用者的驗證方法,包括用於 MFA 的電話號碼。
  • 重設用戶的密碼。
  • 要求使用者重新註冊 MFA。
  • 撤銷現有的 MFA 工作階段。
  • 刪除使用者現有的應用程式密碼

必要條件

默認會啟用的 Microsoft Entra 多重要素驗證。

為使用者新增驗證方法

您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph 為使用者新增驗證方法。

注意

基於安全性考慮,不應使用公用使用者連絡資訊欄位來執行 MFA。 相反地,用戶應該填入要用於 MFA 的驗證方法編號。

從 Microsoft Entra 系統管理中心新增驗證方法的螢幕快照。

若要在 Microsoft Entra 系統管理中心新增使用者的驗證方法:

  1. 以至少驗證 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 選擇您想要新增驗證方法的使用者,然後選取 [ 驗證方法]。
  4. 在視窗頂端,選取 [+ 新增驗證方法]。
    • 選取方法(電話號碼或電子郵件)。 電子郵件可用於自我密碼重設,但無法進行驗證。 新增電話號碼時,請選取電話號碼類型,並輸入具有有效格式的電話號碼(例如 +1 4255551234)。
    • 選取 [新增]。

注意

預覽體驗可讓系統管理員為使用者新增任何可用的驗證方法,而原始體驗只允許更新手機和替代電話方法。

使用 PowerShell 管理方法

使用下列命令安裝 Microsoft.Graph.Identity.Signins PowerShell 模組。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

管理使用者驗證選項

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

如果您獲指派驗證 管理員 istrator 角色,您可以要求使用者重設其密碼、重新註冊 MFA,或從其使用者對象撤銷現有的 MFA 工作階段。 若要管理用戶設定,請完成下列步驟:

  1. 以至少驗證 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選擇您想要執行動作的使用者,然後選取 [ 驗證方法]。 在視窗頂端,然後為用戶選擇下列其中一個選項:

    • 重設密碼 會重設使用者的密碼,並指派必須在下一次登入時變更的暫時密碼。
    • 需要重新註冊 MFA 會停用用戶的硬體 OATH 令牌,並從此使用者刪除下列驗證方法:電話號碼、Microsoft Authenticator 應用程式和軟體 OATH 令牌。 如有需要,系統會要求使用者在下次登入時設定新的 MFA 驗證方法。
    • 撤銷 MFA 工作階段會清除使用者記住的 MFA 工作階段 ,並要求他們在下次裝置上原則需要 MFA 時執行 MFA。

    從 Microsoft Entra 系統管理中心管理驗證方法的螢幕快照。

刪除使用者現有的應用程式密碼

對於已定義應用程式密碼的使用者,系統管理員也可以選擇刪除這些密碼,導致這些應用程式中的舊版驗證失敗。 如果您需要提供協助給使用者,或需要重設其驗證方法,可能需要這些動作。 與這些應用程式密碼相關聯的非瀏覽器應用程式將會停止運作,直到建立新的應用程式密碼為止。

若要刪除使用者的應用程式密碼,請完成下列步驟:

  1. 以至少驗證 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選取 [多重要素驗證]。 您可能需要向右卷動,才能看到此功能表選項。 選取下列範例螢幕快照,以查看完整視窗和選單位置: 螢幕快照:從 Microsoft Entra ID 中的 [使用者] 視窗選取多重要素驗證。

  4. 核取您想要管理的用戶或使用者旁的方塊。 快速步驟選項清單會出現在右側。

  5. 選取 [管理使用者設定],然後核取 [ 刪除所選使用者所產生的所有現有應用程式密碼] 方塊,如下列範例所示: 刪除所有現有應用程式密碼的螢幕快照。

  6. 選取 [ 儲存],然後 關閉

相關內容