什麼時候使用 Microsoft Entra 多重要素驗證提供者
重要
自 2018 年 9 月 1 日起,可能不會再建立新的驗證提供者。 現有的驗證提供者可以繼續使用和更新,但再也無法進行移轉。 多重要素驗證會繼續以 Microsoft Entra ID P1 或 P2 授權中的功能的形式提供。
依預設,Microsoft Entra ID 和 Microsoft 365 當中使用者的管理員可以使用雙步驟驗證。 不過,如果您想要利用進階功能,則應該使用條件式存取來啟用Microsoft Entra 多重要素驗證。 如需詳細資訊,請參閱常見的條件式存取原則:要求所有使用者都使用 MFA。
Microsoft Entra 多重要素驗證提供者可讓沒有授權的使用者能夠充分利用 Microsoft Entra 多重要素驗證提供的功能。
與 Microsoft Entra 多重要素驗證 SDK 相關的注意事項
請注意,SDK 已被取代,且對 SDK 的呼叫會在 2018 年 11 月 14 日之後失敗
什麼是 MFA Provider?
驗證提供者的類型有兩種,差異在於您 Azure 訂用帳戶的收費方式。 每次驗證選項會計算一個月中對您的租用戶執行之驗證數目。 如果某些帳戶只會偶爾進行驗證,則此選項是最佳選項。 每一使用者選項會計算有資格執行 MFA 的帳戶數目 (也就是 Microsoft Entra ID 中的所有帳戶),以及 MFA Server 中的所有已啟用帳戶。 如果某些使用者已擁有授權,但是您需要將 MFA 擴充至您授權限制之外的更多使用者,最好使用此選項。
管理 MFA Provider
建立 MFA 提供者之後,您就無法變更使用量模型 (依據已啟用的使用者或依據驗證)。
如果您購買的授權已足夠讓啟用 MFA 的所有使用者使用,您可以一併刪除 MFA 提供者。
如果您的 MFA 提供者未連結至 Microsoft Entra 租用戶,或是您將新的 MFA 提供者連結至不同 Microsoft Entra 租用戶,則使用者設定和組態選項不會進行轉移。 此外,現有的Microsoft Entra 多重要素驗證伺服器必須使用透過 MFA 提供者產生的啟用認證來重新啟用。
移除驗證提供者
警告
刪除驗證提供者時不會有確認提示。 選取 [刪除] 是永久性流程。
您可以在 Microsoft Entra 系統管理中心找到驗證提供者。 至少以驗證原則管理員登入。 瀏覽至[資料保護]>[多重要素驗證]>[提供者]。 按一下列出的提供者,以查看與該提供者相關聯的詳細資料和設定。
在移除驗證提供者之前,請記下在提供者中所設定的任何自訂設定。 決定需要將哪些設定移轉至提供者中的一般 MFA 設定,並完成這些設定的移轉。
必須重新啟用與提供者相連的 Microsoft Entra 多重驗證伺服器,並使用在 伺服器設定中產生的憑證。 在重新啟用之前,必須在您環境中的 Microsoft Entra 多重要素驗證伺服器上,從 \Program Files\Multi-Factor Authentication Server\Data\ 目錄中刪除下列檔案:
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
確認已遷移所有設定之後,請流覽至 [提供者] ,然後選取省略號...,然後選取 [刪除]。
警告
刪除驗證提供者會刪除與該提供者相關聯的任何報告資訊。 在刪除您的提供者之前,您可能會想要儲存活動報告。
注意
具有舊版 Microsoft Authenticator 應用程式和 Microsoft Entra 多重要素驗證伺服器的使用者可能需要重新註冊其應用程式。