Microsoft Entra 多重要素驗證的常見問題

使用多重要素驗證伺服器時，用戶數據只會儲存在內部部署伺服器上。 雲端中不會儲存任何持續性的使用者資料。 當使用者執行雙步驟驗證時，Multifactor Authentication Server 會將數據傳送至 Microsoft Entra 多重要素驗證雲端服務以進行驗證。 多重要素驗證伺服器與多重要素驗證雲端服務之間的通訊會透過埠 443 輸出使用安全套接字層 （SSL） 或傳輸層安全性 （TLS）。

驗證要求傳送至雲端服務時，會收集資料以用於驗證和使用方式報告。 雙步驟驗證記錄中包含的資料欄位如下：

• 唯一識別碼 （使用者名稱或內部部署多重要素驗證伺服器識別碼）
• 名字和姓氏 (選擇性)
• 電子郵件地址 (選擇性)
• 電話號碼 (使用語音電話或簡訊驗證時)
• 裝置權杖 (執行行動應用程式驗證時)
• 驗證模式
• 驗證結果
• 多重要素驗證伺服器名稱
• 多重要素驗證伺服器 IP
• 用戶端 IP (如果有的話)

選擇性字段可以在 Multifactor Authentication Server 中設定。

驗證結果 (成功或拒絕) 和拒絕原因會與驗證資料一起儲存。 可在驗證和使用方式報告中取得此資料。

如需詳細資訊，請參閱 Microsoft Entra 多重要素驗證的資料落地和客戶資料。

在北美洲，我們會使用下列簡短代碼：

• 97671
• 69829
• 51789
• 99399

在加拿大，我們會使用下列簡短代碼：

• 759731
• 673801

我們不保證相同號碼會提供一致的文字簡訊或語音形式的多重要素驗證提示傳遞。 為了使用者的利益，我們可能會在調整路由來改善文字簡訊傳遞能力時，隨時新增或移除簡短代碼。

我們不支援北美洲和加拿大以外之國家/區域的簡短碼。

是，在某些情況下，通常涉及短時間內重複的驗證要求，Microsoft Entra 多重要素驗證會節流使用者登入嘗試保護電信網路、減輕 MFA 疲勞樣式的攻擊，並保護其自己的系統，以利於所有客戶。

雖然我們不共用特定的節流限制，但它們是以合理的使用為基礎。

否，透過 Microsoft Entra 多重要素驗證撥打個別電話或傳送簡訊給使用者不需要支付費用。 如果您使用的 MFA 提供者是以驗證次數計費，則您需要為每次驗證支付費用，但無須支付使用方式的費用。

根據不同的個人電話服務，您的使用者可能需要為接聽的電話或收到的簡訊支付費用。

無論使用者是否在該月執行雙步驟驗證，計費是以設定要使用多重要素驗證的使用者數量作為基礎。

當您建立每個使用者或每個授權的 MFA 提供者時，貴組織的 Azure 訂用帳戶會以使用方式每個月計費作為基礎。 此計費模式類似虛擬機器或 Web Apps 使用 Azure 的計費方式。

若購買 Microsoft Entra 多重要素驗證的訂用帳戶，貴組織僅支付每位使用者的年度授權費用。 MFA 授權和 Microsoft 365、Microsoft Entra ID P1 或 P2，或 Enterprise Mobility + Security 套件組合會以這種方式計費。

如需詳細資訊，請參閱如何取得 Microsoft Entra 多重要素驗證。

安全性預設值可以在 Microsoft Entra ID 免費層中啟用。 使用安全性預設值時，所有使用者都會使用 Microsoft Authenticator 應用程式來啟用多重要素驗證。 您無法將文字簡訊或電話驗證與安全性預設值搭配使用，單純只是 Microsoft Authenticator 應用程式。

如需詳細資訊，請參閱什麼是安全性預設值？

如果貴組織購買的 MFA 是使用量計費型獨立服務，則您可以在建立 MFA 提供者時選擇計費模式。 建立 MFA 提供者之後，您就無法變更計費模式。

若 MFA 提供者未連結至 Microsoft Entra 租用戶，或是您將新的 MFA 提供者連結至不同 Microsoft Entra 租用戶，則使用者設定和組態選項不會進行轉移。 此外，現有 MFA 伺服器也需要使用新 MFA 提供者產生的啟用認證重新啟動。 重新啟用 MFA 伺服器以將其連結至新的 MFA 提供者不會影響電話和簡訊驗證，但行動應用程式通知會停止為所有用戶運作，直到他們重新啟用行動應用程式為止。

在開始使用 Azure 多重要素驗證提供者中深入了解 MFA 提供者。

在某些情況下，是的。

若目錄有依每位使用者計費的 Microsoft Entra 多重要素驗證提供者，您可以新增 MFA 授權。 擁有授權的使用者不會根據每位使用者使用量計費。 沒有授權的使用者仍可透過 MFA 提供者啟用 MFA。 若購買授權並將其指派給所有設定使用多重要素驗證的使用者，即可刪除 Microsoft Entra 多重要素驗證提供者。 如果您之後會有多於授權的使用者，您隨時都可以建立其他根據使用者計費的 MFA 提供者。

如果目錄有依每次驗證計費的 Microsoft Entra 多重要素驗證提供者，只要您的 MFA 提供者與訂用帳戶連結，就一律要為每次驗證支付費用。 您可以將 MFA 授權指派給使用者，但您仍需要為每次雙步驟驗證要求支付費用，無論發出此要求的人是否擁有指派的 MFA 授權。

如果貴組織使用根據使用量計費的模型，則 Microsoft Entra ID 為選擇性項目，並非必要。 如果您的 MFA 提供者未連結至Microsoft Entra 租使用者，您就只能部署 Azure Multifactor Authentication Server 內部部署。

授權模式需要 Microsoft Entra ID，因為若購買授權並指派給目錄中的使用者，系統會將授權加入 Microsoft Entra 租用戶。

請使用者在 5 分鐘內最多嘗試 5 次進行電話通話或文字簡訊的驗證。 Microsoft 會使用多個提供者提供通話及文字簡訊。 如果此方法不成功，請建立支援案例來進行後續疑難排解。

協力廠商安全性應用程式可能也會封鎖驗證碼文字簡訊或電話通話。 如果使用協力廠商安全性應用程式，請嘗試停用保護，然後再要求傳送另一個 MFA 驗證碼。

如果先前的步驟無法運作，請檢查使用者是否已設定多個驗證方法。 請他們嘗試再次登入，但在登入頁面上選取不同的驗證方法。

如需詳細資訊，請參閱使用者疑難排解指南。

您可以讓使用者再次進行註冊程序，以重設使用者的帳戶。 深入了解透過 Microsoft Entra 多重要素驗證在雲端上管理使用者和裝置設定。

請刪除該使用者的所有應用程式密碼，以防止未經授權的存取。 當使用者有替代裝置後，他們可以重新建立密碼。 深入了解透過 Microsoft Entra 多重要素驗證在雲端上管理使用者和裝置設定。

如果貴組織仍然使用舊版的用戶端，但您已允許使用應用程式密碼，則您的使用者無法使用他們的使用者名稱和密碼登入這些舊版用戶端。 相反地，他們需要設定應用程式密碼。 您的使用者必須先清除 (刪除) 登入資訊、重新啟動應用程式，然後使用他們的使用者名稱和應用程式密碼 (不是他們慣用的密碼) 登入。

如果貴組織沒有舊版用戶端，則不應該允許使用者建立應用程式密碼。

無法保證文字簡訊的傳遞，因為無法控制的因素可能會影響服務的可靠性。 這些因素包含目的地國家或地區、行動電話電訊廠商和訊號強度。

協力廠商安全性應用程式可能也會封鎖驗證碼文字簡訊或電話通話。 如果使用協力廠商安全性應用程式，請嘗試停用保護，然後再要求傳送另一個 MFA 驗證碼。

如果您的使用者經常無法收到簡訊，請他們改用 Microsoft Authenticator 應用程式或撥打電話的方式。 Microsoft Authenticator 可以透過行動數據和 Wi-Fi 連線接收通知。 此外，即使裝置收不到訊號，行動應用程式可以產生驗證碼。 Microsoft Authenticator 應用程式適用於 Android、iOS 和 Windows Phone。

在某些情況下是可以的。

若為具有 MFA Server v7.0 或更高版本的單向 SMS，您可以設定登錄機碼來設定逾時設定。 MFA 雲端服務傳送文字訊息之後，驗證碼 (或單次密碼) 就會傳回 MFA 伺服器。 依預設，MFA 伺服器會將程式碼儲存在記憶體中達 300 秒。 如果使用者在 300 秒內未輸入代碼，則他們的驗證會遭到拒絕。 若要變更預設逾時設定，請使用下列步驟：

1. 移至 HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor。
2. 建立名為 pfsvc_pendingSmsTimeoutSeconds 的 DWORD 登錄機碼，並設定您希望 MFA 伺服器儲存單次密碼的時間 (以秒為單位)。

如果使用者未在定義的逾時期限內回應簡訊，其驗證就會遭到拒絕。

對於雲端中具有 Microsoft Entra 多重要素驗證的單向 SMS (包括 AD FS 配接器或網路原則伺服器擴充功能)，您無法設定逾時設定。 Microsoft Entra ID 會儲存驗證碼 180 秒。

如果您使用多重要素驗證伺服器，您可以匯入第三方開放式驗證 （OATH） 時間型、單次密碼 （TOTP） 令牌，然後使用它們進行雙步驟驗證。

如果您將秘密金鑰放在 CSV 檔案中，並匯入多重要素驗證伺服器，您可以使用 OATH TOTP 令牌的 ActiveIdentity 令牌。 只要用戶端系統可接受使用者輸入，您就可以搭配下列服務來使用 OATH 權杖：Active Directory Federation Services (ADFS)、Internet Information Server (IIS) 表單型驗證，以及遠端驗證撥號使用者服務 (RADIUS)。

您可以匯入下列格式的第三方 OATH TOTP 權杖︰

• 可攜式對稱金鑰容器 (PSKC)
• 如果檔案包含序號、Base 32 格式的秘密金鑰和時間間隔，則為 CSV

是，但如果您使用的是 Windows Server 2012 R2 或更新版本，則只能使用遠端桌面閘道 (RD 閘道) 來保護終端機服務。

Windows Server 2012 R2 中的安全性變更改變了多重要素驗證伺服器如何連線到 Windows Server 2012 和舊版的本機安全性授權單位 （LSA） 安全性套件。 對於 Windows Server 2012 或較舊版本中的終端機服務版本，您可以使用 Windows 驗證來保護應用程式。 如果您使用 Windows Server 2012 R2，則需要 RD 閘道。

當多重要素驗證通話透過公用電話網路進行時，有時會透過不支援來電者標識碼的電信業者路由傳送。 因為此電信業者行為，即使多重要素驗證系統一律會傳送來電顯示號碼，但並不保證一定會顯示來電號碼。

使用者收到須註冊安全性資訊的原因有下列幾項︰

• 使用者已透過其在 Microsoft Entra ID 中的管理員啟用 MFA，但尚未在其帳戶中註冊安全性資訊。
• 使用者已在 Microsoft Entra ID 中啟用自助式密碼重設。 如果他們之後忘記密碼，安全性資訊將會協助他們重設密碼。
• 使用者存取具有條件式存取原則的應用程式來要求 MFA，但先前未註冊過 MFA。
• 使用者正在透過 Microsoft Entra ID (包括 Microsoft Entra Join) 註冊裝置，而貴組織要求使用 MFA 進行裝置註冊，但使用者先前未註冊過 MFA。
• 使用者正在 Windows 10 上註冊 Windows Hello 企業版 (需使用 MFA)，但先前未註冊過 MFA。
• 組織建立已套用至使用者的 MFA 註冊原則並加以啟用。
• 使用者先前已註冊過 MFA，但選擇的驗證方法已由系統管理員停用。 使用者必須因此再次進行 MFA 註冊，以選取新的預設驗證方法。

請使用者完成下列程序，從 Microsoft Authenticator 移除其帳戶，然後再次新增：

1. 請移至其帳戶設定檔，並使用組織帳戶登入。
2. 選取 [其他安全性驗證]。
3. 從 Microsoft Authenticator 應用程式中移除現有的帳戶。
4. 選取 [設定]，然後依照指示重新設定 Microsoft Authenticator。

0x800434D4L 錯誤會在您嘗試登入安裝在本機電腦上的非Rowser 應用程式時發生，該應用程式不適用於需要雙步驟驗證的帳戶。

此錯誤的因應措施是針對系統管理員相關和非系統管理員作業有個別的用戶帳戶。 稍後，您可以在系統管理員帳戶與非系統管理員帳戶之間連結信箱，以便使用您的非系統管理員帳戶登入 Outlook。 如需這個解決方案的詳細資訊，請了解如何讓系統管理員能夠開啟及檢視使用者信箱的內容。

錯誤 1073741715 = 狀態登入失敗 -> 嘗試的登入無效。 這是使用者名稱或驗證錯誤所致。

此錯誤的合理原因：如果輸入的主要認證正確，則 MFA 伺服器與網域控制站上支援的 NTLM 版本可能不相符。 MFA Server 僅支援 NTLMv1 （LmCompatabilityLevel=1 到 4），而不是 NTLMv2 （LmCompatabilityLevel=5）。

下一步

如果您的問題在此沒有得到解答，則可以使用下列支援選項：

• 在 Microsoft 支援知識庫搜尋常見技術問題的解決方案。
• 在 Microsoft Entra Q&A 中，搜尋及瀏覽來自社群的技術問題與解答，或是提出您的問題。
• 透過 多重要素驗證伺服器支援連絡Microsoft專業人員。 連絡我們時，請盡量包含有關問題的最多資訊，這樣會十分有幫助。 您可以提供的資訊包含您看到錯誤的頁面、特定錯誤碼、特定工作階段識別碼，以及看到錯誤的使用者的識別碼。