什麼時候使用 Microsoft Entra 多重要素驗證提供者
重要
自 2018 年 9 月 1 日起,不再建立新的驗證提供者。 現有的驗證提供者可以繼續使用和更新,但再也無法進行移轉。 多重要素驗證將繼續為 Microsoft Entra ID P1 或 P2 授權中的可用功能。
依預設,Microsoft Entra ID 和 Microsoft 365 當中使用者的管理員可以使用雙步驟驗證。 不過,如果您想要利用進階功能,則應該使用條件式存取來啟用Microsoft Entra 多重要素驗證。 如需詳細資訊,請參閱常見的條件式存取原則:要求所有使用者都使用 MFA。
Microsoft Entra 多重要素驗證提供者可讓沒有授權的使用者能夠充分利用 Microsoft Entra 多重要素驗證提供的功能。
Azure MFA SDK 的相關注意事項
請注意,該 SDK 已遭取代,只會繼續運作到 2018 年 11 月 14 日為止。 在這個時間之後,對 SDK 的呼叫將會失敗。
什麼是 MFA Provider?
驗證提供者的類型有兩種,差異在於您 Azure 訂用帳戶的收費方式。 每次驗證選項會計算一個月中對您的租用戶執行之驗證數目。 如果某些帳戶只會偶爾進行驗證,則此選項是最佳選項。 每一使用者選項會計算有資格執行 MFA 的帳戶數目 (也就是 Microsoft Entra ID 中的所有帳戶),以及 MFA Server 中的所有已啟用帳戶。 如果某些使用者已擁有授權,但是您需要將 MFA 擴充至您授權限制之外的更多使用者,最好使用此選項。
管理 MFA Provider
建立 MFA 提供者之後,您就無法變更使用量模型 (依據已啟用的使用者或依據驗證)。
如果您購買的授權已足夠讓啟用 MFA 的所有使用者使用,您可以一併刪除 MFA 提供者。
如果您的 MFA 提供者未連結至 Microsoft Entra 租用戶,或是您將新的 MFA 提供者連結至不同 Microsoft Entra 租用戶,則使用者設定和組態選項不會進行轉移。 此外,現有 Azure MFA 伺服器也需要使用 MFA 提供者產生的啟用認證重新啟動。
移除驗證提供者
警告
刪除驗證提供者時,沒有任何確認。 選取 [刪除] 是永久性流程。
您可以在 Microsoft Entra 系統管理中心找到驗證提供者。 至少以驗證原則管理員登入。 瀏覽至[資料保護]>[多重要素驗證]>[提供者]。 按一下列出的提供者,以查看與該提供者相關聯的詳細資料和設定。
在移除驗證提供者之前,請記下在提供者中所設定的任何自訂設定。 決定需要將哪些設定移轉至提供者中的一般 MFA 設定,並完成這些設定的移轉。
連結至提供者的 Azure MFA 伺服器必須使用在 伺服器設定下產生的認證來重新啟動。 在重新啟動之前,必須先從環境中 Azure MFA 伺服器上的 \Program Files\Multi-Factor Authentication Server\Data\ 目錄中刪除下列檔案:
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
確認已遷移所有設定之後,請流覽至 [提供者] ,然後選取省略號...,然後選取 [刪除]。
警告
刪除驗證提供者將會刪除與該提供者相關聯的任何報告資訊。 在刪除您的提供者之前,您可能會想要儲存活動報告。
注意
具有舊版 Microsoft Authenticator 應用程式和 Azure MFA 伺服器的使用者可能需要重新註冊其應用程式。