Microsoft Entra 概觀的合併安全性信息註冊
在合併註冊之前,用戶已分別註冊 Microsoft Entra 多重要素驗證和自助式密碼重設 (SSPR) 的驗證方法。 人員 混淆了類似的方法用於多重要素驗證和 SSPR,但他們必須註冊這兩個功能。 現在,透過合併註冊,用戶可以註冊一次,並取得多重要素驗證和 SSPR 的優點。 建議您在 Microsoft Entra ID 中啟用和設定 SSPR 的這段影片。
啟用新體驗之前,請先檢閱此以系統管理員為主的文件和使用者導向的檔,以確保您瞭解這項功能的功能和效果。 根據使用者文件的訓練,為您的使用者準備新體驗,並協助確保成功推出。
Microsoft Entra ID 合併的安全性資訊註冊適用於 Azure US Government,但不適用於由 21Vianet 運作的 Microsoft Azure。
我的帳戶 頁面會根據存取頁面的計算機語言設定進行當地語系化。 Microsoft 會儲存在瀏覽器快取中使用的最新語言,因此後續嘗試存取頁面時會繼續使用最後一種語言轉譯。 如果您清除快取,頁面會重新轉譯。
如果您想要強制特定語言,您可以將 新增 ?lng=<language> 至URL結尾,其中 <language> 是您想要轉譯的語言程序代碼。
合併註冊中可用的方法
合併註冊支援下表中的驗證方法和動作。
| 方法 | 註冊 | 變更 | 刪除 |
|---|---|---|---|
| Microsoft 驗證器 | 是 (最多 5 個) | No | Yes |
| 其他驗證器應用程式 | 是 (最多 5 個) | No | Yes |
| 硬體令牌 | No | 無 | Yes |
| 手機 | Yes | .是 | Yes |
| 替代電話 | Yes | .是 | Yes |
| 辦公室電話* | Yes | .是 | Yes |
| 電子郵件 | Yes | .是 | Yes |
| 安全性問題 | 是 | 無 | Yes |
| 密碼 | No | .是 | No |
| 應用程式密碼* | 是 | 無 | Yes |
| Passkey (FIDO2)* | 是 | 無 | .是 |
注意
如果您在驗證方法原則中啟用無密碼驗證模式的 Microsoft Authenticator,使用者也必須在 Authenticator 應用程式中啟用無密碼登入。
替代電話只能在 [https://aka.ms/mysecurityinfo管理] 模式中註冊,而且需要在驗證方法原則中啟用語音通話。
只有在用戶已設定商務電話屬性時,才能在中斷模式中註冊 Office 電話。 用戶可以在 Managed 模式中新增 https://aka.ms/mysecurityinfo Office 電話,而不需要此需求。
應用程式密碼僅適用於已針對每個使用者 MFA 強制執行的使用者。 應用程式密碼不適用於透過條件式存取原則啟用 Microsoft Entra 多重要素驗證的使用者。
Passkey (FIDO2),只能在 上的 https://aka.ms/mysecurityinfo[管理] 模式中新增。
用戶可以將下列其中一個選項設定為預設多重要素驗證方法。
- Microsoft Authenticator – 推播通知或無密碼
- 驗證器應用程式或硬體令牌 – 程序代碼
- 通話
- 簡訊
注意
語音通話或簡訊不支援虛擬電話號碼。
第三方驗證器應用程式不提供推播通知。 當我們繼續將更多驗證方法新增至 Microsoft Entra ID 時,這些方法可在合併註冊中使用。
合併註冊模式
合併註冊有兩種模式:中斷和管理。
- 中斷模式 是類似精靈的體驗,會在用戶註冊或重新整理登入時向用戶呈現。
- 管理模式 是使用者配置檔的一部分,可讓使用者管理其安全性資訊。
針對這兩種模式,先前已註冊可用於 Microsoft Entra 多重要素驗證的方法的用戶必須先執行多重要素驗證,才能存取其安全性資訊。 用戶必須先確認其資訊,才能繼續使用先前註冊的方法。
中斷模式
如果兩者都已啟用租用戶,合併註冊會同時遵守多重要素驗證和 SSPR 原則。 這些原則可控制使用者是否在登入期間中斷註冊,以及哪些方法可供註冊。 如果只啟用 SSPR 原則,則用戶將能夠略過註冊中斷,並在稍後完成。
以下是可能會提示用戶註冊或重新整理其安全性資訊的範例案例:
- 透過 Identity Protection 強制執行多重要素驗證註冊: 登入期間會要求用戶註冊。 他們會註冊多重要素驗證方法和 SSPR 方法(如果使用者已啟用 SSPR)。
- 透過每個使用者多重要素驗證強制執行的多重要素驗證註冊: 系統會要求使用者在登入期間註冊。 他們會註冊多重要素驗證方法和 SSPR 方法(如果使用者已啟用 SSPR)。
- 透過條件式存取或其他原則強制執行的多重要素驗證註冊: 當使用者使用需要多重要素驗證的資源時,系統會要求用戶註冊。 他們會註冊多重要素驗證方法和 SSPR 方法(如果使用者已啟用 SSPR)。
- 強制執行 SSPR 註冊: 系統會要求使用者在登入期間註冊。 它們只會註冊 SSPR 方法。
- 強制執行 SSPR 重新整理: 用戶必須在系統管理員設定的間隔內檢閱其安全性資訊。用戶會顯示其資訊,並可視需要確認目前的資訊或進行變更。
強制執行註冊時,用戶會顯示符合多重要素驗證和 SSPR 原則所需的最小方法數目,從最多到最不安全。 執行 MFA 和 SSPR 註冊同時強制執行合併註冊的使用者,而且 SSPR 原則需要兩種方法,才能將 MFA 方法註冊為第一個方法,而且可以選取另一個 MFA 或 SSPR 特定方法作為第二個已註冊的方法(例如電子郵件、安全性問題等)。
請考慮下列範例情況:
- 已為 SSPR 啟用使用者。 SSPR 原則需要兩種方法來重設,並已啟用 Microsoft Authenticator 應用程式、電子郵件和電話。
- 當用戶選擇註冊時,需要兩種方法:
- 用戶預設會顯示 Microsoft Authenticator 應用程式和電話。
- 用戶可以選擇註冊電子郵件,而不是 Authenticator 應用程式或電話。
當他們設定 Microsoft Authenticator 時,使用者可以按兩下 [我想設定不同的方法 ] 來註冊其他驗證方法。 可用的方法清單是由租用戶的驗證方法原則所決定。
下列流程圖說明在登入期間中斷註冊時向用戶顯示哪些方法:
如果您同時啟用多重要素驗證和 SSPR,建議您強制執行多重要素驗證註冊。
如果 SSPR 原則要求使用者定期檢閱其安全性資訊,使用者會在登入期間中斷,並顯示其所有已註冊的方法。 他們可以確認目前的資訊是否為最新狀態,或視需要進行變更。 用戶必須執行多重要素驗證才能存取此頁面。
管理模式
使用者可以移至 [安全性資訊] 或從 [我的帳戶] 選取 [安全性資訊] 來存取管理模式。 用戶可以從該處新增方法、刪除或變更現有的方法、變更預設方法等等。
主要使用案例
在 MySignIns 中變更密碼
用戶流覽至 [安全性資訊]。 登入之後,用戶可以變更其密碼。 如果使用者使用密碼和多重要素驗證方法進行驗證,他們將能夠使用增強的用戶體驗來變更其密碼,而不需要輸入現有的密碼。 完成後,使用者會在 [安全性資訊] 頁面上更新新的密碼。 除非使用者知道其現有的密碼,否則不支援暫時存取傳遞 (TAP) 等驗證方法進行密碼變更。
使用條件式存取保護安全性信息註冊
若要保護用戶註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的時機和方式,您可以在條件式存取原則中使用用戶動作。 在希望使用者從中央位置註冊 Microsoft Entra 多重要素驗證和 SSPR 的組織中,可能會啟用此功能,例如 HR 上線期間的受信任網路位置。 深入瞭解如何設定 常見的條件式存取原則來保護安全性信息註冊。
在登入期間設定安全性資訊
系統管理員已強制執行註冊。
使用者尚未設定所有必要的安全性資訊,並前往 Microsoft Entra 系統管理中心。 在使用者輸入使用者名稱和密碼之後,系統會提示使用者設定安全性資訊。 然後,使用者會遵循精靈中顯示的步驟來設定必要的安全性資訊。 如果您的設定允許,則使用者可以選擇設定預設顯示的方法。 使用者完成精靈之後,他們會檢閱他們設定的方法,以及用於多重要素驗證的預設方法。 若要完成設定程式,用戶會確認資訊並繼續 Microsoft Entra 系統管理中心。
從我的帳戶設定安全性資訊
系統管理員尚未強制執行註冊。
尚未設定所有必要安全性資訊的使用者會移至 https://myaccount.microsoft.com。 使用者會在左窗格中選取 [安全性資訊 ]。 使用者從該處選擇新增方法、選取任何可用的方法,並遵循步驟來設定該方法。 完成後,使用者會看到在 [安全性資訊] 頁面上設定的方法。
在部分註冊之後設定其他方法
如果使用者因使用者或系統管理員執行的現有驗證方法註冊而部分滿足 MFA 或 SSPR 註冊,則只有在需要註冊時,才會要求使用者註冊驗證方法原則設定允許的其他資訊。 如果有多個其他驗證方法可供使用者選擇和註冊,則會顯示標題 為 [我想設定另一種方法] 的註冊體驗選項,並允許使用者設定其所需的驗證方法。
從我的帳戶刪除安全性資訊
先前已設定至少一個方法的使用者會巡覽至 https://aka.ms/mysecurityinfo。 用戶選擇刪除其中一個先前註冊的方法。 完成後,使用者就不會再於 [安全性資訊] 頁面上看到該方法。
從我的帳戶變更預設方法
先前已設定至少一個方法可用於多重要素驗證的使用者,會巡覽至 https://aka.ms/mysecurityinfo。 使用者會將目前的預設方法變更為不同的預設方法。 完成後,使用者會在 [安全性資訊] 頁面上看到新的預設方法。
切換目錄
B2B 使用者之類的外部身分識別可能需要切換目錄,以變更第三方租使用者的安全性註冊資訊。 此外,存取資源租使用者的使用者在變更主租使用者中的設定時可能會混淆,但看不到資源租使用者中反映的變更。
例如,使用者會將 Microsoft Authenticator 應用程式推播通知設定為主要驗證,以登入主租用戶,並且將 SMS/Text 設定為另一個選項。 此使用者也會在資源租使用者上使用SMS/Text選項進行設定。 如果使用者移除 SMS/Text 作為其主租使用者上的其中一個驗證選項,當資源租使用者的存取要求他們回應 SMS/Text 訊息時,他們就會感到困惑。
若要在 Microsoft Entra 系統管理中心切換目錄,請按下右上角的使用者帳戶名稱,然後按兩下 [ 切換目錄]。
或者,您可以依 URL 指定租用戶來存取安全性資訊。
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
注意
嘗試透過合併註冊或我的登入頁面註冊或管理安全性資訊的客戶,應該使用新式瀏覽器,例如 Microsoft Edge。
IE11 未正式支援在應用程式中建立網頁檢視或瀏覽器,因為它在所有案例中都無法如預期般運作。
尚未更新且仍在使用依賴舊版 Web 檢視的 Azure AD 驗證 連結庫 (ADAL) 的應用程式,可以回復為舊版 IE。 在這些案例中,當用戶導向至 [我的登入] 頁面時,將會經歷空白頁面。 若要解決此問題,請切換至新式瀏覽器。
下一步
若要開始使用,請參閱 啟用自助式密碼重設 和 啟用 Microsoft Entra 多重要素驗證的教學課程。
瞭解如何 在租 用戶中啟用合併註冊,或 強制使用者重新註冊驗證方法。
您也可以檢閱 Microsoft Entra 多重要素驗證和 SSPR 的可用方法。