将旧版 MFA 和 SSPR 策略迁移到身份验证方法

在本教程中，我们将从 Microsoft Entra 中的旧版 MFA（多重身份验证）和 SSPR（自助服务密码重置）策略迁移到新的身份验证方法策略设置。

通过迁移到 Microsoft Entra 中的新身份验证方法策略，您将不再需要从多个门户管理 MFA 和 SSPR 设置。这将允许您从单一管理平台创建租户范围的策略。

您还将从身份验证方法策略页面看到，2025 年 9 月 30 日，旧版 MFA 和 SSPR 门户将被贬值，您将被迫从新门户管理您的策略。

迁移过程如何进行

迁移过程背后的想法是，您可以在新的身份验证方法策略门户中慢慢启用所需的设置，同时您的用户仍然遵守旧门户中的策略。一旦您进入在新门户中配置策略并进行彻底测试的阶段，您就可以切换并阻止用户身份遵循旧门户设置。

这样您就可以在不影响最终用户的情况下完成迁移，这始终是期望的结果。

审核您现有的 MFA 政策

我们首先需要审核当前的 MFA 设置并记录当前为租户启用的设置。有两种方法可以访问现有租户范围的 MFA 设置。

方法1

1. 以全局管理员身份登录 Azure Microsoft Entra 管理门户，然后选择 Azure Active Directory。

3. 在左侧菜单的“管理”下选择安全。

4. 选择多重身份验证。

5. 选择其他基于云的多重身份验证设置。

方法2

1. 以全局管理员身份登录 https://admin.microsoft.com/

2. 展开用户并选择活动用户。

3. 从活动用户菜单中选择多重身份验证。

4. 选择服务设置。

使用任一方法都会将您带到同一页面，该页面将显示当前为您的租户启用的所有可用 MFA 设置。请务必记录当前启用的选项。

审核您现有的 SSPR 政策

我们现在需要审核我们现有的自助密码重置策略。您应该确保记录：

• 为哪些用户或组启用了 SSPR
• 所需方法的数量（尽管在新门户中尚无法配置）
• 可用的身份验证方法
• 通知设置

虽然并非所有设置都在新的身份验证方法策略门户中可用，但记录添加其他功能时的所有内容非常重要。

要访问您的 SSPR 设置：

1. 以全局管理员身份登录 Azure Active Directory 管理门户。

2. 选择Azure Active Directory。

3. 从左侧菜单中选择密码重置。

开始迁移到身份验证方法策略

现在您已经审核了现有的 MFA 和 SSPR 设置，您可以开始迁移到身份验证方法策略。习惯 Microsoft Entra 管理中心也很重要，因此接下来我们将使用此门户而不是 Azure Active Directory 管理中心。

1. 首先登录 Microsoft Entra 和全局管理员。

2. 从左侧菜单中，展开保护和安全并选择身份验证方法。

3. 您将看到以下通知：

“2025 年 9 月 30 日，旧版多重身份验证和自助密码重置策略将被弃用，您将在身份验证方法策略中管理所有身份验证方法。使用此控件来管理从旧策略到新统一策略的迁移。”

选择管理迁移。

4. 通过选择此选项，我们允许用户尊重我们在旧门户中设置的旧选项以及我们在身份验证方法策略中设置的策略选项。这将使我们能够执行无缝迁移。

配置您的身份验证方法策略

您现在应该花时间来完成身份验证方法，并在分析已审核的旧设置时一一启用每种方法。

重要的是要知道，SSPR 和 MFA 不再有单独的设置，您在上述屏幕上启用的任何方法都将适用于 SSPR 和 MFA。

话虽这么说，但目前似乎存在一些直接的限制。无法对 SSPR 应用更强的策略似乎是一个突出的问题，就我个人而言，我希望在重置管理员密码时重新启用两种身份验证方法/挑战的选项。如果您为 SSPR 配置了多种方法，那么一旦迁移到身份验证方法策略，这将不再适用。

所有选项的配置都非常简单。我最喜欢的新功能是 Microsoft Authenticator 应用中的数字匹配，以及有选择地选择哪些用户可以使用某些身份验证方法的功能。请参阅我的教程，了解如何在 Microsoft Authenticator 中启用号码匹配。

测试您的新身份验证方法策略

在完成迁移之前，测试最为重要，因为完成迁移后，旧门户中的设置将被忽略。

目前，测试设置的唯一方法（可能也是最好的方法）是在旧的 MFA 和 SSPR 门户中检查并禁用每种身份验证方法。这将允许您验证在新策略中配置的设置是否按预期工作。

以这种方式进行测试是确保您没有错过任何选项并确保组织安全的最安全方法。

完成到身份验证方法策略的迁移

完成测试后，您可以返回 Microsoft Entra 管理中心的“管理迁移”页面，然后选择迁移完成并单击保存。

1. 登录 Microsoft Entra 管理中心。

2. 从左侧菜单中展开保护和安全，然后选择身份验证方法。

3. 选择管理迁移。

3. 选择迁移完成并单击保存。

迁移后，您可以随时将迁移设置更改回迁移进行中。此外，如果您想保留高级 SSPR 设置，您甚至可以将设置进行中保留到2025 年 9 月结束日期。完成迁移后，旧门户中保留的唯一选项是 SSPR 门户中的安全问题。

使用 Microsoft Graph PowerShell 进行迁移

如果需要以编程方式修改新的身份验证策略迁移设置，也可以使用 Microsoft Graph PowerShell 来执行此操作。请按照以下步骤使用 Microsoft Graph PowerShell 迁移到身份验证方法策略。

首先使用 Policy.ReadWrite.AuthenticationMethod 权限连接到 Microsoft Graph。

Connect-MgGraph -Scopes Policy.ReadWrite.AuthenticationMethod

迁移到“迁移进行中”

运行以下命令以迁移到“迁移进行中”状态：

$params = @{
    policyMigrationState = "migrationInProgress"
}

Update-MgPolicyAuthenticationMethodPolicy -BodyParameter $params

迁移至“迁移完成”

运行以下命令以迁移到“迁移完成”状态：

$params = @{
    policyMigrationState = "MigrationComplete"
}

Update-MgPolicyAuthenticationMethodPolicy -PolicyMigrationState migrationinprogress

尝试完成迁移步骤时，您可能会遇到以下错误：

Update-MgPolicyAuthenticationMethodPolicy：策略持久性失败并出现错误：无法保存新的迁移状态：在禁用旧 SSPR 策略中的所有方法之前，您无法完成迁移。当前启用的旧 SSPR 方法：

确保您已完全禁用旧身份验证方法，并且它们会再次尝试完成迁移。