啟用個別使用者的Multi-Factor Authentication - Azure

當個別為使用者啟用時，這些使用者就會在每次登入時執行多重要素驗證(但有一些例外，例如當其從信任的IP 位址登入時，或開啟了記住受信任裝置上的MFA 功能 ... 跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 啟用每一使用者AzureADMulti-FactorAuthentication來保護登入事件 發行項 05/02/2022 24位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 若要在AzureAD中保護使用者登入事件，您可以要求多重要素驗證(MFA)。

使用條件式存取原則來啟用AzureADMulti-FactorAuthentication，是保護使用者的建議方法。

條件式存取是一項AzureADPremiumP1或P2功能，可讓您套用規則，以視需要在某些情況下要求MFA。

若要開始使用條件式存取，請參閱教學課程：使用AzureADMulti-FactorAuthentication保護使用者登入事件。

針對未使用條件式存取的AzureAD免費租用戶，您可以使用安全性預設值來保護使用者。

系統會視需要提示使用者進行MFA，但您無法定義自己的規則來控制行為。

如有需要，您可以改為為每個帳戶啟用每一使用者AzureADMulti-FactorAuthentication。

當個別為使用者啟用時，這些使用者就會在每次登入時執行多重要素驗證(但有一些例外，例如當其從信任的IP位址登入時，或開啟了記住受信任裝置上的MFA功能時)。

除非您的AzureAD授權未包含條件式存取，而且您不想要使用安全性預設值，否則不建議變更使用者狀態。

如需啟用MFA的不同方式的詳細資訊，請參閱AzureADMulti-FactorAuthentication的功能和授權。

重要 本文將詳細說明如何檢視和變更每一使用者AzureADMulti-FactorAuthentication的狀態。

如果您使用條件式存取或安全性預設值，則不會使用這些步驟來檢閱或啟用使用者帳戶。

透過條件式存取原則啟用AzureADMulti-FactorAuthentication不會變更使用者的狀態。

如果使用者顯示為已停用，請不要驚慌。

條件式存取不會變更狀態。

如果您使用條件式存取原則，則請勿啟用或強制每一使用者AzureADMulti-FactorAuthentication。

AzureADMulti-FactorAuthentication使用者狀態 使用者的狀態會反映管理員是否已為其註冊使用每一使用者AzureADMulti-FactorAuthentication。

AzureADMulti-FactorAuthentication中的使用者帳戶具有下列三種不同狀態： 州 描述 受影響的舊版驗證 受影響的瀏覽器應用程式 受影響的新式驗證 已停用 未註冊使用每一使用者AzureADMulti-FactorAuthentication的使用者的預設狀態。

否 否 否 啟用 使用者已註冊使用每一使用者AzureADMulti-FactorAuthentication，但仍可使用其密碼進行舊版驗證。

如果使用者尚未註冊使用MFA驗證方法，則會在下一次使用新式驗證登入時(例如透過網頁瀏覽器)收到註冊的提示。

不會。

舊版驗證可繼續運作，直到註冊程序完成為止。

是的。

工作階段到期之後，必須進行AzureADMulti-FactorAuthentication註冊。

是的。

存取權杖到期之後，必須進行AzureADMulti-FactorAuthentication註冊。

已強制 系統會在AzureADMulti-FactorAuthentication中依每一使用者註冊使用者。

如果使用者尚未註冊使用驗證方法，則會在下一次使用新式驗證登入時(例如透過網頁瀏覽器)收到註冊的提示。

在[已啟用]狀態下完成註冊的使用者會自動移至[已強制]狀態。

是。

應用程式需要應用程式密碼。

是。

登入時需要AzureADMulti-FactorAuthentication。

是的。

登入時需要AzureADMulti-FactorAuthentication。

所有使用者一開始都是「已停用」狀態。

為使用者註冊使用每一使用者AzureADMulti-FactorAuthentication時，其狀態會變更為[已啟用]。

當已啟用的使用者登入並完成註冊程序之後，他們的狀態就會變更為「已強制」。

管理員可以將使用者在狀態之間移動，包括從[已強制]到[已啟用]或[已停用]。

注意 如果已為使用者重新啟用每一使用者MFA，且使用者未重新註冊，其MFA狀態不會在MFA管理UI中從[已啟用]轉換成[已強制]。

管理員必須直接將使用者移至[已強制]。

檢視使用者的狀態 若要檢視和管理使用者狀態，請完成下列步驟以存取Azure入口網站頁面： 以全域管理員身分登入Azure入口網站。

搜尋並選取[AzureActiveDirectory]，然後選取[使用者]>[所有使用者]。

選取[每一使用者MFA]。

您可能必須捲動到右邊才能看到此功能表選項。

選取以下的範例螢幕擷取畫面，以查看完整的Azure入口網站視窗和功能表位置： 隨即開啟新的頁面，其中顯示使用者狀態，如下列範例所示。

變更使用者的狀態 若要變更使用者的每一使用者AzureADMulti-FactorAuthentication狀態，請完成下列步驟： 使用先前的步驟來檢視使用者的狀態，以進入AzureADMulti-FactorAuthentication的[使用者]頁面。

尋找您要啟用每一使用者AzureADMulti-FactorAuthentication的使用者。

您可能需要將頂端的檢視變更為[使用者]。

核取要變更其狀態的使用者名稱旁方塊。

在右側的[快速步驟]下，選擇[啟用]或[停用]。

在下列範例中，使用者JohnSmith的名稱旁邊有核取方塊，並將予以啟用： 提示 [已啟用]的使用者會在註冊使用AzureADMulti-FactorAuthentication時，自動切換為[已強制]。

請勿手動將使用者狀態變更為[已強制]，除非使用者已註冊，或可接受使用者在與舊版驗證通訊協定連結時遇到中斷的情況。

在開啟的快顯視窗中確認您的選取項目。

當您啟用使用者之後，請透過電子郵件通知他們。

告訴使用者系統會顯示提示來要求其在下一次登入時註冊。

此外，如果您的組織使用不支援新式驗證的非瀏覽器應用程式，他們就需要建立應用程式密碼。

如需詳細資訊，請參閱AzureADMulti-FactorAuthentication使用者指南以協助其開始使用。

將使用者從個別使用者MFA轉換成條件式存取形式的MFA 如果您的使用者的啟用是使用每一使用者啟用並強制AzureADMulti-FactorAuthentication，則下列PowerShell可在轉換至基於AzureADMulti-FactorAuthentication的條件式存取時協助您。

在ISE視窗中執行此PowerShell，或儲存為.PS1檔案在本機執行。

只有使用MSOnline模組才能完成該作業。

#SetstheMFArequirementstate functionSet-MfaState{ [CmdletBinding()] param( [Parameter(ValueFromPipelineByPropertyName=$True)] $ObjectId, [Parameter(ValueFromPipelineByPropertyName=$True)] $UserPrincipalName, [ValidateSet("Disabled","Enabled","Enforced")] $State ) Process{ Write-Verbose("SettingMFAstateforuser'{0}'to'{1}'."-f$ObjectId,$State) $Requirements=@() if($State-ne"Disabled"){ $Requirement= [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new() $Requirement.RelyingParty="*" $Requirement.State=$State $Requirements+=$Requirement } Set-MsolUser-ObjectId$ObjectId-UserPrincipalName$UserPrincipalName` -StrongAuthenticationRequirements$Requirements } } #DisableMFAforallusers Get-MsolUser-All|Set-MfaState-StateDisabled 後續步驟 若要設定AzureADMulti-FactorAuthentication設定，請參閱設定AzureADMulti-FactorAuthentication設定。

若要管理AzureADMulti-FactorAuthentication的使用者設定，請參閱使用AzureADMulti-FactorAuthentication管理使用者設定。

若要了解系統提示或不提示使用者執行MFA的原因，請參閱AzureADMulti-FactorAuthentication報告。

本文內容