管理 Microsoft Entra 多重身份验证的用户身份验证方法

Microsoft Entra ID 中的用户有两组不同的联系人信息:

  • 公共配置文件联系人信息,在用户配置文件中进行管理,对组织成员可见。 对于从本地 Active Directory 同步的用户,此信息在本地 Windows Server Active Directory 域服务中进行管理。
  • 身份验证方法,始终保密并仅用于身份验证,包括多重身份验证。 管理员可以在用户的身份验证方法边栏选项卡中管理这些方法,用户可以在 MyAccount 的“安全信息”页中管理其方法。

为用户管理 Microsoft Entra 多重身份验证方法时,身份验证管理员可以:

  • 为特定用户添加身份验证方法,包括用于 MFA 的电话号码。
  • 重置用户密码。
  • 要求用户重新注册 MFA。
  • 撤销现有 MFA 会话。
  • 删除用户的现有应用密码

注意

本主题中的屏幕截图展示如何使用 Microsoft Entra 管理中心内更新的体验来管理用户身份验证方法。 还有一种旧式体验,管理员可以使用管理中心内的横幅在两者之间切换。 新式体验与旧式体验完全一致,并且能够管理临时访问密码、通行密钥和其他设置等新式方法。 Microsoft Entra 管理中心的旧式体验将于 2024 年 10 月 31 日起停用。 停用前,组织无需采取任何操作。

先决条件

默认情况下启用的 Microsoft Entra 多重身份验证。

为用户添加或更改身份验证方法

可以使用 Microsoft Entra 管理中心或 Microsoft Graph PowerShell 为用户添加或更改身份验证方法。 在 Microsoft Entra 管理中心,管理用户身份验证方法的旧方法将在 2024 年 10 月 31 日之后停用。

注意

出于安全原因,不应使用公共用户联系人信息字段来执行 MFA。 相反,用户应填写用于 MFA 的身份验证方法电话号码。

如何从 Microsoft Entra 管理中心添加身份验证方法的屏幕截图。

若要在 Microsoft Entra 管理中心为用户添加或更改身份验证方法,

  1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择要添加或更改身份验证方法的用户,然后选择 身份验证方法
  4. 在窗口顶部,选择“+ 添加身份验证方法”
    • 选择方法(电话号码或电子邮件)。 电子邮件可用于自助式密码重置,但不能用于身份验证。 添加电话号码时,请选择电话类型,然后输入格式有效的电话号码(例如 +1 4255551234)。
    • 选择 添加

用户可以在“我的登录”中添加 或编辑自己的身份验证方法 |安全信息。 例如,若要更改电话号码,请选择“电话号码,然后点击“更改”。

使用 PowerShell 管理方法

使用以下命令安装 Microsoft.Graph.Identity.Signins PowerShell 模块。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

管理用户身份验证选项

提示

本文中的步骤可能因开始使用的门户而略有不同。

身份验证管理员可以要求其他用户重置其密码、重新注册 MFA,或者从其用户对象撤消现有的 MFA 会话。 用户无法更新自己的用户对象。 要更改或重置自己的安全方法,用户可以转到“安全信息”,或转到“自助式密码重置”以重置其密码。 要管理其他用户的设置,请完成以下步骤:

  1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择要在其上执行操作的用户,然后选择“身份验证方法”。 在窗口顶部,为用户选择以下选项之一:

    • “重置密码”会重置用户的密码并分配一个必须在下次登录时更改的临时密码
    • “要求重新注册 MFA”会停用用户的硬件 OATH 令牌,并从此用户中删除以下身份验证方法:电话号码、Microsoft Authenticator 应用和软件 OATH 令牌。 如果需要,请求用户在下次登录时设置新的 MFA 身份验证方法。
    • “撤消 MFA 会话”会清除用户的被系统记住的 MFA 会话,并要求用户下一次登录时执行 MFA。这是设备上的策略要求的

    从 Microsoft Entra 管理中心管理身份验证方法的屏幕截图。

删除用户的现有应用密码

对于已定义应用密码的用户,管理员还可以选择删除这些密码,使这些应用程序中的旧身份验证失败。 如果需要向用户提供帮助或需要重置其身份验证方法,可能需要执行这些操作。 与这些应用密码关联的非浏览器应用将会停止工作,直到创建新应用密码为止。

若要删除用户的应用密码,请完成以下步骤:

  1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择“多重身份验证”。 可能需要向右滚动才能看到此菜单选项。 选择以下示例屏幕截图,查看完整的窗口和菜单位置:从 Microsoft Entra ID 中的“用户”窗口中选择“多重身份验证”的屏幕截图。

  4. 选中要管理的一个或多个用户旁的复选框。 右侧会显示快速步骤选项列表。

  5. 选择“管理用户设置”,然后选中“删除所选用户生成的所有现有应用密码”复选框,如以下示例中所示:删除所有现有应用密码的屏幕截图。

  6. 选择“保存”,然后选择“关闭” 。