開始使用 Azure Multi-Factor Authentication Server

Getting started with MFA Server on-premises

此頁面涵蓋伺服器的新安裝,並使用 內部部署的 Active Directory進行設定。 如果您已安裝 MFA 伺服器並想要升級,請參閱 升級至最新的 Azure Multi-Factor Authentication Server 。 如果您要尋找只安裝 Web 服務的資訊,請參閱 部署 Azure Multi-Factor Authentication Server Mobile App Web Service

重要

在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure Multi-Factor Authentication Server 更新 中包含的最新移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Microsoft Entra 多重要素驗證服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉

若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure 多重要素驗證 保護使用者登入事件。

規劃您的部署

下載 Azure Multi-Factor Authentication Server 之前,請先思考您的負載和高可用性需求。 使用這項資訊來決定部署的方式和位置。

您需要的記憶體數量良好指導方針是預期定期驗證的使用者數目。

使用者 RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

您需要設定多部伺服器以達到高可用性或負載平衡嗎? 有許多方式可以使用 Azure Multi-Factor Authentication Server 來設定此設定。 當您安裝第一部 Azure Multi-Factor Authentication Server 時,它會成為主要伺服器。 任何其他伺服器都會變成次級伺服器,並自動與主要伺服器同步處理使用者和設定。 然後,您可以設定一部主伺服器,並讓其餘伺服器作為備份,或者您可以在所有伺服器之間設定負載平衡。

當主要 Azure Multi-Factor Authentication Server 離線時,從屬伺服器仍然可以處理雙步驟驗證要求。 不過,您無法新增使用者,而且現有的使用者無法更新其設定,直到主圖形重新上線或次級升級為止。

準備您的環境

請確定您用於 Azure 多重要素驗證的伺服器符合下列需求。

Azure Multi-Factor Authentication Server 需求 描述
硬體
  • 200 MB 的硬碟空間
  • 支援 x32 或 x64 的處理器
  • 1 GB 或更高的 RAM
  • 軟體
  • Windows Server 2022 1
  • Windows Server 2019 1
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (僅限 ESU
  • Windows 10
  • Windows 8.1,所有版本
  • Windows 8,所有版本
  • Windows 7,所有版本(僅限 ESU
  • Microsoft .NET 4.0 Framework
  • 如果安裝使用者入口網站或 Web 服務 SDK,IIS 7.0 或更新版本
  • 權限 要向 Active Directory 註冊的網域管理員istrator 或 Enterprise 管理員istrator 帳戶

    1 如果 Azure Multi-Factor Authentication Server 無法在執行 Windows Server 2019 或更新版本的 Azure VM 上啟用,請嘗試使用舊版的 Windows Server。

    Azure Multi-Factor Authentication Server 元件

    組成 Azure Multi-Factor Authentication Server 的 Web 元件有三個:

    • Web 服務 SDK - 啟用與其他元件的通訊,並安裝在 Microsoft Entra 多重要素驗證應用程式伺服器上
    • 使用者入口網站 - 一個 IIS 網站,可讓使用者註冊 Azure 多重要素驗證並維護其帳戶。
    • 行動應用程式 Web 服務 - 啟用使用行動應用程式,例如 Microsoft Authenticator 應用程式進行雙步驟驗證。

    如果伺服器面向網際網路,這三個元件都可以安裝在相同的伺服器上。 如果中斷元件,Web 服務 SDK 會安裝在 Microsoft Entra 多重要素驗證應用程式伺服器上,而使用者入口網站和行動應用程式 Web 服務會安裝在網際網路對向伺服器上。

    Azure Multi-Factor Authentication Server 防火牆需求

    每個 MFA 伺服器都必須能夠在輸出至下列位址的埠 443 上通訊:

    如果埠 443 上限制輸出防火牆,請開啟下列 IP 位址範圍:

    IP 子網 Netmask IP 範圍
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    如果您未使用事件確認功能,且您的使用者未使用行動應用程式從公司網路上的裝置進行驗證,則只需要下列範圍:

    IP 子網 Netmask IP 範圍
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    下載 MFA 伺服器

    提示

    本文中的步驟可能會根據您從開始的入口網站稍有不同。

    請遵循下列步驟來下載 Azure Multi-Factor Authentication Server:

    重要

    在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該使用最新 Azure Multi-Factor Authentication Server 更新中包含的最新移轉公用程式,將其使用者的驗證數據遷移至雲端式 Microsoft Entra 多重要素驗證服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉

    若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure 多重要素驗證保護使用者登入事件。

    在 2019 年 7 月 1 日之前啟用 MFA Server 的現有客戶可以像往常一樣下載最新版本、未來的更新,並產生啟用認證。 只有在您是現有的 MFA Server 客戶時,下列步驟才能運作。

    1. 以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

    2. 流覽至 [保護>多重要素驗證>伺服器設定]。

    3. 選取 [ 下載 ],然後依照下載頁面上的指示儲存安裝程式。

      Download MFA Server

    4. 保持此頁面開啟,因為我們在執行安裝程序之後會參考它。

    安裝和設定 MFA 伺服器

    現在您已下載伺服器,您可以安裝並加以設定。 請確定您要安裝的伺服器符合規劃一節中列出的需求。

    1. 按兩下可執行檔。
    2. 在 [選取安裝資料夾] 畫面上,確定資料夾正確無誤,然後按 [下一步]。 已安裝下列連結庫:
    3. 安裝完成時,選取 [ 完成]。 組態精靈隨即啟動。
    4. 回到您從下載伺服器的頁面,按兩下 [ 產生啟用認證 ] 按鈕。 在提供的方塊中,將此資訊複製到 Azure Multi-Factor Authentication Server,然後按兩下 [ 啟用]。

    注意

    只有全域管理員能夠在 Microsoft Entra 系統管理中心產生啟用認證。

    傳送電子郵件給使用者

    若要輕鬆推出,請允許 MFA Server 與您的用戶通訊。 MFA Server 可以傳送電子郵件,通知他們已註冊進行雙步驟驗證。

    您傳送的電子郵件應該取決於如何設定使用者進行雙步驟驗證。 例如,如果您能夠從公司目錄匯入電話號碼,電子郵件應該包含預設的電話號碼,讓使用者知道預期的情況。 如果您未匯入電話號碼,或您的使用者將使用行動應用程式,請傳送電子郵件,指示他們完成帳戶註冊。 在電子郵件中包含 Azure 多重要素驗證使用者入口網站的超連結。

    電子郵件的內容也會因已為使用者設定的驗證方法而有所不同(通話、簡訊或行動應用程式)。 例如,如果使用者在驗證時需要使用 PIN,則電子郵件會告知他們其初始 PIN 已設定為什麼。 用戶必須在第一次驗證期間變更其 PIN。

    設定電子郵件和電子郵件範本

    按兩下左側的電子郵件圖示,以設定傳送這些電子郵件的設定。 此頁面可讓您輸入郵件伺服器的 SMTP 資訊,並勾選 [ 傳送電子郵件給使用者 ] 複選框來傳送電子郵件。

    MFA Server Email configuration

    在 [電子郵件內容] 索引標籤上,您可以看到可供選擇的電子郵件範本。 根據您設定使用者執行雙步驟驗證的方式,選擇最適合您的範本。

    MFA Server Email templates in the console

    從 Active Directory 匯入使用者

    現在已安裝您想要新增用戶的伺服器。 您可以選擇手動建立使用者、從 Active Directory 匯入使用者,或設定與 Active Directory 的自動化同步處理。

    從 Active Directory 手動匯入

    1. 在 Azure Multi-Factor Authentication Server 的左側,選取 [ 使用者]。

    2. 在底部,選取 [從 Active Directory 匯入]。

    3. 現在您可以搜尋個別使用者,或搜尋 AD 目錄來尋找使用者中的 OU。 在此情況下,我們會指定使用者 OU。

    4. 在右側反白顯示所有使用者,然後按兩下 [ 匯入]。 您應該會收到一個彈出視窗,告知您已成功。 關閉匯入視窗。

      MFA Server user import from Active Directory

    與 Active Directory 自動同步處理

    1. 在 Azure Multi-Factor Authentication Server 的左側,選取 [目錄整合]。
    2. 瀏覽至 [ 同步處理] 索引標籤。
    3. 在底部,選擇 [ 新增]
    4. 在出現的 [新增同步處理專案] 方塊中,針對此同步處理工作選擇 [網域]、[OU] 或 [安全組]、[設定、[方法預設值] 和 [語言預設值],然後按兩下 [新增]。
    5. 核取標示為 [啟用Active Directory 同步處理] 的方塊,然後選擇 一分鐘到24小時之間的同步處理間隔

    Azure Multi-Factor Authentication Server 如何處理用戶數據

    當您使用內部部署 Multi-Factor Authentication Server 時,使用者的數據會儲存在內部部署伺服器中。 不會將持續性用戶數據儲存在雲端中。 當使用者執行雙步驟驗證時,MFA Server 會將數據傳送至 Microsoft Entra 多重要素驗證雲端服務,以執行驗證。 當這些驗證要求傳送至雲端服務時,會在要求和記錄中傳送下列欄位,以便在客戶的驗證/使用量報告中取得這些字段。 某些欄位是選擇性字段,因此可以在 Multi-Factor Authentication Server 內啟用或停用。 從 MFA 伺服器到 MFA 雲端服務的通訊會透過埠 443 輸出使用 SSL/TLS。 這些欄位是:

    • 唯一識別碼 - 使用者名稱或內部 MFA 伺服器識別碼
    • 名稱與姓氏(選擇性 )
    • 電子郵件地址(選擇性)
    • 電話 號碼 - 執行語音通話或簡訊驗證時
    • 裝置令牌 - 執行行動應用程式驗證時
    • 驗證模式
    • 驗證結果
    • MFA 伺服器名稱
    • MFA 伺服器 IP
    • 用戶端 IP – 如果有的話

    除了上述欄位之外,驗證結果(成功/拒絕)以及任何拒絕的原因也會與驗證數據一起儲存,並透過驗證/使用報告取得。

    重要

    從 2019 年 3 月開始,免費/試用 Microsoft Entra 租使用者中的 MFA Server 使用者將無法使用通話選項。 SMS 訊息不會受到這項變更的影響。 電話 通話將繼續提供給付費 Microsoft Entra 租使用者中的使用者。 這項變更只會影響免費/試用版 Microsoft Entra 租使用者。

    備份和還原 Azure Multi-Factor Authentication Server

    請確定您擁有良好的備份是任何系統的重要步驟。

    若要備份 Azure Multi-Factor Authentication Server,請確定您有 C:\Program Files\Multi-Factor Authentication Server\Data 資料夾的複本,包括 電話 Factor.pfdata 檔案。

    如果需要還原,請完成下列步驟:

    1. 在新伺服器上重新安裝 Azure Multi-Factor Authentication Server。
    2. 啟用新的 Azure Multi-Factor Authentication Server。
    3. 停止 MultiFactorAuth 服務。
    4. 使用備份的複本覆寫 電話 Factor.pfdata
    5. 啟動 MultiFactorAuth 服務。

    新的伺服器現在會使用原始備份組態和用戶數據來啟動並執行。

    管理 TLS/SSL 通訊協定和加密套件

    升級至或安裝 MFA Server 8.x 版或更高版本之後,除非組織需要,否則建議停用或移除較舊且較弱的加密套件。 如需如何完成這項工作的資訊,請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件一文

    下一步