遷移至 Microsoft Entra 多重要素驗證和 Microsoft Entra 用戶驗證

多重要素驗證可協助保護您的基礎結構和資產免於不良動作專案。 Microsoft Multi-Factor Authentication Server （MFA Server） 已不再提供用於新部署。 使用 MFA Server 的客戶應移至 Microsoft Entra 多重要素驗證（Microsoft Entra 多重要素驗證）。

有數個選項可用來從 MFA Server 移轉至 Microsoft Entra ID：

• 良好：只將您的 MFA 服務移至 Microsoft Entra ID。
• 更好：將 MFA 服務和使用者驗證移至本文所涵蓋的 Microsoft Entra ID。
• 最佳：將所有應用程式、MFA 服務和使用者驗證移至 Microsoft Entra ID。 如果您打算移動應用程式，請參閱本文所述的將應用程式移至 Microsoft Entra ID 一節。

若要為您的組織選取適當的 MFA 移轉選項，請參閱從 MFA Server 移轉至 Microsoft Entra 多重要素驗證中的考慮。

下圖顯示移轉至 Microsoft Entra 多重要素驗證和雲端驗證的程式，同時將部分應用程式保留在 AD FS 上。 此程式可讓您根據群組成員資格，將使用者從 MFA Server 反覆移轉至 Microsoft Entra 多重要素驗證。

本文後續各節會說明每個步驟。

注意

如果您打算將任何應用程式移至 Microsoft Entra ID 作為此移轉的一部分，您應該在 MFA 移轉之前執行此動作。 如果您移動所有應用程式，則可以略過 MFA 移轉程式的區段。 請參閱本文結尾移動應用程式一節。

移轉至 Microsoft Entra 識別碼和使用者驗證的程式

準備群組和條件式存取

群組會用於 MFA 移轉的三個容量。

• 使用分段推出反覆將使用者移至 Microsoft Entra 多重要素驗證。

  使用以 Microsoft Entra ID 建立的群組，也稱為僅限雲端群組。 您可以使用 Microsoft Entra 安全組或 Microsoft 365 群組，將使用者移至 MFA 和條件式存取原則。

  重要

  分段推出不支援巢狀和動態群組。 請勿使用這些類型的群組。

• 條件式存取原則。 您可以針對條件式存取使用 Microsoft Entra ID 或內部部署群組。

• 使用宣告規則叫用AD FS應用程式的 Microsoft Entra 多重要素驗證。 只有在搭配AD FS使用應用程式時，才適用此步驟。

  您必須使用 內部部署的 Active Directory 安全組。 一旦 Microsoft Entra 多重要素驗證是額外的驗證方法，您就可以將使用者群組指定為在每個信賴憑證者信任上使用該方法。 例如，您可以針對已移轉的使用者呼叫 Microsoft Entra 多重要素驗證，併為尚未移轉的使用者呼叫 MFA Server。 此策略在測試和移轉期間都很有用。

注意

我們不建議您重複使用用於安全性的群組。 僅使用安全組來保護具有條件式存取原則的高價值應用程式群組。

設定條件式存取原則

如果您已經使用條件式存取來判斷何時提示使用者輸入 MFA，則不需要對原則進行任何變更。 當使用者移轉至雲端驗證時，他們會開始使用 Microsoft Entra 多重要素驗證，如條件式存取原則所定義。 它們將不再重新導向至AD FS和 MFA Server。

如果您的同盟網域已將 federatedIdpMfaBehavior 設定為 或 SupportsMfa 旗標設定$True為 enforceMfaByFederatedIdp （當兩者都設定時，federatedIdpMfaBehavior 會覆寫 SupportsMfa），您可能會使用宣告規則在 AD FS 上強制執行 MFA。 在此情況下，您必須分析 Microsoft Entra ID 信賴憑證者信任的宣告規則，並建立支援相同安全性目標的條件式存取原則。

如有必要，請先設定條件式存取原則，再啟用分段推出。 如需詳細資訊，請參閱以下資源：

• 規劃條件式存取部署 (機器翻譯)
• 一般條件式存取原則

準備 AD FS

如果您在 AD FS 中沒有任何需要 MFA 的應用程式，您可以略過本節，並移至準備分段推出一節。

將AD FS 伺服器陣列升級至 2019，FBL 4

在AD FS 2019中，Microsoft發行了新功能，以協助指定信賴憑證者的其他驗證方法，例如應用程式。 您可以使用群組成員資格來判斷驗證提供者，以指定其他驗證方法。 藉由指定其他驗證方法，您可以轉換至 Microsoft Entra 多重要素驗證，同時讓其他驗證在轉換期間保持不變。

如需詳細資訊，請參閱 使用WID資料庫升級至 Windows Server 2016 中的 AD FS。 本文涵蓋將伺服器陣列升級至AD FS 2019，並將 FBL 升級至4。

設定宣告規則以叫用 Microsoft Entra 多重要素驗證

既然 Microsoft Entra 多重要素驗證是額外的驗證方法，您可以藉由設定宣告規則，也稱為 信賴憑證者信任，指派使用者群組以使用 Microsoft Entra 多重要素驗證。 藉由使用群組，您可以控制全域或應用程式所呼叫的驗證提供者。 例如，您可以針對已註冊合併安全性資訊或已移轉電話號碼的使用者呼叫 Microsoft Entra 多重要素驗證，同時為尚未移轉電話號碼的使用者呼叫 MFA Server。

注意

宣告規則需要內部部署安全組。

備份規則

設定新的宣告規則之前，請先備份您的規則。 您必須在清除步驟中還原宣告規則。

視您的設定而定，您可能也需要複製現有的規則，並附加為移轉建立的新規則。

若要檢視全域規則，請執行：

Get-AdfsAdditionalAuthenticationRule

若要檢視信賴憑證者信任，請執行下列命令，並將 RPTrustName 取代為信賴憑證者信任宣告規則的名稱：

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

訪問控制原則

注意

無法設定訪問控制原則，因此會根據群組成員資格叫用特定的驗證提供者。

若要從訪問控制原則轉換至其他驗證規則，請使用 MFA Server 驗證提供者，針對每個信賴憑證者信任執行此命令：

Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**

此命令會將邏輯從您目前的 存取控制 原則移至其他驗證規則。

設定群組，並尋找 SID

您必須有一個特定群組，在其中放置您要叫用 Microsoft Entra 多重要素驗證的使用者。 您必須尋找該群組的安全性識別碼 （SID）。 若要尋找群組 SID，請執行下列命令，並將 取代 GroupName 為您的群組名稱：

Get-ADGroup GroupName

設定宣告規則以呼叫 Microsoft Entra 多重要素驗證

下列 Microsoft Graph PowerShell Cmdlet 會在不在公司網路上時，為群組中的使用者叫用 Microsoft Entra 多重要素驗證。 執行上述 Cmdlet，以找到的 SID 取代 "YourGroupSid" 。

請務必在 2019 年檢閱如何選擇其他驗證提供者。

重要

繼續之前，請先備份您的宣告規則。

設定全域宣告規則

執行下列命令，並將 RPTrustName 取代為信賴憑證者信任宣告規則的名稱：

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

此命令會傳回您信賴憑證者信任的目前其他驗證規則。
您必須將下列規則附加至目前的宣告規則：

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

下列範例假設您目前的宣告規則已設定為在使用者從網路外部連線時提示 MFA。 此範例包含您需要附加的其他規則。

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

設定個別應用程式宣告規則

此範例會修改特定信賴憑證者信任的宣告規則（應用程式）。 其中包含您需要附加的其他規則。

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

在AD FS中將 Microsoft Entra 多重要素驗證設定為驗證提供者

若要設定 AD FS 的 Microsoft Entra 多重要素驗證，您必須設定每個 AD FS 伺服器。 如果您的伺服器陣列中有多個 AD FS 伺服器，您可以使用 Microsoft Graph PowerShell 從遠端設定它們。

如需此程式的逐步指示，請參閱 設定AD FS 伺服器。

設定伺服器之後，您可以將 Microsoft Entra 多重要素驗證新增為額外的驗證方法。

準備分段推出

現在您已準備好啟用 分段推出。 分段推出可協助您反覆將使用者移至 PHS 或 PTA，同時移轉其內部部署 MFA 設定。

• 請務必檢閱 支援的案例。
• 首先，您必須執行 PHS 的前置工作或 PTA 的前置工作。 我們建議使用 PHS。
• 接下來，您將執行 無縫 SSO 的前置工作。
• 為選取的驗證方法啟用雲端驗證 的分段推出。
• 新增您為分段推出建立的群組。 請記住，您會反覆將使用者新增至群組，而且他們不能是動態群組或巢狀群組。

註冊 Microsoft Entra 多重要素驗證的使用者

本節涵蓋使用者如何註冊合併的安全性（MFA 和自助式密碼重設），以及如何移轉其 MFA 設定。 Microsoft Authenticator 可以當做無密碼模式使用。 它也可以作為 MFA 的第二個因素，搭配任一註冊方法使用。

註冊合併安全性註冊（建議）

建議您讓使用者註冊合併的安全性資訊，這是註冊 MFA 和 SSPR 驗證方法和裝置的單一位置。

Microsoft 提供通訊範本，您可以提供給使用者，以引導他們完成合併的註冊程式。 其中包括電子郵件、海報、表格帳篷和其他各種資產的範本。 使用者會在 https://aka.ms/mysecurityinfo註冊其資訊，這會帶他們前往合併的安全性註冊畫面。

我們建議您 使用條件式存取來保護安全性註冊程式，而條件式存取 需要從信任的裝置或位置進行註冊。 如需追蹤註冊狀態的資訊，請參閱 Microsoft Entra ID 的驗證方法活動。

注意

必須從非信任位置或裝置註冊其合併安全性信息的使用者，可以發出暫時存取通行證，或暫時從原則中排除。

從 MFA 伺服器移轉 MFA 設定

您可以使用 MFA Server 移轉公用程式 ，將使用者的已註冊 MFA 設定從 MFA Server 同步處理至 Microsoft Entra ID。 您可以同步處理電話號碼、硬體令牌和裝置註冊，例如 Microsoft Authenticator 應用程式設定。

將使用者新增至適當的群組

• 如果您已建立新的條件式存取原則，請將適當的使用者新增至這些群組。
• 如果您為宣告規則建立內部部署安全組，請將適當的使用者新增至這些群組。
• 只有在您將使用者新增至適當的條件式存取規則之後，才將使用者新增至您為分段推出建立的群組。 完成後，他們就會開始使用您選取的 Azure 驗證方法（PHS 或 PTA）和 Microsoft Entra 多重要素驗證，以執行 MFA。

重要

分段推出不支援巢狀和動態群組。 請勿使用這些類型的群組。

我們不建議您重複使用用於安全性的群組。 如果您使用安全組來保護具有條件式存取原則的高價值應用程式群組，請只針對該目的使用群組。

監視

許多 Azure 監視器活頁 簿和 使用量和深入解析 報告都可用來監視您的部署。 您可以在 [監視] 下方瀏覽窗格的 Microsoft Entra ID 中找到這些報告。

監視分段推出

在活 頁簿區 段中，選取 [ 公用範本]。 在 [混合式驗證] 區段下，選取 [分段推出活頁簿中的群組、使用者和登入]。

此活頁簿可用來監視下列活動：

• 新增至分段推出的使用者和群組。
• 已從分段推出中移除的使用者和群組。
• 分段推出中使用者的登入失敗，以及失敗的原因。

監視 Microsoft Entra 多重要素驗證註冊

您可以使用驗證方法使用方式和深入解析報告來監視 Microsoft Entra 多重要素驗證註冊。 此報告可在 Microsoft Entra 識別碼中找到。 選取 [ 監視]，然後選取 [ 使用量與深入解析]。

在 [使用方式與深入解析] 中，選取 [ 驗證方法]。

您可以在 [註冊] 索引標籤上找到詳細的 Microsoft Entra 多重要素驗證註冊資訊。您可以選取 已註冊 Azure 多重要素驗證 超連結的使用者，向下切入以檢視已註冊的用戶清單。

監視應用程式登入健康情況

使用應用程式登入健康情況活頁簿或應用程式活動使用報告來監視您移至 Microsoft Entra 識別符的應用程式。

• 應用程式登入健康情況活頁簿。 如需使用此活頁簿的詳細指引，請參閱 監視應用程式登入健康情況以取得復原 能力。
• Microsoft Entra 應用程式活動使用報告。 此 報告 可用來檢視個別應用程式的成功和失敗登入，以及向下切入和檢視特定應用程式的登入活動的能力。

清除工作

將所有使用者移至 Microsoft Entra 雲端驗證和 Microsoft Entra 多重要素驗證之後，即可解除委任 MFA Server。 建議您檢閱 MFA Server 記錄，以確保移除伺服器之前，不會使用任何使用者或應用程式。

將您的網域轉換為受控驗證

您現在 應該將 Microsoft Entra ID 中的同盟網域轉換為受控 網域，並移除分段推出設定。 這項轉換可確保新的使用者使用雲端驗證，而不會新增至移轉群組。

還原 AD FS 上的宣告規則，並移除 MFA Server 驗證提供者

請遵循設定宣告規則以叫用 Microsoft Entra 多重要素驗證底下的步驟來還原宣告規則，並移除任何 AzureMFAServerAuthentication 宣告規則。

例如，從規則中移除下列區段：

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

停用 MFA Server 作為 AD FS 中的驗證提供者

這項變更可確保僅使用 Microsoft Entra 多重要素驗證作為驗證提供者。

1. 開啟AD FS管理主控台。
2. 在 [服務] 底下，以滑鼠右鍵按兩下 [驗證方法]，然後選取 [編輯多重要素驗證方法]。
3. 清除 [ Azure Multi-Factor Authentication Server ] 複選框。

解除委任 MFA 伺服器

遵循您的企業伺服器解除委任程式，以移除您環境中的 MFA 伺服器。

解除委任 MFA Server 時的可能考慮包括：

• 建議您檢閱 MFA Server 記錄，以確保移除伺服器之前，不會使用任何使用者或應用程式。
• 從伺服器上的 控制台 卸載 Multi-Factor Authentication Server。
• 選擇性地清除備份後留下的記錄和數據目錄。
• 如果適用的話，請卸載多重要素驗證 Web Server SDK，包括任何留在 inetpub\wwwroot\MultiFactorAuthWebServiceSdk 和/或 MultiFactorAuth 目錄的檔案。
• 針對 MFA Server 的 8.0.x 前版本，可能需要移除 App Web Service 電話 多重要素驗證。

將應用程式驗證移至 Microsoft Entra 識別碼

如果您使用 MFA 和使用者驗證來移轉所有應用程式驗證，您將能夠移除內部部署基礎結構的重要部分，進而降低成本和風險。 如果您移動所有應用程式驗證，您可以略過 準備AD FS 階段，並簡化MFA移轉。

下圖顯示移動所有應用程式驗證的程式。

如果您無法在移轉之前移動所有應用程式，請在開始之前盡可能多地移動。 如需將應用程式移轉至 Azure 的詳細資訊，請參閱 將應用程式遷移至 Microsoft Entra ID 的資源。

下一步

• 從 Microsoft MFA Server 遷移至 Microsoft Entra 多重要素驗證 （概觀）
• 將應用程式從 Windows Active Directory 遷移至 Microsoft Entra ID
• 規劃雲端驗證策略