規劃 Microsoft Entra 多重要素驗證部署
Microsoft Entra 多重要素驗證可協助保護數據和應用程式的存取,使用第二種形式的驗證來提供另一層安全性。 組織可以使用條件式存取啟用多重要素驗證,讓解決方案符合其特定需求。
此部署指南說明如何規劃和實 作 Microsoft Entra 多重要素驗證 推出。
部署 Microsoft Entra 多重要素驗證的必要條件
開始部署之前,請確定您符合相關案例的下列必要條件。
| 案例 | 必要條件 |
|---|---|
| 具有新式驗證的僅限 雲端身分識別環境 | 沒有必要條件工作 |
| 混合式身分識別案例 | 部署 Microsoft Entra 連線,並在 內部部署的 Active Directory Domain Services (AD DS) 與 Microsoft Entra 標識符之間同步處理使用者身分識別。 |
| 針對雲端存取發佈的內部部署舊版應用程式 | 部署 Microsoft Entra 應用程式 Proxy |
選擇 MFA 的驗證方法
有許多方法可用於次要要素驗證。 您可以選擇可用的驗證方法清單,以安全性、可用性和可用性來評估每個方法。
重要
啟用多個 MFA 方法,讓使用者有可用的備份方法,以防其主要方法無法使用。 方法如下:
選擇要用於租使用者的方法時,請考慮這些方法的安全性和可用性:
若要深入瞭解這些方法的強度和安全性及其運作方式,請參閱下列資源:
您可以使用此 PowerShell 腳本 來分析使用者的 MFA 設定,並建議適當的 MFA 驗證方法。
若要獲得最佳彈性和可用性,請使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。 Microsoft Authenticator 應用程式也符合國家標準與技術研究院 (NIST) 驗證器保證層級 2 的需求。
您可以控制租使用者中可用的驗證方法。 例如,您可能想要封鎖某些最不安全的方法,例如SMS。
| 驗證方法 | 從管理 | 範圍 |
|---|---|---|
| Microsoft Authenticator (推播通知和無密碼電話登入) | MFA 設定或驗證方法原則 | 驗證器無密碼電話登入的範圍可以限定為使用者和群組 |
| FIDO2 安全性金鑰 | 驗證方法原則 | 可以限定為使用者和群組 |
| 軟體或硬體 OATH 令牌 | MFA 設定 | |
| 簡訊驗證 | MFA 設定 在驗證原則中管理主要驗證的SMS登入 |
SMS 登入的範圍可以設定為使用者和群組。 |
| 語音通話 | 驗證方法原則 |
規劃條件式存取原則
Microsoft Entra 多重要素驗證是以條件式存取原則強制執行的。 這些原則可讓您在需要時提示使用者輸入 MFA,並在需要時遠離使用者的方式。
在 Microsoft Entra 系統管理中心中,您會在 [保護>條件式存取] 下設定條件式存取原則。
若要深入瞭解如何建立條件式存取原則,請參閱 條件式存取原則,以在使用者登入時提示 Microsoft Entra 多重要素驗證。 這可協助您:
- 熟悉使用者介面
- 取得條件式存取運作方式的第一印象
如需 Microsoft Entra 條件式存取部署的端對端指引,請參閱 條件式存取部署計劃。
Microsoft Entra 多重要素驗證的常見原則
需要 Microsoft Entra 多重要素驗證的常見使用案例包括:
具名位置
若要管理條件式存取原則,條件式存取原則的位置條件可讓您將訪問控制設定系結至用戶的網路位置。 建議您使用 具名位置 ,以便建立IP位址範圍或國家和地區的邏輯群組。 這會為所有封鎖從該具名位置登入的應用程式建立原則。 請確保您的管理員不受此原則規範。
風險型原則
如果您的組織使用 Microsoft Entra ID Protection 來偵測風險訊號,請考慮使用 以風險為基礎的原則 ,而不是具名位置。 當有遭入侵身分識別的威脅或要求 MFA 被視為 有認證外洩、匿名 IP 位址的登入等風險 時,可以建立原則來強制密碼變更。
風險原則包括:
將使用者從每個使用者 MFA 轉換為條件式存取型 MFA
如果您的使用者已啟用每個使用者 MFA 並強制執行 Microsoft Entra 多重要素驗證,建議您為所有使用者啟用條件式存取,然後手動停用每個使用者多重要素驗證。 如需詳細資訊,請參閱 建立條件式存取原則。
規劃用戶會話存留期
規劃多重要素驗證部署時,請務必思考您想要提示用戶的頻率。 要求使用者提供認證通常似乎是一件明智的事,但可能會適得其反。 如果用戶經過訓練,在不考慮的情況下輸入其認證,他們可能會無意中將認證提供給惡意認證提示。 Microsoft Entra ID 有多個設定,可決定重新驗證的頻率。 瞭解企業和使用者的需求,並設定為您的環境提供最佳平衡的設定。
我們建議使用具有主要重新整理令牌 (PRT) 的裝置,以改善終端用戶體驗,並僅針對特定商務使用案例使用登入頻率原則來減少會話存留期。
如需詳細資訊,請參閱 優化重新驗證提示,並瞭解 Microsoft Entra 多重要素驗證的會話存留期。
規劃使用者註冊
每個多重要素驗證部署的主要步驟是讓用戶註冊以使用 Microsoft Entra 多重要素驗證。 語音和簡訊等驗證方法允許預先註冊,而驗證器應用程式等其他方法則需要用戶互動。 管理員 istrators 必須決定使用者如何註冊其方法。
SSPR 和 Microsoft Entra 多重要素驗證的合併註冊
Microsoft Entra 多重要素驗證和自助式密碼重設 (SSPR) 的合併註冊體驗可讓使用者以統一體驗註冊 MFA 和 SSPR。 SSPR 可讓使用者使用用於 Microsoft Entra 多重要素驗證的相同方法,以安全的方式重設其密碼。 若要確保您瞭解功能和用戶體驗,請參閱 合併的安全性資訊註冊概念。
請務必通知用戶即將進行的變更、註冊需求,以及任何必要的用戶動作。 我們提供通訊範本和用戶檔,為您的用戶準備新的體驗,並協助確保成功推出。 選取該頁面上的 [安全性資訊] 連結,將用戶傳送給 https://myprofile.microsoft.com 註冊。
向 Identity Protection 註冊
Microsoft Entra ID Protection 為 Microsoft Entra 多重要素驗證案例提供註冊原則和自動化風險偵測和補救原則。 當有遭入侵身分識別的威脅,或在登入被視為有風險時要求 MFA 時,可以建立原則來強制密碼變更。 如果您使用 Microsoft Entra ID Protection, 請設定 Microsoft Entra 多重要素驗證註冊原則 ,以提示使用者下次以互動方式登入時註冊。
沒有 Identity Protection 的註冊
如果您沒有啟用 Microsoft Entra ID Protection 的授權,系統會在下一次登入時提示用戶註冊 MFA。 若要要求使用者使用 MFA,您可以使用條件式存取原則,並以 HR 系統等常用應用程式為目標。 如果用戶的密碼遭到入侵,它可以用來註冊 MFA,並控制其帳戶。 因此,我們建議 使用需要受信任裝置和位置的條件式存取 原則來保護安全性註冊程式。 您也可以要求暫時存取通行證,以進一步保護程式。 系統管理員所發出的限時密碼符合強身份驗證需求,並可用來將其他驗證方法上線,包括無密碼驗證方法。
提高已註冊用戶的安全性
如果您已使用簡訊或語音通話註冊 MFA,您可能想要將它們移至更安全的方法,例如 Microsoft Authenticator 應用程式。 Microsoft 現在提供公開預覽的功能,可讓您在登入期間提示用戶設定 Microsoft Authenticator 應用程式。 您可以依群組、控制提示的人員、啟用目標行銷活動將使用者移至更安全的方法,來設定這些提示。
規劃復原案例
如前所述,請確定用戶已註冊一個以上的 MFA 方法,如此一來,如果無法使用,他們就會有備份。 如果使用者沒有可用的備份方法,您可以:
- 提供暫時存取傳遞,讓他們可以管理自己的驗證方法。 您也可以提供暫時存取傳遞,以啟用資源的暫時存取權。
- 以系統管理員身分更新其方法。 若要這樣做,請在 Microsoft Entra 系統管理中心選取使用者,然後選取 [保護>驗證方法] 並更新其方法。
規劃與內部部署系統的整合
直接使用 Microsoft Entra 識別符進行驗證並具有新式驗證的應用程式(WS-Fed、SAML、OAuth、OpenID 連線)可以使用條件式存取原則。 某些舊版和內部部署應用程式不會直接針對 Microsoft Entra 標識碼進行驗證,而且需要額外的步驟才能使用 Microsoft Entra 多重要素驗證。 您可以使用 Microsoft Entra 應用程式 Proxy 或 網路原則服務加以整合。
與 AD FS 資源整合
建議將使用 Active Directory 同盟服務 (AD FS) 保護的應用程式移轉至 Microsoft Entra 識別符。 不過,如果您尚未準備好將這些標識符移轉至 Microsoft Entra ID,您可以使用 Azure 多重要素驗證配接器搭配 AD FS 2016 或更新。
如果您的組織與 Microsoft Entra 識別子同盟,您可以將 Microsoft Entra 多重要素驗證設定為內部部署和雲端中的 AD FS 資源 驗證提供者。
RADIUS 用戶端和 Microsoft Entra 多重要素驗證
對於使用RADIUS驗證的應用程式,建議將用戶端應用程式移至新式通訊協定,例如SAML、OpenID連線或 Microsoft Entra ID 上的 OAuth。 如果無法更新應用程式,您可以部署 網路原則伺服器 (NPS) 擴充功能。 網路原則伺服器 (NPS) 擴充功能可作為 RADIUS 型應用程式與 Microsoft Entra 多重要素驗證之間的適配卡,以提供第二個驗證要素。
一般整合
許多廠商現在支援其應用程式的 SAML 驗證。 可能的話,我們建議將這些應用程式與 Microsoft Entra ID 同盟,並透過條件式存取強制執行 MFA。 如果您的廠商不支援新式驗證,您可以使用 NPS 擴充功能。 常見的RADIUS用戶端整合包括遠端桌面閘道和 VPN 伺服器等應用程式。
其他可能包括:
Citrix 閘道
Citrix Gateway 同時支援 RADIUS 和 NPS 擴充功能整合,以及 SAML 整合。
Cisco VPN
- Cisco VPN 支援 SSO 的 RADIUS 和 SAML 驗證。
- 藉由從RADIUS驗證移至SAML,您可以整合 Cisco VPN,而不需部署 NPS 擴充功能。
所有 VPN
部署 Microsoft Entra 多重要素驗證
您的 Microsoft Entra 多重要素驗證推出計劃應包含試驗部署,後面接著支援容量內的部署波。 將條件式存取原則套用至一小群試驗使用者,以開始推出。 在評估試驗使用者、程式使用和註冊行為的影響之後,您可以將更多群組新增至原則,或將更多使用者新增至現有的群組。
請執行以下步驟:
- 符合必要條件
- 設定所選的驗證方法
- 設定條件式存取原則
- 設定工作階段存留期設定
- 設定 Microsoft Entra 多重要素驗證註冊原則
管理 Microsoft Entra 多重要素驗證
本節提供 Microsoft Entra 多重要素驗證的報告和疑難解答資訊。
報告和監視
Microsoft Entra ID 有提供技術和商務見解的報告,請遵循部署進度,並檢查您的使用者是否成功登入 MFA。 讓您的企業和技術應用程式擁有者假設擁有權,並根據貴組織的需求取用這些報告。
您可以使用驗證方法活動儀錶板監視整個組織的驗證方法註冊和使用方式。 這可協助您了解註冊的方法,以及其使用方式。
登入報告以檢閱 MFA 事件
當系統提示使用者輸入 MFA 時,Microsoft Entra 登入報告包含事件的驗證詳細數據,以及是否有任何條件式存取原則正在使用中。 您也可以使用 PowerShell 來報告已註冊 Microsoft Entra 多重要素驗證的使用者。
雲端 MFA 活動的 NPS 擴充功能和 AD FS 記錄現在包含在登入記錄中,不再發佈至活動報告。
如需詳細資訊和其他 Microsoft Entra 多重要素驗證報告,請參閱 檢閱 Microsoft Entra 多重要素驗證事件。
針對 Microsoft Entra 多重要素驗證進行疑難解答
如需常見問題,請參閱 針對 Microsoft Entra 多重要素驗證 進行疑難解答。
引導式逐步解說
如需本文中許多建議的引導式逐步解說,請參閱 Microsoft 365 設定多重要素驗證引導式逐步解說。