開始使用 Azure Multi-Factor Authentication Server
此頁面涵蓋伺服器的新安裝,並使用 內部部署的 Active Directory進行設定。 如果您已安裝 MFA 伺服器並想要升級,請參閱 升級至最新的 Azure Multi-Factor Authentication Server 。 如果您要尋找只安裝 Web 服務的資訊,請參閱 部署 Azure Multi-Factor Authentication Server Mobile App Web Service 。
重要
在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure Multi-Factor Authentication Server 更新 中包含的最新移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Microsoft Entra 多重要素驗證服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉 。
若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure 多重要素驗證 保護使用者登入事件。
規劃您的部署
下載 Azure Multi-Factor Authentication Server 之前,請先思考您的負載和高可用性需求。 使用這項資訊來決定部署的方式和位置。
您需要的記憶體數量良好指導方針是預期定期驗證的使用者數目。
使用者 | RAM |
---|---|
1-10,000 | 4 GB |
10,001-50,000 | 8 GB |
50,001-100,000 | 12 GB |
100,000-200,001 | 16 GB |
200,001+ | 32 GB |
您需要設定多部伺服器以達到高可用性或負載平衡嗎? 有許多方式可以使用 Azure Multi-Factor Authentication Server 來設定此設定。 當您安裝第一部 Azure Multi-Factor Authentication Server 時,它會成為主要伺服器。 任何其他伺服器都會變成次級伺服器,並自動與主要伺服器同步處理使用者和設定。 然後,您可以設定一部主伺服器,並讓其餘伺服器作為備份,或者您可以在所有伺服器之間設定負載平衡。
當主要 Azure Multi-Factor Authentication Server 離線時,從屬伺服器仍然可以處理雙步驟驗證要求。 不過,您無法新增使用者,而且現有的使用者無法更新其設定,直到主圖形重新上線或次級升級為止。
準備您的環境
請確定您用於 Azure 多重要素驗證的伺服器符合下列需求。
Azure Multi-Factor Authentication Server 需求 | 描述 |
---|---|
硬體 | |
軟體 | |
權限 | 要向 Active Directory 註冊的網域管理員istrator 或 Enterprise 管理員istrator 帳戶 |
1 如果 Azure Multi-Factor Authentication Server 無法在執行 Windows Server 2019 或更新版本的 Azure VM 上啟用,請嘗試使用舊版的 Windows Server。
Azure Multi-Factor Authentication Server 元件
組成 Azure Multi-Factor Authentication Server 的 Web 元件有三個:
- Web 服務 SDK - 啟用與其他元件的通訊,並安裝在 Microsoft Entra 多重要素驗證應用程式伺服器上
- 使用者入口網站 - 一個 IIS 網站,可讓使用者註冊 Azure 多重要素驗證並維護其帳戶。
- 行動應用程式 Web 服務 - 啟用使用行動應用程式,例如 Microsoft Authenticator 應用程式進行雙步驟驗證。
如果伺服器面向網際網路,這三個元件都可以安裝在相同的伺服器上。 如果中斷元件,Web 服務 SDK 會安裝在 Microsoft Entra 多重要素驗證應用程式伺服器上,而使用者入口網站和行動應用程式 Web 服務會安裝在網際網路對向伺服器上。
Azure Multi-Factor Authentication Server 防火牆需求
每個 MFA 伺服器都必須能夠在輸出至下列位址的埠 443 上通訊:
如果埠 443 上限制輸出防火牆,請開啟下列 IP 位址範圍:
IP 子網 | Netmask | IP 範圍 |
---|---|---|
134.170.116.0/25 | 255.255.255.128 | 134.170.116.1 – 134.170.116.126 |
134.170.165.0/25 | 255.255.255.128 | 134.170.165.1 – 134.170.165.126 |
70.37.154.128/25 | 255.255.255.128 | 70.37.154.129 – 70.37.154.254 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
如果您未使用事件確認功能,且您的使用者未使用行動應用程式從公司網路上的裝置進行驗證,則只需要下列範圍:
IP 子網 | Netmask | IP 範圍 |
---|---|---|
134.170.116.72/29 | 255.255.255.248 | 134.170.116.72 – 134.170.116.79 |
134.170.165.72/29 | 255.255.255.248 | 134.170.165.72 – 134.170.165.79 |
70.37.154.200/29 | 255.255.255.248 | 70.37.154.201 – 70.37.154.206 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
下載 MFA 伺服器
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
請遵循下列步驟來下載 Azure Multi-Factor Authentication Server:
重要
在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該使用最新 Azure Multi-Factor Authentication Server 更新中包含的最新移轉公用程式,將其使用者的驗證數據遷移至雲端式 Microsoft Entra 多重要素驗證服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉。
若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure 多重要素驗證保護使用者登入事件。
在 2019 年 7 月 1 日之前啟用 MFA Server 的現有客戶可以像往常一樣下載最新版本、未來的更新,並產生啟用認證。 只有在您是現有的 MFA Server 客戶時,下列步驟才能運作。
以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>多重要素驗證>伺服器設定]。
選取 [ 下載 ],然後依照下載頁面上的指示儲存安裝程式。
保持此頁面開啟,因為我們在執行安裝程序之後會參考它。
安裝和設定 MFA 伺服器
現在您已下載伺服器,您可以安裝並加以設定。 請確定您要安裝的伺服器符合規劃一節中列出的需求。
- 按兩下可執行檔。
- 在 [選取安裝資料夾] 畫面上,確定資料夾正確無誤,然後按 [下一步]。 已安裝下列連結庫:
- 安裝完成時,選取 [ 完成]。 組態精靈隨即啟動。
- 回到您從下載伺服器的頁面,按兩下 [ 產生啟用認證 ] 按鈕。 在提供的方塊中,將此資訊複製到 Azure Multi-Factor Authentication Server,然後按兩下 [ 啟用]。
注意
只有全域管理員能夠在 Microsoft Entra 系統管理中心產生啟用認證。
傳送電子郵件給使用者
若要輕鬆推出,請允許 MFA Server 與您的用戶通訊。 MFA Server 可以傳送電子郵件,通知他們已註冊進行雙步驟驗證。
您傳送的電子郵件應該取決於如何設定使用者進行雙步驟驗證。 例如,如果您能夠從公司目錄匯入電話號碼,電子郵件應該包含預設的電話號碼,讓使用者知道預期的情況。 如果您未匯入電話號碼,或您的使用者將使用行動應用程式,請傳送電子郵件,指示他們完成帳戶註冊。 在電子郵件中包含 Azure 多重要素驗證使用者入口網站的超連結。
電子郵件的內容也會因已為使用者設定的驗證方法而有所不同(通話、簡訊或行動應用程式)。 例如,如果使用者在驗證時需要使用 PIN,則電子郵件會告知他們其初始 PIN 已設定為什麼。 用戶必須在第一次驗證期間變更其 PIN。
設定電子郵件和電子郵件範本
按兩下左側的電子郵件圖示,以設定傳送這些電子郵件的設定。 此頁面可讓您輸入郵件伺服器的 SMTP 資訊,並勾選 [ 傳送電子郵件給使用者 ] 複選框來傳送電子郵件。
在 [電子郵件內容] 索引標籤上,您可以看到可供選擇的電子郵件範本。 根據您設定使用者執行雙步驟驗證的方式,選擇最適合您的範本。
從 Active Directory 匯入使用者
現在已安裝您想要新增用戶的伺服器。 您可以選擇手動建立使用者、從 Active Directory 匯入使用者,或設定與 Active Directory 的自動化同步處理。
從 Active Directory 手動匯入
在 Azure Multi-Factor Authentication Server 的左側,選取 [ 使用者]。
在底部,選取 [從 Active Directory 匯入]。
現在您可以搜尋個別使用者,或搜尋 AD 目錄來尋找使用者中的 OU。 在此情況下,我們會指定使用者 OU。
在右側反白顯示所有使用者,然後按兩下 [ 匯入]。 您應該會收到一個彈出視窗,告知您已成功。 關閉匯入視窗。
與 Active Directory 自動同步處理
- 在 Azure Multi-Factor Authentication Server 的左側,選取 [目錄整合]。
- 瀏覽至 [ 同步處理] 索引標籤。
- 在底部,選擇 [ 新增]
- 在出現的 [新增同步處理專案] 方塊中,針對此同步處理工作選擇 [網域]、[OU] 或 [安全組]、[設定、[方法預設值] 和 [語言預設值],然後按兩下 [新增]。
- 核取標示為 [啟用Active Directory 同步處理] 的方塊,然後選擇 一分鐘到24小時之間的同步處理間隔 。
Azure Multi-Factor Authentication Server 如何處理用戶數據
當您使用內部部署 Multi-Factor Authentication Server 時,使用者的數據會儲存在內部部署伺服器中。 不會將持續性用戶數據儲存在雲端中。 當使用者執行雙步驟驗證時,MFA Server 會將數據傳送至 Microsoft Entra 多重要素驗證雲端服務,以執行驗證。 當這些驗證要求傳送至雲端服務時,會在要求和記錄中傳送下列欄位,以便在客戶的驗證/使用量報告中取得這些字段。 某些欄位是選擇性字段,因此可以在 Multi-Factor Authentication Server 內啟用或停用。 從 MFA 伺服器到 MFA 雲端服務的通訊會透過埠 443 輸出使用 SSL/TLS。 這些欄位是:
- 唯一識別碼 - 使用者名稱或內部 MFA 伺服器識別碼
- 名稱與姓氏(選擇性 )
- 電子郵件地址(選擇性)
- 電話 號碼 - 執行語音通話或簡訊驗證時
- 裝置令牌 - 執行行動應用程式驗證時
- 驗證模式
- 驗證結果
- MFA 伺服器名稱
- MFA 伺服器 IP
- 用戶端 IP – 如果有的話
除了上述欄位之外,驗證結果(成功/拒絕)以及任何拒絕的原因也會與驗證數據一起儲存,並透過驗證/使用報告取得。
重要
從 2019 年 3 月開始,免費/試用 Microsoft Entra 租使用者中的 MFA Server 使用者將無法使用通話選項。 SMS 訊息不會受到這項變更的影響。 電話 通話將繼續提供給付費 Microsoft Entra 租使用者中的使用者。 這項變更只會影響免費/試用版 Microsoft Entra 租使用者。
備份和還原 Azure Multi-Factor Authentication Server
請確定您擁有良好的備份是任何系統的重要步驟。
若要備份 Azure Multi-Factor Authentication Server,請確定您有 C:\Program Files\Multi-Factor Authentication Server\Data 資料夾的複本,包括 電話 Factor.pfdata 檔案。
如果需要還原,請完成下列步驟:
- 在新伺服器上重新安裝 Azure Multi-Factor Authentication Server。
- 啟用新的 Azure Multi-Factor Authentication Server。
- 停止 MultiFactorAuth 服務。
- 使用備份的複本覆寫 電話 Factor.pfdata。
- 啟動 MultiFactorAuth 服務。
新的伺服器現在會使用原始備份組態和用戶數據來啟動並執行。
管理 TLS/SSL 通訊協定和加密套件
升級至或安裝 MFA Server 8.x 版或更高版本之後,除非組織需要,否則建議停用或移除較舊且較弱的加密套件。 如需如何完成這項工作的資訊,請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件一文
下一步
- 設定及設定 使用者自助的使用者入口網站 。
- 使用 Active Directory 同盟服務、RADIUS 驗證或 LDAP 驗證來設定及設定 Azure Multi-Factor Authentication Server。
- 使用RADIUS設定及設定遠端桌面閘道和 Azure Multi-Factor Authentication Server。
- 部署 Azure Multi-Factor Authentication Server Mobile App Web Service。
- Azure 多重要素驗證和第三方 VPN 的進階案例。