滿足 Microsoft Entra ID 多重要素驗證 (MFA) 控制要求，採用來自聯邦身份提供者的 MFA 宣告。

本檔概述 Microsoft Entra ID 所需的主張，來自 聯合身份提供者 (IdP)，以遵循已配置的 federatedIdpMfaBehaviour 值，包括 acceptIfMfaDoneByFederatedIdp 和 enforceMfaByFederatedIdp，以進行安全性斷言標記語言 (SAML) 和 WS-Fed 聯合。

提示

使用同盟 IdP 設定Microsoft Entra 識別碼 選擇性。 Microsoft Entra 建議使用在 Microsoft Entra 身分識別中提供的 驗證 方法。

• Microsoft Entra ID 包含先前僅透過同盟 IdP 提供的驗證方法支援，例如具有 Entra Certificate Based Authentication 的憑證/智慧卡
• Microsoft Entra ID 包含整合第三方 MFA 提供者與 外部驗證方法的支援
• 使用與聯邦身份提供者整合的應用程式可以直接與 Microsoft Entra ID 整合。

使用 WS-Fed 或 SAML 1.1 聯邦 IdP

當系統管理員選擇性地設定其Microsoft Entra ID 租使用者以使用 同盟 IdP 使用 WS-Fed 同盟時，Microsoft Entra 會重新導向至 IdP 以進行驗證，並以包含 SAML 1.1 判斷提示的要求安全性令牌回應 （RSTR） 形式來預期回應。 如果配置為這樣，Microsoft Entra 如果存在以下兩個宣告之一，將接受由 IdP 完成的多因素驗證 (MFA)：

• http://schemas.microsoft.com/claims/multipleauthn
• http://schemas.microsoft.com/claims/wiaormultiauthn

它們可以包含在斷言中，作為 AuthenticationStatement 元素的一部分。 例如：

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

或者，它們可以包含在斷言中，作為 AttributeStatement 元素的一部分。 例如：

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

搭配 WS-Fed 或 SAML 1.1 來使用登入頻率與會話控制的條件式存取原則

登入頻率 使用 UserAuthenticationInstant（SAML 斷言 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant），這是使用密碼進行 SAML1.1/WS-Fed 的第一要素驗證的 AuthInstant。

使用 SAML 2.0 聯合 IdP

當系統管理員選擇性地使用 SAMLP/SAML 2.0 同盟標識符 租使用者設定其Microsoft Entra 標識符租使用者，並預期包含 SAML 2.0 判斷提示的回應時，Microsoft Entra 會重新導向至 Id P 以進行驗證，並預期會有包含 SAML 2.0 判斷提示的回應。 輸入 MFA 數據聲明必須存在於 AuthnContext的 AuthnStatement 元素中。

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

因此，若要讓來自外部的 MFA 聲明由 Microsoft Entra 處理，它們 必須存在於 的 元素中。 只有一種方法可以以這種方式呈現。

使用 SAML 2.0 的登入頻率和會話控制條件式存取原則

登入頻率 使用在 AuthnStatement中提供的 MFA 或第一因素驗證的 AuthInstant。 在載體 AttributeReference 區段內共用的任何斷言會被忽略，包括 http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant。

相關內容

federatedIdpMfaBehaviour