Udostępnij za pośrednictwem


Jak przeprowadzić migrację ustawień zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła do zasad Metod uwierzytelniania dla usługi Microsoft Entra

Możesz przeprowadzić migrację starszych ustawień zasad microsoft Entra ID, które oddzielnie kontrolują uwierzytelnianie wieloskładnikowe (MFA) i samoobsługowe resetowanie haseł (SSPR) w celu ujednoliconego zarządzania przy użyciu zasad metod uwierzytelniania.

Aby zautomatyzować migrację, możesz użyć przewodnika po migracji metod uwierzytelniania (wersja zapoznawcza) w centrum administracyjnym firmy Microsoft Entra. Ten przewodnik zawiera kreatora ułatwiającego inspekcję bieżących ustawień zasad dla uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Następnie konsoliduje te ustawienia w zasadach metod uwierzytelniania, gdzie można je łatwiej zarządzać.

Możesz również ręcznie migrować ustawienia zasad zgodnie z własnym harmonogramem. Proces migracji jest w pełni odwracalny. Można nadal używać zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła dla całej dzierżawy, podczas gdy bardziej precyzyjnie konfigurujesz metody uwierzytelniania dla użytkowników i grup w zasadach metod uwierzytelniania.

Aby uzyskać więcej informacji na temat sposobu współdziałania tych zasad podczas migracji, zobacz Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft.

Przewodnik po migracji automatycznej

Przewodnik po automatycznej migracji umożliwia migrowanie metod uwierzytelniania za pomocą zaledwie kilku kliknięć. Dostęp do niego można uzyskać z centrum administracyjnego firmy Microsoft Entra, przechodząc do obszaru Zasady>>.

Zrzut ekranu przedstawiający blok zasad Metody uwierzytelniania z wyróżnionym punktem wejścia kreatora.

Pierwsza strona kreatora wyjaśnia, czym jest i jak działa. Zawiera również linki do każdej ze starszych zasad dotyczących Twoich odwołań.

Zrzut ekranu przedstawiający blok zasad Metody uwierzytelniania z wyróżnioną pierwszą stroną kreatora.

Następnie kreator konfiguruje zasady metody uwierzytelniania na podstawie tego, co organizacja aktualnie włączyła w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Jeśli metoda jest włączona w obu starszych zasadach, zaleceniem jest również włączenie jej w zasadach metody uwierzytelniania. Dzięki tej konfiguracji użytkownicy mogą nadal logować się i resetować swoje hasło przy użyciu tej samej metody, której wcześniej używali.

Ponadto zalecamy włączenie najnowszych nowoczesnych, bezpiecznych metod, takich jak passkeys, temporary access pass i Microsoft Authenticator, aby pomóc w poprawie stanu zabezpieczeń organizacji. Aby edytować zalecaną konfigurację, wybierz ikonę ołówka obok każdej metody.

Zrzut ekranu przedstawiający blok zasad Metody uwierzytelniania z wyróżnioną drugą stroną kreatora.

Po zakończeniu konfiguracji wybierz pozycję Migruj, a następnie potwierdź migrację. Zasady metod uwierzytelniania są aktualizowane tak, aby były zgodne z konfiguracją określoną w kreatorze. Metody uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła stają się wyszarzane i nie są już stosowane.

Stan migracji zostanie zaktualizowany do pozycji Migracja ukończona. Ten stan można zmienić z powrotem na W toku w dowolnym momencie, aby ponownie włączyć metody w starszych zasadach w razie potrzeby.

Migracja ręczna

Zacznij od przeprowadzenia inspekcji istniejących ustawień zasad dla każdej metody uwierzytelniania dostępnej dla użytkowników. Jeśli wycofasz się podczas migracji, możesz chcieć zarejestrować ustawienia metody uwierzytelniania z każdej z tych zasad:

  • Zasady MFA
  • Zasady samoobsługowego resetowania hasła (jeśli są używane)
  • Zasady metod uwierzytelniania (jeśli są używane)

Jeśli nie używasz samoobsługowego resetowania hasła i nie korzystasz jeszcze z zasad metod uwierzytelniania, musisz pobrać tylko ustawienia z zasad uwierzytelniania wieloskładnikowego.

Przeglądanie starszych zasad uwierzytelniania wieloskładnikowego

Zacznij od udokumentowania metod dostępnych w starszych zasadach uwierzytelniania wieloskładnikowego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy>ustawienia usługi MFA dla poszczególnych użytkowników>, aby wyświetlić ustawienia.

Te ustawienia są dostępne dla całej dzierżawy, więc nie ma potrzeby korzystania z informacji o użytkownikach ani grupach.

Zrzut ekranu przedstawia starsze zasady uwierzytelniania wieloskładnikowego firmy Microsoft.

Dla każdej metody należy pamiętać, czy jest ona włączona dla dzierżawy. W poniższej tabeli wymieniono metody dostępne w starszych zasadach uwierzytelniania wieloskładnikowego i odpowiednie metody w zasadach metody uwierzytelniania.

Zasady uwierzytelniania wieloskładnikowego Zasady dotyczące metody uwierzytelniania
Połączenie z telefonem Połączenia głosowe
Wiadomość SMS na telefon SMS
Powiadomienie przez aplikację mobilną Microsoft Authenticator
Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego Tokeny OATH oprogramowania innych firm
Sprzętowe tokeny OATH
Microsoft Authenticator

Przejrzyj starsze zasady samoobsługowego resetowania hasła

Aby uzyskać metody uwierzytelniania dostępne w starszych zasadach samoobsługowego resetowania hasła, przejdź do Identity>Users>Wszyscy użytkownicy>Resetowanie hasła>Metody uwierzytelniania. W poniższej tabeli wymieniono dostępne metody w starszych zasadach samoobsługowego resetowania hasła i odpowiednie metody w zasadach metody uwierzytelniania.

Zrzut ekranu przedstawiający starsze zasady samoobsługowego resetowania hasła firmy Microsoft.

Rejestruj użytkowników, którzy znajdują się w zakresie samoobsługowego resetowania hasła (wszyscy użytkownicy, jedna grupa lub żadni użytkownicy) oraz metody uwierzytelniania, których mogą używać. Chociaż pytania zabezpieczające nie są jeszcze dostępne do zarządzania w zasadach metod uwierzytelniania, upewnij się, że są one rejestrowane później, gdy są. Tę informację można znaleźć w sekcji Identity>Users>Wszyscy użytkownicy>Resetowanie hasła>Właściwości.

Metody uwierzytelniania dotyczące samoobsługowego resetowania hasła Zasady dotyczące metody uwierzytelniania
Powiadomienie aplikacji mobilnej Microsoft Authenticator
Kod aplikacji mobilnej Microsoft Authenticator
Tokeny OATH oprogramowania
Email Wiadomość e-mail OTP
Telefon komórkowy Połączenia głosowe
SMS
Telefon biurowy Połączenia głosowe
Pytania zabezpieczające Jeszcze nie dostępne, pytania dotyczące kopiowania do późniejszego użycia

Zasady metod uwierzytelniania

Aby sprawdzić ustawienia w zasadach Metod uwierzytelniania, zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i przejdź do pozycji > Nowa dzierżawa ma domyślnie wszystkie metody Wyłączone , co ułatwia migrację, ponieważ starsze ustawienia zasad nie muszą być scalane z istniejącymi ustawieniami.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do sekcji Metody uwierzytelniania ochrony>>

Zrzut ekranu przedstawiający metody uwierzytelniania.

Zasady metod uwierzytelniania mają inne metody, które nie są dostępne w starszych zasadach, takich jak klucz zabezpieczeń FIDO2, tymczasowy dostęp — dostęp próbny i uwierzytelnianie oparte na certyfikatach firmy Microsoft Entra. Te metody nie należą do zakresu migracji i nie trzeba wprowadzać żadnych zmian w nich, jeśli zostały już skonfigurowane.

Jeśli w zasadach metod uwierzytelniania włączono inne metody, zapisz użytkowników i grupy, którzy mogą lub nie mogą używać tych metod. Zanotuj parametry konfiguracji, które określają sposób użycia metody. Można na przykład skonfigurować program Microsoft Authenticator tak, aby udostępniać lokalizację w powiadomieniach wypychanych. Utwórz rekord, dla którego użytkownicy i grupy są włączone dla podobnych parametrów konfiguracji skojarzonych z każdą metodą.

Rozpoczynanie migracji

Po przechwyceniu dostępnych metod uwierzytelniania z aktualnie używanych zasad możesz rozpocząć migrację. Otwórz zasady Metody uwierzytelniania, wybierz pozycję Zarządzaj migracją, a następnie wybierz pozycję Migracja w toku.

Zrzut ekranu przedstawiający sposób uruchamiania procesu migracji.

Należy ustawić tę opcję przed wprowadzeniem zmian, ponieważ będą stosowane nowe zasady zarówno do scenariuszy logowania, jak i resetowania hasła.

Zrzut ekranu przedstawiający postęp migracji.

Następnym krokiem jest zaktualizowanie zasad metod uwierzytelniania w celu dopasowania ich do inspekcji. Należy przejrzeć każdą metodę jeden po jednym. Jeśli dzierżawa korzysta tylko ze starszych zasad uwierzytelniania wieloskładnikowego i nie korzysta z samoobsługowego resetowania hasła, aktualizacja jest prosta — możesz włączyć każdą metodę dla wszystkich użytkowników i dokładnie dopasować istniejące zasady.

Jeśli dzierżawa korzysta zarówno z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła, należy rozważyć każdą metodę:

  • Jeśli metoda jest włączona w obu starszych zasadach, włącz ją dla wszystkich użytkowników w zasadach Metody uwierzytelniania.
  • Jeśli metoda jest wyłączona w obu starszych zasadach, pozostaw ją wyłączoną dla wszystkich użytkowników w zasadach metod uwierzytelniania.
  • Jeśli metoda jest włączona tylko w jednej zasadach, musisz zdecydować, czy powinna być dostępna we wszystkich sytuacjach.

Gdzie są zgodne zasady, można łatwo dopasować bieżący stan. W przypadku niezgodności należy zdecydować, czy całkowicie włączyć lub wyłączyć metodę. Załóżmy na przykład, że opcja Powiadomienie za pośrednictwem aplikacji mobilnej jest włączona, aby zezwalać na powiadomienia wypychane dla uwierzytelniania wieloskładnikowego. W starszych zasadach samoobsługowego resetowania hasła metoda powiadomień aplikacji mobilnej nie jest włączona. W takim przypadku starsze zasady umożliwiają wysyłanie powiadomień wypychanych dla uwierzytelniania wieloskładnikowego, ale nie samoobsługowego resetowania hasła.

W zasadach Metody uwierzytelniania należy wybrać, czy włączyć usługę Microsoft Authenticator zarówno dla samoobsługowego resetowania hasła, jak i uwierzytelniania wieloskładnikowego, czy wyłączyć (zalecamy włączenie aplikacji Microsoft Authenticator).

Należy pamiętać, że w zasadach Metod uwierzytelniania masz możliwość włączenia metod dla grup użytkowników oprócz wszystkich użytkowników, a także wykluczyć grupy użytkowników z możliwości korzystania z danej metody. Oznacza to, że masz dużą elastyczność w kontrolowaniu tego, co użytkownicy mogą używać metod. Można na przykład włączyć aplikację Microsoft Authenticator dla wszystkich użytkowników oraz ograniczyć połączenia SMS i Voice do 1 grupy 20 użytkowników, którzy potrzebują tych metod.

Podczas aktualizowania każdej metody w zasadach metod uwierzytelniania niektóre metody mają konfigurowalne parametry, które umożliwiają kontrolowanie sposobu użycia tej metody. Jeśli na przykład włączysz wywołania głosowe jako metodę uwierzytelniania, możesz zezwolić zarówno na telefon biurowy, jak i telefony komórkowe albo tylko na telefon komórkowy. Wykonaj kroki procesu konfigurowania każdej metody uwierzytelniania z inspekcji.

Nie musi odpowiadać istniejącym zasadom! Jest to świetna okazja, aby przejrzeć uruchomione metody i wybrać nowe zasady, które maksymalizuje bezpieczeństwo i użyteczność dzierżawy. Należy pamiętać, że wyłączenie metod dla użytkowników, którzy już z nich korzystają, może wymagać od tych użytkowników zarejestrowania nowych metod uwierzytelniania i uniemożliwienia im używania wcześniej zarejestrowanych metod.

W następnych sekcjach omówiono konkretne wskazówki dotyczące migracji dla każdej metody.

Jednorazowy kod dostępu poczty e-mail

Istnieją dwie kontrolki jednorazowego kodu dostępu poczty e-mail:

W sekcji Włącz i Cel: Członkowie dzierżawy mogą mieć możliwość włączenia OTP email do resetu hasła z możliwością dodania lub wykluczenia określonych grup (lub włączone dla wszystkich użytkowników).

W sekcji Konfigurowanie: osobna kontrolka Zezwalaj użytkownikom zewnętrznym na używanie OTP przez e-mail umożliwia korzystanie z OTP przez e-mail do logowania przez użytkowników B2B. Nie można wyłączyć metody uwierzytelniania OTP poczty e-mail, jeśli to ustawienie jest włączone.

Microsoft Authenticator

Jeśli opcja Powiadomienia za pośrednictwem aplikacji mobilnej jest włączona w starszych zasadach uwierzytelniania wieloskładnikowego, włącz usługę Microsoft Authenticator dla wszystkich użytkowników w zasadach Metody uwierzytelniania. Ustaw tryb uwierzytelniania na Dowolny , aby zezwolić na uwierzytelnianie wypychane lub bez hasła.

Jeśli kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego jest włączony w starszych zasadach uwierzytelniania wieloskładnikowego, ustaw opcję Zezwalaj na używanie protokołu OTP aplikacji Microsoft Authenticator na wartość Tak.

Zrzut ekranu przedstawiający protokół OTP aplikacji Microsoft Authenticator.

Uwaga

Jeśli użytkownicy rejestrują aplikację Microsoft Authenticator tylko dla kodu OTP przy użyciu chcę użyć innego kreatora uwierzytelniającej aplikacji, konieczne będzie włączenie tokenów OATH oprogramowania innych firm zasady.

Wiadomości SMS i połączenia głosowe

Starsze zasady uwierzytelniania wieloskładnikowego mają oddzielne kontrolki dla połączeń SMS i Telefonicznych. Ale istnieje również sterowanie telefonem komórkowym, które umożliwia telefony komórkowe zarówno na potrzeby połączeń SMS, jak i głosowych. A inna kontrolka dla telefonu office umożliwia tylko telefon biurowy na potrzeby połączeń głosowych.

Zasady metody uwierzytelniania mają kontrolki dla połączeń SMS i Voice, pasujących do starszych zasad uwierzytelniania wieloskładnikowego. Jeśli dzierżawa korzysta z samoobsługowego resetowania hasła, a telefon komórkowy jest włączony, należy włączyć zarówno połączenia SMS, jak i głosowe w zasadach Metody uwierzytelniania. Jeśli dzierżawa korzysta z samoobsługowego resetowania hasła, a telefon pakietu Office jest włączony, należy włączyć połączenia głosowe w zasadach Metod uwierzytelniania i upewnić się, że opcja Telefon pakietu Office jest włączona.

Uwaga

Opcja Użyj do logowania jest domyślnie włączona w ustawieniach programu SMS . Ta opcja umożliwia logowanie sms. Jeśli logowanie sms jest włączone dla użytkowników, zostaną pominięte z synchronizacji między dzierżawami. Jeśli używasz synchronizacji między dzierżawami lub nie chcesz włączać logowania sms, wyłącz logowanie sms dla użytkowników docelowych.

Tokeny OATH

Kontrolki tokenów OATH w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła były pojedynczymi kontrolkami, które umożliwiły korzystanie z trzech różnych typów tokenów OATH: aplikacji Microsoft Authenticator, oprogramowania innej firmy, aplikacji generatora kodu OATH TOTP i sprzętowych tokenów OATH.

Zasady metod uwierzytelniania mają szczegółową kontrolę z oddzielnymi kontrolkami dla każdego typu tokenu OATH. Korzystanie z protokołu OTP z aplikacji Microsoft Authenticator jest kontrolowane przez ustawienie Zezwalaj na korzystanie z kontrolki Microsoft Authenticator OTP w sekcji Microsoft Authenticator w zasadach. Aplikacje innych firm są kontrolowane przez sekcję Tokeny OATH oprogramowania innej firmy w zasadach. Sprzętowe tokeny OATH są kontrolowane przez sekcję Sprzętowe tokeny OATH zasad.

Pytania zabezpieczające

Wkrótce pojawi się kontrola pytań zabezpieczających. Jeśli używasz pytań zabezpieczających i nie chcesz ich wyłączać, pamiętaj, aby zachować je włączone w starszych zasadach samoobsługowego resetowania hasła do momentu udostępnienia nowej kontrolki. Migrację można zakończyć zgodnie z opisem w następnej sekcji z włączonymi pytaniami zabezpieczającymi.

Kończenie migracji

Po zaktualizowaniu zasad metod uwierzytelniania przejdź przez starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła i usuń każdą metodę uwierzytelniania jeden po drugim. Przetestuj i zweryfikuj zmiany dla każdej metody.

Po ustaleniu, że uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła działają zgodnie z oczekiwaniami i nie potrzebujesz już starszych zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła, możesz zmienić proces migracji na Ukończono migrację. W tym trybie firma Microsoft Entra jest zgodna z zasadami Metod uwierzytelniania. W przypadku ustawienia Ukończenie migracji nie można wprowadzać żadnych zmian w starszych zasadach, z wyjątkiem pytań zabezpieczających w zasadach samoobsługowego resetowania hasła. Jeśli z jakiegoś powodu musisz wrócić do starszych zasad, możesz w dowolnym momencie przenieść stan migracji z powrotem do obszaru Migracja w toku .

Zrzut ekranu przedstawiający ukończoną migrację.

Następne kroki