升級為最新的 Azure Multi-Factor Authentication Server

本文將逐步引導您完成升級 Azure Multi-Factor Authentication Server v6.0 或更高版本的程式。 如果您需要升級舊版的 電話Factor Agent，請參閱 將 電話Factor Agent 升級至 Azure Multi-Factor Authentication Server 。

如果您要從 v6.x 或較舊版本升級到 v7.x 或更新版本，則所有元件都會從 .NET 2.0 變更為 .NET 4.5。 所有元件也需要 Microsoft Visual C++ 2015 可轉散發更新 1 或更高版本。 如果尚未安裝這些元件，MFA Server 安裝程式會同時安裝這些元件的 x86 和 x64 版本。 如果使用者入口網站和行動應用程式 Web 服務在不同的伺服器上執行，您必須先安裝這些套件，才能升級這些元件。 您可以在 Microsoft 下載中心 搜尋 最新的 Microsoft Visual C++ 2015 可轉散發套件更新。

重要

在 2022 年 9 月，Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起，Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求，這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態，組織應該 使用最新 Azure MFA Server 更新 中包含的最新移轉公用程式，將其使用者的驗證資料 遷移至雲端式 Azure MFA 服務。 如需詳細資訊，請參閱 Azure MFA 伺服器移轉 。

若要開始使用雲端式 MFA，請參閱 教學課程：使用 Microsoft Entra 多重要素驗證 保護使用者登入事件。

升級步驟一目了然：

• 升級 Azure MFA 伺服器 （次級，然後是主要伺服器）
• 升級使用者入口網站實例
• 升級 AD FS 配接器實例

升級 Azure MFA Server

1. 使用下載 Azure Multi-Factor Authentication Server 中的 指示來取得最新版的 Azure MFA Server 安裝程式。

2. 在主要 MFA Server 上備份位於 C：\Program Files\Multi-Factor Authentication Server\Data\電話Factor.pfdata 的 MFA Server 資料檔案備份。

3. 如果您執行多部伺服器以取得高可用性，請變更向 MFA Server 驗證的用戶端系統，使其停止將流量傳送至正在升級的伺服器。 如果您使用負載平衡器，請從負載平衡器中移除次級 MFA Server、執行升級，然後將伺服器新增回伺服器陣列。

4. 在每個 MFA 伺服器上執行新的安裝程式。 先升級次級伺服器，因為它們可以讀取主要複寫的舊資料檔案。

   注意

   升級伺服器時，應該從與其他 MFA Server 共用的任何負載平衡或流量共用中移除。

   執行安裝程式之前，您不需要卸載目前的 MFA Server。 安裝程式會執行就地升級。 安裝路徑會從先前安裝中的登錄中挑選出來，因此它會安裝在相同的位置（例如 C：\Program Files\Multi-Factor Authentication Server）。

5. 如果系統提示您安裝 Microsoft Visual C++ 2015 可轉散發套件，請接受提示。 已安裝 x86 和 x64 版本的套件。

6. 如果您使用 Web 服務 SDK，系統會提示您安裝新的 Web 服務 SDK。 當您安裝新的 Web 服務 SDK 時，請確定虛擬目錄名稱符合先前安裝的虛擬目錄（例如 MultiFactorAuthWebServiceSdk）。

7. 在所有次級伺服器上重複這些步驟。 將其中一個次級升階為新的主伺服器，然後升級舊的主伺服器。

升級使用者入口網站

在移至本節之前，請先完成 MFA 伺服器的升級。

1. 在使用者入口網站安裝位置的虛擬目錄中備份 web.config 檔案（例如 C：\inetpub\wwwroot\MultiFactorAuth）。 如果對預設主題進行任何變更，請同時備份 App_Themes\Default 資料夾。 最好建立 Default 資料夾的複本，並建立新的主題，而不是變更預設主題。

2. 如果使用者入口網站與其他 MFA Server 元件在同一部伺服器上執行，MFA Server 安裝會提示您更新使用者入口網站。 接受提示並安裝使用者入口網站更新。 檢查虛擬目錄名稱是否符合先前安裝的虛擬目錄（例如 MultiFactorAuth）。

3. 如果使用者入口網站位於自己的伺服器上，請從其中一部 MFA 伺服器的安裝位置複製 MultiFactorAuthenticationUserPortalSetup64.msi 檔案，並將其放入 User Portal Web 服務器。 執行安裝程式。

   如果發生錯誤，指出「需要 Microsoft Visual C++ 2015 可轉散發套件 1 或更新版本」，請從 Microsoft 下載中心 下載並安裝最新的更新套件。 同時安裝 x86 和 x64 版本。

4. 安裝更新的使用者入口網站軟體之後，請比較您在步驟 1 中所做的 web.config 備份與新的 web.config 檔案。 如果新的 web.config 中沒有任何新的屬性存在，請將備份 web.config 複製到虛擬目錄中以覆寫新的屬性。 另一個選項是將應用程式設定值和 Web 服務 SDK URL 從備份檔案複製到新的 web.config。

如果您有多部伺服器上的使用者入口網站，請對所有伺服器重複安裝。

升級行動應用程式 Web 服務

注意

從 8.0 以上的 Azure MFA Server 版本升級至 8.0+ 時，可以在升級之後卸載行動應用程式 Web 服務

升級 AD FS 配接器

在移至本節之前，請先完成 MFA 伺服器和使用者入口網站的升級。

如果 MFA 在 AD FS 以外的不同伺服器上執行

只有在您與 AD FS 伺服器分開執行 Multi-Factor Authentication Server 時，才適用這些指示。 如果兩個服務都在同一部伺服器上執行，請略過本節並移至安裝步驟。

1. 儲存在 AD FS 中註冊的 MultiFactorAuthenticationAdfsAdapter.config 檔案複本，或使用下列 PowerShell 命令匯出組態： Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file] 。 根據先前安裝的版本，配接器名稱為 「WindowsAzureMultiFactorAuthentication」 或 「AzureMfaServerAuthentication」。

2. 將下列檔案從 MFA Server 安裝位置複製到 AD FS 伺服器：

   • MultiFactorAuthenticationAdfsAdapterSetup64.msi
   • Register-MultiFactorAuthenticationAdfsAdapter.ps1
   • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
   • MultiFactorAuthenticationAdfsAdapter.config

3. 將 新增 -ConfigurationFilePath [path] 至命令結尾 Register-AdfsAuthenticationProvider ，以編輯 Register-MultiFactorAuthenticationAdfsAdapter.ps1 腳本。 將 [path] 取代 為 MultiFactorAuthenticationAdfsAdapter.config 檔案的完整路徑，或上一個步驟中匯出的組態檔。

   檢查新 MultiFactorAuthenticationAdfsAdapter.config 中的屬性，以查看它們是否符合舊的組態檔。 如果在新版本中新增或移除任何屬性，請將舊組態檔中的屬性值複製到新的組態檔，或修改舊的組態檔以符合。

安裝新的 AD FS 配接器

重要

在本節的步驟 3-8 期間，使用者不需要執行雙步驟驗證。 如果您在多個叢集中設定 AD FS，您可以移除、升級和還原伺服器陣列中的每個叢集，而不需要其他叢集，以避免停機。

1. 從伺服器陣列中移除一些 AD FS 伺服器。 當其他伺服器仍在執行時更新這些伺服器。

2. 在從 AD FS 伺服器陣列移除的每個伺服器上安裝新的 AD FS 配接器。 如果 MFA 伺服器安裝在每部 AD FS 伺服器上，您可以透過 MFA Server 管理員 UX 進行更新。 否則，請執行 MultiFactorAuthenticationAdfsAdapterSetup64.msi 來更新。

   如果發生錯誤，指出「需要 Microsoft Visual C++ 2015 可轉散發套件 1 或更新版本」，請從 Microsoft 下載中心 下載並安裝最新的更新套件。 同時安裝 x86 和 x64 版本。

3. 移至 AD FS > 驗證原則 > 編輯全域多重要素驗證原則。 取消核取 WindowsAzureMultiFactorAuthentication 或 AzureMFAServerAuthentication （視已安裝的目前版本而定）。

   完成此步驟之後，在完成步驟 8 之前，無法在此 AD FS 叢集中使用透過 MFA Server 進行雙步驟驗證。

4. 執行 Unregister-MultiFactorAuthenticationAdfsAdapter.ps1 PowerShell 腳本，以取消註冊舊版 AD FS 配接器。 確定 -Name 參數 （「WindowsAzureMultiFactorAuthentication」 或 「AzureMFAServerAuthentication」） 符合步驟 3 中顯示的名稱。 這適用于相同 AD FS 叢集中的所有伺服器，因為有集中設定。

5. 執行 Register-MultiFactorAuthenticationAdfsAdapter.ps1 PowerShell 腳本來註冊新的 AD FS 配接器。 這適用于相同 AD FS 叢集中的所有伺服器，因為有集中設定。

6. 在從 AD FS 伺服器陣列移除的每個伺服器上重新開機 AD FS 服務。

7. 將更新的伺服器新增回 AD FS 伺服器陣列，並從伺服器陣列中移除其他伺服器。

8. 移至 AD FS > 驗證原則 > 編輯全域多重要素驗證原則。 檢查 AzureMfaServerAuthentication 。

9. 重複步驟 2 以更新現在從 AD FS 伺服器陣列移除的伺服器，並重新啟動這些伺服器上的 AD FS 服務。

10. 將這些伺服器新增回 AD FS 伺服器陣列。

下一步

• 使用 Microsoft Entra 多重要素驗證和協力廠商 VPN 取得進階案例的 範例

• 同步處理 MFA Server 與 Windows Server Active Directory

• 設定應用程式的 Windows 驗證