概述 Microsoft Entra 概觀的合併安全性資訊註冊
在有合併註冊之前,使用者要分開註冊 Microsoft Entra多重要素驗證和自助式密碼重設 (SSPR) 的驗證方法。 Multi-Factor Authentication 與 SSPR 的使用方法很類似,會讓人混淆,卻不得不註冊這兩項功能。 現在有了合併註冊,使用者只要註冊一次,就能同時獲得 Multi-Factor Authentication 和 SSPR 的益處。 建議您觀看影片:如何在 Microsoft Entra ID 中啟用和設定 SSPR (英文)。
在啟用新的體驗之前,請先檢閱以管理員為主的文件和以使用者為主的文件,以確保您了解這項功能的功能性和效果。 根據使用者文件上的訓練,讓您的使用者準備好使用新體驗,並協助確保新體驗能順利推出。
合併註冊已開放給所有 Azure 和適用於美國政府的 Azure 客戶。 當您的租使用者移轉至合併註冊之後,系統會移除可讓您從舊版切換到合併註冊體驗的入口網站控件。
[我的帳戶] 頁面會根據存取頁面所用電腦的語言設定來當地語系化。 Microsoft 會儲存瀏覽器快取中最近使用的語言,所以後續存取頁面的嘗試會繼續以最後使用的語言轉譯。 如果您清除快取,頁面就會重新轉譯。
如果您想要強制使用特定語言,您可以將 ?lng=<language>
新增至 URL 的結尾,其中 <language>
是您想要轉譯的語言代碼。
合併註冊中可用的方法
合併註冊支援下表中的驗證方法和動作。
方法 | 註冊 | 變更 | 刪除 |
---|---|---|---|
Microsoft 驗證器 | 是 (最多 5 個) | No | Yes |
其他驗證器應用程式 | 是 (最多 5 個) | No | Yes |
硬體 Token | No | No | Yes |
電話 | 是 (最多 2 個) | Yes | Yes |
備用手機 | Yes | Yes | Yes |
辦公室電話* | Yes | Yes | Yes |
電子郵件 | Yes | Yes | Yes |
安全性問題 | Yes | No | Yes |
密碼 | No | Yes | No |
應用程式密碼* | Yes | No | Yes |
Passkey (FIDO2)* | 是 (最多 10 個) | No | Yes |
注意
如果在驗證方法原則中為無密碼驗證模式啟用 Microsoft Authenticator,使用者也必須在 Authenticator 應用程式中啟用無密碼登入。
替代電話只能在 [安全性資訊] 的 [管理模式] 註冊,而且需要在驗證方法原則中啟用語音通話。
如果使用者已設定 [商務電話] 屬性,則只能在 [中斷模式] 中註冊辦公室電話。 辦公室電話可由使用者透過 [安全性資訊] 的 [管理模式] 新增,而不需要這項需求。
應用程式密碼僅適用於強制執行每個使用者 MFA 的使用者。 應用程式密碼不適用於條件式存取原則為其啟用 Microsoft Entra 多重要素驗證的使用者。
Passkeys (FIDO2) 也可以使用自訂用戶端或合作夥伴與 Microsoft Graph 整合佈建。 如需詳細資訊,請參閱我們的《API》。
使用者可以將下列其中一個選項設定為預設的 Multi-Factor Authentication 方法。
- Microsoft Authenticator - 推播通知或無密碼
- Authenticator 應用程式或硬體 Token - 代碼
- 通話
- 簡訊
注意
語音電話或 SMS 訊息不支援虛擬電話號碼。
第三方驗證器應用程式不會提供推播通知。 隨著我們持續將更多驗證方法新增至 Microsoft Entra ID,這些方法都會變成合併註冊中的可用方法。
合併註冊模式
合併註冊的模式有兩種:
- 中斷模式是類似於精靈的體驗,當使用者在登入時註冊或重新整理其安全性資訊時,該模式就會向使用者顯示。
- 管理模式是使用者設定檔的一部分,可讓使用者管理其安全性資訊。
對於這兩種模式,若使用者先前已註冊可用於 Microsoft Entra 多重要素驗證的方法,則必須先執行多重要素驗證,才能存取其安全性資訊。 使用者必須先確認其資訊,才能繼續使用先前註冊的方法。
中斷模式
如果您的租用戶已啟用多重要素驗證和 SSPR 原則,則合併註冊會遵循這兩個原則。 這些原則可控制使用者在登入期間是否會因為註冊而遭到中斷,以及有哪些方法可供註冊。 如果只啟用 SSPR 原則,則使用者將能夠 (無限期) 略過註冊中斷,並於稍後完成註冊。
以下是可能會提示使用者註冊或重新整理其安全性資訊的範例案例:
- 透過 Microsoft Entra ID Protection 強制執行的多重要素驗證註冊:系統會要求使用者在登入期間進行註冊。 他們會註冊多重要素驗證方法和 SSPR 方法 (如果使用者已啟用 SSPR)。
- 透過個別使用者的多重要素驗證強制執行的多重要素驗證註冊:系統會要求使用者在登入期間進行註冊。 他們會註冊多重要素驗證方法和 SSPR 方法 (如果使用者已啟用 SSPR)。
- 透過條件式存取或其他原則強制執行的多重要素驗證註冊:若使用者使用需要多重要素驗證的資源,系統會要求使用者進行註冊。 他們會註冊多重要素驗證方法和 SSPR 方法 (如果使用者已啟用 SSPR)。
- 強制執行 SSPR 註冊:系統會要求使用者在登入期間進行註冊。 他們只會註冊 SSPR 方法。
- 強制執行 SSPR 重新整理:使用者必須在管理員設定的間隔內檢閱其安全性資訊。使用者會看到其資訊,並可確認目前的資訊,或視需要進行變更。
強制執行註冊時,使用者會看到必須遵循多重要素驗證和 SSPR 原則的最低方法數目 (從安全性最高排到最低)。 如果使用者執行合併註冊,而在合併註冊中,強制執行 MFA 和 SSPR 註冊,並且 SSPR 原則需要兩種方法,則需要先將 MFA 方法註冊為第一種方法,而且可以選取另一個 MFA 或 SSPR 特定方法作為第二種註冊方法 (例如,電子郵件、安全性問題等)
請考慮下列範例情況:
- 使用者已啟用 SSPR。 SSPR 原則需要兩種方法來重設和啟用 Microsoft Authenticator 應用程式、電子郵件和電話。
- 當使用者選擇註冊時,需要兩個方法:
- 依預設,使用者會看到 Microsoft Authenticator 應用程式和電話。
- 使用者可以選擇註冊電子郵件,而不是 Authenticator 應用程式或手機。
在他們設定 Microsoft Authenticator 時,使用者可以按一下 [我想設定不同的方法來] 來註冊其他驗證方法。 可用的方法清單是由租用戶的驗證方法原則所決定。
下列流程圖說明當使用者在登入期間因註冊而遭中斷時,系統會向使用者顯示哪些方法:
如果您已啟用多重要素驗證和 SSPR,建議您強制執行多重要素驗證註冊。
如果 SSPR 原則要求使用者定期查看其安全性資訊,則使用者的登入程序會被中斷,並且會看到其所有已註冊的方法。 他們可以確認目前的資訊是否為最新狀態,或是在需要時進行變更。 使用者必須執行多重要素驗證才能存取此頁面。
管理模式
使用者可以移至 [安全性資訊],或者他們可以從 [我的帳戶] 選取 [安全性資訊]。 使用者可以從該處新增方法、刪除或變更現有的方法,以及變更預設方法等等。
合併註冊的工作階段控制項
根據預設,合併註冊會強制所有具備 MFA 功能的用戶,在註冊或管理其安全性資訊之前,進行強度驗證。 如果使用者目前已登入,且先前已完成 MFA 作為有效工作階段的一部分,則除非使用者嘗試新增或修改複雜密鑰 (FIDO2) 方法,否則預設不需要其他 MFA。 新增或修改複雜金鑰 (FIDO2) 方法時,使用者需在過去 5 分鐘內進行強度驗證。 若過去 5 分鐘內尚未完成 MFA,系統會要求使用者登入並完成全新的 MFA。 組織可透過定義條件式存取原則來保護安全性資訊註冊,以修改驗證需求。
合併註冊工作階段僅 15 分鐘有效。 如果使用者註冊或管理動作花費超過這段期間,工作階段將會過期,且系統將要求使用者重新登入以繼續。
主要使用方式情節
在 MySignIns 中變更密碼
使用者瀏覽至 [安全性資訊]。 登入之後,使用者可以變更其密碼。 如果使用者使用密碼和多重要素驗證方法進行驗證,他們將能夠使用增強的使用者體驗來變更其密碼,而不需要輸入現有的密碼。 完成後,使用者會在 [安全性資訊] 頁面上更新新的密碼。 除非使用者知道其現有的密碼,否則不支援臨時存取密碼 (TAP) 等驗證方法進行密碼變更。
注意
如果您有任何指向舊版變更密碼體驗的連結,請將其更新為下列轉寄連結,以將使用者導向新的 [我的登入變更密碼] 體驗:https://go.microsoft.com/fwlink/?linkid=2224198。
使用條件式存取保護安全性資訊註冊
若要對使用者註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的時間及方式進行保護,您可以在條件式存取原則中使用使用者動作。 若組織想要使用者從中央位置 (例如 HR 上線期間的信任網路位置) 註冊 Microsoft Entra多重要素驗證和 SSPR,即可在該組織啟用此功能。 深入了解如何設定常見的條件式存取原則來保護安全性資訊註冊。
在登入期間設定安全性資訊
管理員已強制執行註冊。
使用者尚未設定所有必要的安全性資訊,並移至 Microsoft Entra 系統管理中心。 使用者輸入使用者名稱和密碼之後,系統會提示使用者設定安全性資訊。 然後,使用者會遵循精靈中所示的步驟來設定所需的安全性資訊。 如果您的設定允許,使用者可以選擇設定非預設顯示的方法。 使用者完成精靈之後,可以檢閱他們所設定的方法,以及其多重要素驗證的預設方法。 若要完成設定流程,使用者會確認資訊並繼續 Microsoft Entra 系統管理中心。
從「我的帳戶」設定安全性資訊
管理員未強制執行註冊。
尚未設定所有必要安全性資訊的使用者會前往 https://myaccount.microsoft.com。 使用者可在左側窗格中選取 [安全性資訊]。 使用者可以從該處選擇新增方法、選取任何可用的方法,並遵循設定該方法的步驟。 完成之後,使用者會在 [安全性資訊] 頁面上看到設定的方法。
在部分註冊之後設定其他方法
如果使用者由於使用者或系統管理員執行的現有驗證方法註冊而部分滿足 MFA 或 SSPR 註冊,則僅在必須註冊時,才會要求使用者註冊驗證方法原則設定所允許的其他資訊。 如果有多個其他驗證方法可供使用者選擇及註冊,則會顯示標題為 [我想要設定其他方法] 的註冊體驗選項,並允許使用者設定其所需的驗證方法。
從「我的帳戶」刪除安全性資訊
先前已設定至少一個方法的使用者會瀏覽至 [安全性資訊]。 使用者可選擇刪除其中一個先前註冊的方法。 完成之後,使用者就不會再於 [安全性資訊] 頁面上看到該方法。
從「我的帳戶」變更預設方法
先前已設定至少一個可用於多重要素驗證方法的使用者會瀏覽至 [安全性資訊]。 使用者可將目前的預設方法變更為不同的預設方法。 完成時,使用者會在 [安全性資訊] 頁面上看到新的預設方法。
切換目錄
外部身分識別 (B2B 使用者) 可能需要切換目錄,才能變更第三方租用戶的安全性註冊資訊。 此外,存取資源租用戶的使用者在變更其主租用戶中的設定時,可能會因為看不到反映在資源租用戶中的變更而感到混淆。
例如,使用者將 Microsoft Authenticator 應用程式推播通知設定為登入主租用戶的主要驗證的同時,也使用 SMS/文字作為另一個選項。 此使用者也在資源租用戶上設定 SMS/文字選項。 如果此使用者將 SMS/文字從其主租用戶上的驗證選項中移除,當資源租用戶的存取程序要求他們回應 SMS/文字訊息時,就會感到混淆。
若要切換 Microsoft Entra 系統管理中心中的目錄,請按一下右上角的使用者帳戶名稱,然後按一下 [切換目錄]。
或者,您可依 URL 指定租用戶來存取安全性資訊。
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
注意
嘗試透過合併註冊或 [我的登入] 頁面來註冊或管理安全性資訊的客戶,應該使用 Microsoft Edge 等新式瀏覽器。
IE11 未正式支援在應用程式中建立網頁檢視或瀏覽器,因為這在所有案例中都無法如預期般運作。
尚未更新且仍在使用依賴舊版 WebView 的 Azure AD 驗證程式庫 (ADAL) 的應用程式,可以回復為舊版 Internet Explorer。 在這些案例中,使用者被系統導向 [我的登入] 頁面時,會遇到空白頁面。 若要解決此問題,請切換至新式瀏覽器。
下一步
若要開始使用,請參閱教學課程來啟用自助式密碼重設和啟用 Microsoft Entra 多重要素驗證。