MFA 伺服器移轉

本主題涵蓋如何將 Microsoft Entra 使用者的 MFA 設定從內部部署Microsoft Entra 多重要素驗證伺服器移轉至 Microsoft Entra 多重要素驗證。

解決方案概觀

MFA 伺服器移轉工具可協助將儲存在內部部署 Microsoft Entra 多重驗證伺服器的多重驗證數據直接同步到 Microsoft Entra 多重驗證。 在驗證數據遷移至 Microsoft Entra ID 之後，用戶可以順暢地執行雲端式 MFA，而不需要再次註冊或確認驗證方法。 系統管理員可以使用 MFA 伺服器移轉公用程式，以單一使用者或使用者群組為目標進行測試和控制推出，而不需要進行任何全租用戶變更。

影片：如何使用 MFA Server 移轉公用程式

查看我們的影片，以取得 MFA Server 移轉公用程式的概觀及其運作方式。

限制和需求

• MFA 伺服器遷移工具需要在您的主要 MFA 伺服器上安裝新的 MFA 伺服器解決方案組建。 組建會更新 MFA Server 資料檔，並包含新的 MFA Server 移轉公用程式。 您不需要更新 WebSDK 或使用者入口網站。 更新 的安裝不會自動啟動 的移轉。

  注意

  MFA 伺服器移轉公用程式可以在次要 MFA 伺服器上執行。 如需詳細資訊，請參閱執行次要 MFA 伺服器（選擇性）。

• MFA 伺服器移轉公用程式會將資料庫檔案中的數據複製到 Microsoft Entra ID 中的用戶物件上。 在移轉期間，為測試目的，用戶可以通過 階段性推出啟用 Microsoft Entra 多重要素驗證。 分段移轉可讓您測試，而不需對網域同盟設定進行任何變更。 移轉完成後，您必須對網域同盟設定進行變更，以完成移轉。

• 執行 Windows Server 2016 或更高版本的 AD FS 必須為任何 AD FS 受信任的合作夥伴提供多重身份驗證 (MFA)，不包括 Microsoft Entra ID 和 Office 365。

• 檢閱您的 AD FS 訪問控制原則，並確定沒有任何要求在內部部署執行 MFA 作為驗證程式的一部分。

• 分段推出最多可以鎖定 500,000 個使用者（10 個群組，每個群組最多 50,000 個使用者）。

移轉指南

階段	步驟
準備	識別 Microsoft Entra 多重要素驗證伺服器相依性
	備份Microsoft Entra 多重要素驗證伺服器數據檔
	安裝 MFA Server 更新
	設定 MFA 伺服器移轉工具
遷移	移轉用戶數據
	驗證和測試
	分段推出
	教育使用者
	完成使用者移轉
完成	移轉 MFA 伺服器 依賴
	更新網域同盟設定
	停用 MFA 伺服器使用者入口
	停用 MFA 伺服器

MFA 伺服器的移轉過程通常包含以下流程中的步驟：

一些重要要點：

當您新增測試使用者時，應該重複 階段 1。

• 移轉工具會使用 Microsoft Entra 群組，判斷應在 MFA Server 和 Microsoft Entra 多因素驗證之間同步驗證數據的使用者。 同步用戶數據後，該使用者便已準備好使用 Microsoft Entra 多重要素驗證。
• 階段性推出可讓您重新路由使用者至 Microsoft Entra 多重要素驗證，同時也可使用 Microsoft Entra 群組。 雖然您當然可以針對這兩個工具使用相同的群組，但我們建議不要這樣做，以避免使用者可能在同步處理其數據之前被重新導向至 Microsoft Entra 多重要素驗證。 建議您設定兩組 Microsoft Entra 群組，一組用於由 MFA Server Migration Utility 同步處理驗證數據，另一組用於階段性推出，將目標用戶導向至 Microsoft Entra 多重要素驗證，而非內部部署。

在您移轉使用者基礎時，應重複執行 第二階段。 在階段 2 結束時，您的整個使用者群組應該針對與 Microsoft Entra 識別同盟的所有工作負載使用 Microsoft Entra 多重要素驗證。

在先前的階段中，您可以從 [分段推出] 資料夾移除使用者，使其脫離 Microsoft Entra 多重要素驗證的範圍，並將它們路由回內部部署Microsoft Entra 多重要素驗證伺服器，以取得源自 Microsoft Entra ID 的所有 MFA 要求。

第 3 階段 需要將所有向內部部署 MFA Server 進行驗證的用戶端（如 VPN、密碼管理員等）移動到使用 SAML/OAUTH 的 Microsoft Entra 聯邦。 如果不支援現代驗證標準，您需要部署安裝有 Microsoft Entra 多重要素驗證擴充功能的 NPS 伺服器。 一旦移轉相依性，使用者就不應該再使用 MFA Server 上的使用者入口網站，而是應該在 Microsoft Entra ID （aka.ms/mfasetup） 中管理其驗證方法。 一旦用戶開始在 Microsoft Entra ID 中管理其驗證數據，這些方法就不會同步處理回 MFA Server。 如果您在使用者已在 Microsoft Entra ID 中變更其驗證方法後，回復到內部部署的 MFA 伺服器，這些變更將會消失。 完成使用者移轉之後，請變更 federatedIdpMfaBehavior 網域同盟設定。 這項變更會告知Microsoft Entra ID 不再執行內部部署 MFA，以及執行 所有具有 Microsoft Entra 多重要素驗證的 MFA 要求，不論群組成員資格為何。

下列各節將更詳細地說明移轉步驟。

識別 Microsoft Entra 多因素驗證伺服器相依性

我們努力確保移至雲端式Microsoft Entra 多重要素驗證解決方案可維護及改善您的安全性狀態。 有三個廣泛的類別應該用來將相依性分組：

• MFA 方法
• 使用者入口網站
• 驗證服務

為了協助您進行移轉，我們已將廣泛使用的 MFA Server 功能與各類別中 Microsoft Entra 多重要素驗證的對應功能進行比對。

MFA 方法

開啟 MFA Server，選取 [公司設定]:

MFA 伺服器	Microsoft Entra 多重要素驗證
「一般」頁籤
[用戶預設值] 區段
通話（標準）	不需要採取任何動作
簡訊 （OTP）*	不需要採取任何動作
行動應用程式 （標準）	不需要採取任何動作
通話（PIN）*	啟用語音 OTP
簡訊 （OTP + PIN）**	不需要採取任何動作
行動應用程式 （PIN）*	啟用 數位比對
通話/簡訊/行動應用程式/OATH 令牌語言	語言設定會根據其瀏覽器中的地區設定自動套用至使用者
預設 PIN 規則區段	不適用;請參閱上述螢幕快照中的已更新方法
[使用者名稱解析] 選項卡	不適用;Microsoft Entra 多重要素驗證不需要用戶名稱解析
[簡訊] 頁籤	不適用：Microsoft Entra 多重要素驗證預設會使用文字訊息中的預設訊息
OATH 驗證器標籤	不適用：Microsoft Entra 多因素驗證會使用 OATH 令牌的預設訊息。
報告	Microsoft Entra 驗證方法活動報告

^*當使用 PIN 來提供存在證明功能時，上述內容提供了功能上的等效項目。 未以密碼編譯方式系結至裝置的 PIN，無法充分防範裝置遭到入侵的情況。 若要防範這些案例，包括 SIM 交換攻擊，請根據Microsoft驗證方法，將使用者移至更安全的方法，最佳做法。

^**Microsoft Entra 多重要素驗證中的預設文字 MFA 體驗會將代碼傳送給使用者，這些代碼必須在登入視窗中輸入，作為身份驗證流程的一部分。 程序代碼來回傳輸的需求提供出席證明功能。

使用者入口網站

開啟 MFA 伺服器，選取 使用者入口網站：

MFA 伺服器	Microsoft Entra 多重要素驗證
[設定] 分頁
使用者入口網站 URL	aka.ms/mfasetup
允許用戶註冊	請參閱 合併的安全性資訊註冊
- 提示輸入備用電話	請參閱 MFA 服務設定
提示要求提供第三方 OATH 令牌	請參閱 MFA 服務設定
允許使用者啟動 One-Time 繞過	請參閱 Microsoft Entra ID TAP 功能
允許用戶選取方法	請參閱 MFA 服務設定
-電話	請參閱電話通話紀錄
-短信	請參閱 MFA 服務設定
- 行動應用程式	請參閱 MFA 服務設定
- OATH 令牌	請參閱 OATH 憑證文件
允許使用者選取語言	語言設定會根據其瀏覽器中的地區設定自動套用至使用者
允許使用者啟用行動應用程式	請參閱 MFA 服務設定
- 裝置限制	Microsoft Entra ID 將使用者限制為每人最多五個累加裝置（行動應用程式實例 + 硬體 OATH 令牌 + 軟體 OATH 令牌）
使用安全性問題作為備用	Microsoft Entra ID 可讓使用者在驗證時選擇後援方法，如果所選的驗證方法失敗
- 要回答的問題	Microsoft Entra ID 中的安全性問題只能用於 SSPR。 如需 Microsoft Entra 自定義安全性問題的詳細資訊，請參閱
允許使用者綁定第三方 OATH 令牌	請參閱 OATH 驗證令牌文件
使用 OATH 令牌作為後備選項	請參閱 OATH 令牌文件
會話逾時
安全性問題頁籤	MFA Server 中的安全性問題可用來取得使用者入口網站的存取權。 Microsoft Entra 多重要素驗證僅支援自助式密碼重設的安全性問題。 請參閱 安全性問題檔。
[已傳遞的會話] 索引標籤	所有驗證方法註冊流程都是由 Microsoft Entra ID 所管理，且不需要設定
信任 IP	Microsoft Entra ID 受信任的 IP 位址

MFA Server 中可用的任何 MFA 方法，都必須透過 Microsoft Entra 多重要素驗證裡的 MFA Service 設定來啟用。 除非已啟用，否則使用者無法嘗試其新移轉的 MFA 方法。

驗證服務

Microsoft Entra 多重要素驗證伺服器可以藉由充當驗證代理，為使用 RADIUS 或 LDAP 的第三方解決方案提供 MFA 功能。 若要探索 RADIUS 或 LDAP 相依性，請選取 [RADIUS 驗證]，然後在 MFA Server 中選取 [LDAP 驗證] 選項。 針對每個相依性，判斷這些第三方是否支援新式驗證。 如果是，請考慮直接與 Microsoft Entra ID 同盟。

針對無法升級的 RADIUS 部署，您必須部署 NPS 伺服器，並安裝 Microsoft Entra 多因素驗證 NPS 擴充功能。

對於無法升級或移至RADIUS的LDAP部署，判斷是否可以使用 Microsoft Entra Domain Services。 在大部分情況下，LDAP 已部署為支援終端使用者的內嵌密碼變更。 移轉之後，終端使用者可以在 Microsoft Entra ID中使用 自助式密碼重設來管理其密碼。

如果您在 AD FS 2.0 中啟用 MFA Server 驗證提供者， 任何信賴憑證者信任，但 Office 365 信賴憑證者信任除外，您必須升級至 AD FS 3.0，或將這些信賴憑證者直接同盟至 Microsoft Entra ID，如果他們支援新式驗證方法。 為每個相依關係確定最佳行動計劃。

備份Microsoft Entra 多重要素驗證伺服器數據檔

請在您的主要 MFA Server 上備份位於 %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata （預設路徑）的數據檔。 確保您有目前已安裝版本的安裝程式複本，以備需要復原時使用。 如果您不再有複本，請連絡客戶支持服務。

視用戶活動而定，數據檔可能會很快過時。 備份後對 MFA Server 所做的任何變更，或使用者透過入口網站所做的任何變更，都不會被捕捉。 如果您復原，則無法恢復此點之後所做的任何變更。

安裝 MFA Server 更新

在主要 MFA 伺服器上執行新的安裝程式。 在升級伺服器之前，請先將其從負載平衡或與其他 MFA 伺服器共用流量的架構中移除。 執行安裝程式之前，您不需要卸載目前的 MFA Server。 安裝程式會使用目前的安裝路徑執行就地升級（例如 C：\Program Files\Multi-Factor Authentication Server）。 如果系統提示您安裝 Microsoft Visual C++ 2015 可轉散發更新套件，請接受提示。 已安裝 x86 和 x64 版本的套件。 不需要安裝使用者入口網站、Web SDK 或 AD FS 配接器的更新。

註

在您於主伺服器上運行安裝程序後，輔助伺服器可能會開始記錄 未處理的 SB 項目。 由於在主伺服器上所進行的架構變更未被輔助伺服器辨識。 這些錯誤是預期的。 在有 10,000 位使用者以上的環境中，記錄項目數量可能會大幅增加。 若要減輕此問題，您可以增加 MFA Server 記錄的檔案大小，或升級輔助伺服器。

設定 MFA 伺服器移轉公用程式

在安裝 MFA 伺服器更新後，開啟具有提升權限的 PowerShell 命令提示字元：將滑鼠懸停在 PowerShell 圖示上，以滑鼠右鍵按一下，然後選取「以系統管理員身分執行」。 執行 。\Configure-MultiFactorAuthMigrationUtility.ps1 在 MFA Server 安裝目錄中找到的腳本（預設為 C：\Program Files\Multi-Factor Authentication Server）。

此腳本會要求您在 Microsoft Entra 租戶中提供應用程式管理員的認證。 它會在 Microsoft Entra ID 內建立新的 MFA Server Migration Utility 應用程式，用來將使用者驗證方法寫入每個Microsoft Entra 用戶物件。

對於想要執行移轉的政府雲端客戶，請將腳本中的「.com」條目替換為“.us”。 此腳本會撰寫 HKLM：\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl 和 GraphUrl 登錄專案，並指示移轉公用程式使用適當的 GRAPH 端點。

您也需要存取下列 URL：

• https://graph.microsoft.com/*（或政府雲端客戶的 https://graph.microsoft.us/*）
• https://login.microsoftonline.com/*（或政府雲端客戶的 https://login.microsoftonline.us/*）

腳本會指示您授予新創建的應用程式管理員同意。 流覽至提供的 URL，或在 Microsoft Entra 系統管理中心內，選取 [應用程式註冊]、尋找並選取 MFA Server Migration Utility 應用程式、選取 [API 許可權]，然後授與適當的許可權。

完成後，流覽至 Multi-Factor Authentication Server 資料夾，然後開啟 MultiFactorAuthMigrationUtilityUI 應用程式。 您應該會看到下列畫面：

您已成功安裝移轉公用程式。

注意

若要確保移轉期間的行為沒有變更，如果您的 MFA Server 與沒有租用戶參考的 MFA 提供者相關聯，您必須更新您要移轉之租用戶的預設 MFA 設定（例如自訂問候語），以符合您 MFA 提供者中的設定。 建議您在移轉任何使用者之前執行這項操作。

執行次要 MFA 伺服器 （選擇性）

如果您的 MFA Server 實作有大量使用者或忙碌的主要 MFA Server，您可以考慮部署專用的次要 MFA Server 來執行 MFA Server 移轉公用程式和移轉同步服務。 升級主要 MFA 伺服器之後，請升級現有的輔助伺服器或部署新的輔助伺服器。 您選擇的輔助伺服器不應該處理其他 MFA 流量。

Configure-MultiFactorAuthMigrationUtility.ps1 腳本應該在輔助伺服器上執行，以在 MFA Server Migration Utility 應用程式註冊憑證。 憑證可用來驗證 Microsoft Graph。 在次要 MFA 伺服器上執行移轉公用程式和同步處理服務，應改善手動和自動化使用者移轉的效能。

移轉用戶數據

移轉用戶數據不會移除或改變 Multi-Factor Authentication Server 資料庫中的任何數據。 同樣地，此程式不會變更使用者執行 MFA 的位置。 此過程是將內部部署伺服器的資料單向複製到 Microsoft Entra ID 中的相對應用戶物件。

MFA Server Migration 公用程式會將所有移轉活動鎖定為單一 Microsoft Entra 群組的目標。 您可以直接將使用者新增至此群組，或新增其他群組。 您也可以在移轉期間分階段新增它們。

若要開始移轉程式，請輸入您想要移轉之Microsoft Entra 群組的名稱或 GUID。 完成後，按 Tab 鍵或選取視窗外，開始搜尋適當的群組。 群組中的所有用戶都已填滿。 大型群組可能需要幾分鐘的時間才能完成。

若要檢視使用者的屬性資料，請選取使用者，然後點擊 檢視：

此視窗會在 Microsoft Entra ID 和內部部署 MFA Server 中顯示所選使用者的屬性。 您可以使用此視窗來檢視在移轉後資料寫入使用者的方式。

[設定] 選項可讓您變更移轉程式的設定：

• Migrate – 有三個選項可用來移轉使用者的預設驗證方法：

  • 永遠移轉
  • 只有在尚未在 Microsoft Entra ID 中設定時才進行遷移
  • 如果尚未在 Microsoft Entra ID 中設定，則設定為最安全的方法

  當您移轉預設方法時，這些選項可提供彈性。 此外，在移轉期間會檢查驗證方法原則。 如果政策不允許設定被移轉的預設方法，則會改為最安全的方法。

• 使用者比對 – 可讓您指定不同的內部部署 Active Directory 屬性來比對 Microsoft Entra UPN，不再預設比對至 userPrincipalName：

  • 移轉工具會先嘗試直接匹配 UPN，再使用內部部署 Active Directory 的屬性。
  • 如果找不到對應項目，系統會呼叫 Windows API 來尋找 Microsoft Entra UPN 並取得 SID，然後用於搜尋 MFA Server 用戶清單。
  • 如果 Windows API 找不到使用者或 MFA Server 中找不到 SID，則會使用已設定的 Active Directory 屬性在內部部署 Active Directory 中尋找使用者，然後使用 SID 來搜尋 MFA Server 使用者清單。

• 自動同步處理 – 啟動背景服務，持續監視內部部署 MFA Server 中使用者的任何驗證方法變更，並在定義的指定時間間隔內將其寫入至Microsoft Entra ID。

• 同步處理伺服器 – 允許 MFA 伺服器移轉同步服務在次要 MFA 伺服器上執行，而不只是在主要伺服器上執行。 若要將移轉同步服務設定為在輔助伺服器上執行，必須在伺服器上執行 Configure-MultiFactorAuthMigrationUtility.ps1 腳本，以便在 MFA Server Migration Utility 應用程式註冊中註冊憑證。 憑證可用來驗證 Microsoft Graph。

移轉程式可以是自動或手動的。

手動過程的步驟如下：

1. 若要開始進行單一使用者或多個使用者的移轉，請在選取您想要移轉的每個使用者時，按住並持續按下 Ctrl 鍵。

2. 選擇所需的使用者之後，請選擇 [[移轉使用者]>[選擇的使用者]>[確定]。

3. 若要移轉群組中的所有使用者，請選取 [[移轉使用者]>[Microsoft Entra 群組中的所有使用者]>[確定]。

4. 即使使用者未變更，您也可以移轉使用者。 根據預設，公用程式會設定為 僅移轉已變更的使用者。 選取 [移轉所有使用者，以重新移轉先前已移轉且未變更的使用者。 如果系統管理員需要重設使用者的Microsoft Entra 多重要素驗證設定，而且想要重新移轉使用者，則移轉未變更的使用者在測試期間可能很有用。

   

針對自動程式，在 [設定]中選取 [自動同步處理]，然後選取是否要同步處理所有使用者，或只選取指定Microsoft Entra 群組的成員。

下表列出各種方法的同步邏輯。

方法	邏輯
電話	如果沒有擴充功能，請更新 MFA 電話。 如果有擴充功能，請更新 Office 電話。 例外狀況：如果預設方法是簡訊，請卸除延伸模組並更新 MFA 電話。
備份電話	如果沒有分機，請更新備用電話。 如果有擴充功能，請更新 Office 電話。 例外狀況：如果電話和備份電話都有擴充功能，請略過備份電話。
行動應用程式	如果使用者也有硬體 OATH 令牌，則最多會移轉五部裝置，或只有四部裝置。 如果有多個具有相同名稱的裝置，則只會移轉最新的裝置。 裝置會從最新到最舊的順序排序。 如果裝置已存在於Microsoft Entra ID中，請匹配OATH令牌密鑰並更新。 - 如果 OATH 令牌的秘密金鑰沒有相符專案，請在裝置令牌上進行比對 -- 如果找到，請為 MFA Server 裝置建立軟體 OATH 令牌，以允許 OATH Token 方法運作。 通知仍可使用現有的Microsoft Entra 多重要素驗證裝置運作。 -- 如果找不到，請建立新的裝置。 如果新增的裝置超過了五個裝置的限制，該裝置會被略過。
OATH 令牌	如果裝置已存在於 Microsoft Entra ID 中，請比對 OATH 令牌秘密密鑰並更新。 - 如果找不到，請新增硬體 OATH 令牌裝置。 如果添加新裝置超過五個裝置的限制，則會略過 OATH 令牌。

MFA 方法會根據已移轉的項目和預設方法進行更新。 MFA Server 會追蹤上次移轉時間戳，而且只有在使用者的 MFA 設定變更或系統管理員修改 設定 對話框中要移轉的專案時，才會再次移轉使用者。

在測試期間，建議您先進行手動移轉，並進行測試，以確保指定的用戶數目如預期般運作。 測試成功之後，請開啟您想要移轉之Microsoft Entra 群組的自動同步處理。 當您將使用者新增至此群組時，其資訊會自動同步至Microsoft Entra 識別碼。 MFA Server Migration Utility 以一個Microsoft Entra 群組為目標，不過該群組可以同時包含使用者和巢狀使用者群組。

完成後，您會收到確認通知，告知已完成的工作：

如確認訊息中所述，移轉的數據可能需要幾分鐘的時間才會出現在Microsoft Entra ID 內的用戶物件上。 用戶可以流覽至 aka.ms/mfasetup來檢視其已移轉的方法。

提示

如果您不需要檢視Microsoft Entra MFA 方法，則可以縮短顯示群組所需的時間。 選取 [檢視>Azure AD MFA 方法]，以切換顯示 AAD 預設、AAD 電話、AAD 替代、AAD Office、AAD 裝置以及 AAD OATH 令牌的欄位。 隱藏數據行時，會略過一些Microsoft Graph API 呼叫，這可大幅改善使用者載入時間。

檢視移轉詳細數據

您可以使用稽核記錄或 Log Analytics 來檢視 MFA Server 到 Microsoft Entra 多重身份驗證使用者移轉的詳細資訊。

使用稽核記錄

若要存取 Microsoft Entra 系統管理中心的稽核記錄來檢視 MFA Server 至 Microsoft Entra 多重要素驗證使用者移轉的詳細資訊，請遵循下列步驟：

1. 以至少 驗證管理員身分登入 Microsoft Entra 管理中心。

2. 瀏覽至 [身分識別>監視 & 健康情況>稽核記錄。 若要篩選記錄，請選取 [[新增篩選]。

   

3. 選取 [由 (執行者) 起始]，然後選取 [套用]。

   

4. 輸入 Microsoft Entra 多重要素驗證管理，然後選取 套用。

   

5. 此篩選只會顯示 MFA 伺服器移轉公用程序記錄。 若要檢視使用者移轉的詳細數據，請選取數據列，然後選擇 [修改的屬性] 索引標籤。此索引標籤會顯示已註冊 MFA 方法和電話號碼的變更。

   

   下表列出每個程式代碼的驗證方法。

   程式碼	方法
   0	語音行動裝置
   2	語音辦公室
   3	語音替代行動裝置
   5	短信
   6	Microsoft Authenticator 推播通知
   7	硬體或軟體令牌 OTP

6. 如果有移轉任何使用者裝置，則會有單獨的記錄項目。

   

使用 Log Analytics

您也可以使用 Log Analytics 查詢從 MFA Server 遷移到 Microsoft Entra 的多重要素驗證使用者的詳細資訊。

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc

這個螢幕快照顯示使用者移轉的變更：

這個螢幕快照顯示裝置移轉的變更：

Log Analytics 也可用來摘要使用者移轉活動。

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)

驗證和測試

成功移轉用戶數據之後，您就可以使用分階段推出來驗證終端用戶體驗，然後再進行全域租戶變更。 下列程式可讓您以 MFA 分段推出的特定Microsoft Entra 群組為目標。 分段推出會告訴Microsoft Entra ID 對目標群組中的使用者使用 Microsoft Entra 多重要素驗證來執行 MFA，而不是將它們傳送至內部部署來執行 MFA。 您可以驗證及測試—建議您使用 Microsoft Entra 系統管理中心，但如果您想要的話，您也可以使用 Microsoft Graph。

啟用分段推出

1. 瀏覽至下列 URL：啟用分段推出功能 - Microsoft Azure。

2. 將 Azure 多重要素驗證 變更為 on，然後選取 [管理群組]。

   

3. 選取 [新增群組]，然後新增包含您希望啟用 Microsoft Entra 多重要素驗證的使用者的群組。 選取的群組會出現在顯示的清單中。

   注意

   您以下列Microsoft Graph 方法為目標的任何群組也會出現在此清單中。

   

使用 Microsoft Graph 啟用分段推出

1. 建立功能推出政策

   1. 流覽至 aka.ms/ge，並使用您想要為分段推出進行設定的租使用者中的混合身分識別系統管理員帳戶登入 Graph Explorer。

   2. 確定已選取以下列端點為目標的 POST：https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies

   3. 您的要求本文應包含下列內容（將 MFA 推行政策 更改為貴組織的名稱和描述）：

      {
           "displayName": "MFA rollout policy",
           "description": "MFA rollout policy",
           "feature": "multiFactorAuthentication",
           "isEnabled": true,
           "isAppliedToOrganization": false
      }
      

      

   4. 使用相同的端點執行 GET，並記下 代號 的值（下圖中已劃掉）：

      

2. 以包含您想要測試之使用者的 Microsoft Entra 群組為目標

   1. 使用下列端點建立 POST 要求（以您從步驟 1d 複製的 標識符 值取代 {ID of policy} ：

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref

   2. 請求的主體應包含以下內容（將 {ID of group} 替換為您打算用於分批推出的目標群組的物件識別碼）：

      {
      "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}"
      }
      

   3. 針對您想要以分段推出為目標的任何其他群組重複步驟 a 和 b。

   4. 您可以針對下列 URL 執行 GET 來檢視目前的原則：

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo

      上述程式會使用 featureRolloutPolicy 資源。 公共文件尚未更新新的多因素驗證功能，但其中包含有關如何與 API 互動的詳細資訊。

3. 確認最終使用者的 MFA 體驗。 以下是一些要檢查的事項：

   1. 使用者是否在 aka.ms/mfasetup中看到其方法？
   2. 使用者是否會收到電話/簡訊？
   3. 他們是否能夠使用上述方法成功進行驗證？
   4. 使用者是否成功收到驗證器通知？ 他們是否能夠核准這些通知？ 驗證是否成功？
   5. 使用者是否能夠成功使用硬體 OATH 令牌進行驗證？

教育使用者

確保使用者知道移轉至Microsoft Entra 多重要素驗證時預期的情況，包括新的驗證流程。 您也可以指示使用者在移轉完成後，使用 Microsoft Entra ID 結合註冊入口網站（aka.ms/mfasetup）來管理他們的驗證方法，而不是使用使用者入口網站。 Microsoft Entra ID 中對驗證方法所做的任何變更都不會傳播回您的內部部署環境。 在必須回復至 MFA Server 的情況下，使用者在 Microsoft Entra ID 中所做的任何變更，將無法在 MFA Server 使用者入口網站中顯示。

如果您使用依賴 Microsoft Entra 多因素驗證伺服器的第三方解決方案進行驗證（請參閱 驗證服務），您應該讓使用者繼續在使用者入口網站中修改其 MFA 方法。 這些變更會自動同步至Microsoft Entra ID。 移轉這些第三方解決方案之後，您可以將使用者移至 Microsoft Entra ID 合併註冊頁面。

完成使用者移轉

重複移轉步驟，移轉用戶數據 和 驗證和測試 區段，直到移轉所有用戶數據為止。

移轉 MFA 伺服器相依性

使用您在 驗證服務中所收集的數據點，開始執行所需的各種遷移。 完成之後，請考慮讓使用者在合併註冊入口網站中管理其驗證方法，而不是在 MFA 伺服器上的使用者入口網站中管理。

更新網域同盟設定

完成使用者移轉，並將所有 驗證服務 移出 MFA Server 之後，就可以更新網域同盟設定。 更新之後，Microsoft Entra 不再將 MFA 要求傳送至內部部署同盟伺服器。

若要將 Microsoft Entra ID 設定為忽略內部部署同盟伺服器的 MFA 要求，請安裝 Microsoft Graph PowerShell SDK，並將 federatedIdpMfaBehavior 設定為 ，如下列範例所示。

請求

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

回應

注意

此處所示的回應物件可能會縮短以提高可讀性。

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

使用者不會再重新導向至 MFA 的內部部署同盟伺服器，不論其是否以分段推出工具為目標。 請注意，這最多可能需要 24 小時才會生效。

注意

網域同盟設定的更新最多可能需要 24 小時才會生效。

選擇性：停用 MFA Server 使用者入口網站

完成移轉所有用戶數據之後，終端使用者就可以開始使用 Microsoft Entra ID 合併註冊頁面來管理 MFA 方法。 有幾個方法可防止使用者在 MFA Server 中使用使用者入口網站：

• 將 MFA Server 使用者入口網站 URL 重新導向至 aka.ms/mfasetup
• 取消勾選 MFA Server [使用者入口網站] 區段中的 [設定] 索引標籤下的 [允許使用者登入] 複選框，以阻止使用者登入入口網站。

停用 MFA 伺服器

當您不再需要 Microsoft Entra 多重身份驗證伺服器時，請遵循您的一般伺服器停用做法。 Microsoft Entra ID 中不需要採取任何特殊動作，以表示 MFA Server 的淘汰。

復原方案

如果升級發生問題，請遵循下列步驟來復原：

1. 卸載 MFA Server 8.1。

2. 用升級前的備份取代 PhoneFactor.pfdata。

   注意

   備份後進行的任何變更都會遺失，但如果在升級前立即進行備份且升級未成功，這些改變應該會非常少。

3. 執行舊版的安裝程式（例如 8.0.x.x）。

4. 設定 Microsoft Entra ID，以接收來自內部部署同盟伺服器的 MFA 要求。 使用 Graph PowerShell 將 federatedIdpMfaBehavior 設定為 ，如下列範例所示。

   要求

   PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
   Content-Type: application/json
   {
     "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
   }
   

   下列回應物件為了可讀性而縮短。

   回應

   HTTP/1.1 200 OK
   Content-Type: application/json
   {
     "@odata.type": "#microsoft.graph.internalDomainFederation",
     "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
      "issuerUri": "http://contoso.com/adfs/services/trust",
      "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
      "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
      "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
      "preferredAuthenticationProtocol": "wsFed",
      "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
      "signOutUri": "https://sts.contoso.com/adfs/ls",
      "promptLoginBehavior": "nativeSupport",
      "isSignedAuthenticationRequestRequired": true,
      "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
      "signingCertificateUpdateStatus": {
           "certificateUpdateResult": "Success",
           "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
       },
      "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
   }
   

將 Microsoft Entra 多重要素驗證的分段推出 設定為 關閉。 使用者會再次被重新導向至您內部部署的同盟伺服器以進行 MFA。

後續步驟

• 如何從 MFA Server 遷移至Microsoft Entra 多重要素驗證的概觀
• 使用分段推出 移轉至雲端驗證