从每用户 MFA 迁移到条件访问 MFA

当你拥有 Azure AD Premium P1 或 P2 时，最好使用基于条件访问的 MFA。它将为您在创建策略时提供更多控制和灵活性。在此租户中，我们确实启用了每用户 MFA。我们希望从每用户 MFA 转换为基于条件访问的 MFA。这将如何运作？在本文中，您将了解如何逐步从每用户 MFA 迁移到基于条件访问的 MFA。

介绍

从 Microsoft 365 MFA 迁移到 Azure Active Directory 条件访问可以通过三个步骤完成：

1. 从每用户 MFA 迁移到条件访问 MFA（本文）

2. 从 MFA 可信 IP 移至条件访问命名位置

3. 从记住可信设备上的 MFA 转变为条件访问登录频率

条件访问 MFA

您希望从每用户 MFA 迁移到条件访问 MFA，而不强制所有用户重新注册。因为要求用户重新注册 MFA 是一项艰巨的任务，而服务台不会等待所有这些呼叫。那么问题来了，不重新注册MFA是否可以搬家呢？是的。

如果您配置条件访问策略来触发 MFA 并禁用每用户 MFA，则无需重新注册 MFA，因为禁用每用户 MFA 不会清除 MFA 方法。当您使用 MFA 的条件访问策略时，不应启用每用户 MFA；仅使它们处于禁用状态。

您想了解每个用户的 MFA 状态吗？在上一篇文章中，我们讨论了如何使用 PowerShell 导出 Office 365 用户 MFA 状态。

检查 Azure AD Premium 许可证

登录到 Microsoft Azure 并检查您是否拥有 Azure AD Premium 计划 1 或 2。在门户中，导航到 Azure Active Directory > 概述。在下面的示例中，没有 Azure AD Premium 订阅。

许可证需要显示 Azure AD Premium P1 或 Azure AD Premium P2。在此示例中，租户获得了 Azure AD Premium P2 许可证。

检查每个用户的 MFA 状态

登录 Microsoft 365 管理中心。导航至用户 > 活跃用户 > 多重身份验证。

将打开一个新页面，其中将显示所有用户及其多重身份验证状态。在我们的示例中，我们有几个具有 MFA 状态的用户； 启用、强制和禁用。

重要提示：使用条件访问启用 MFA 时，请为所有用户禁用每用户 MFA。

连接到 Azure AD PowerShell

在转换为条件访问 MFA 之前，需要以管理员身份启动 Windows PowerShell 并连接到 Azure AD PowerShell。

PS C:\> Connect-MsolService

使用 PowerShell 将每用户 MFA 转换为基于条件访问的 MFA

从每用户 MFA 转换为条件访问 MFA 的一个绝佳方法是使用 PowerShell。下载 Convert-PU-to-CA.ps1 PowerShell 脚本并将其放置在 C:\scripts 文件夹中。如果没有脚本文件夹，请创建一个。

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName = $True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName = $True)]
        $UserPrincipalName,
        [ValidateSet("Disabled", "Enabled", "Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
            [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
            -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

运行 Convert-PU-to-CA.ps1 PowerShell 脚本。

PS C:\> cd c:\scripts\
PS C:\scripts> .\Convert-PU-to-CA.ps1

创建 MFA 条件访问策略

在上一步中，您在运行 PowerShell 脚本时为所有人禁用了 MFA。如果您使用用户帐户登录，则不会要求 MFA。您需要做的是创建 MFA 条件访问策略。

登录到 Azure 门户。打开菜单并浏览到 Azure Active Directory > 安全 > 条件访问。点击新政策。

为策略命名。例如，MFA 所有用户。选择所有用户和所有云应用程序。授予访问权限并启用需要多重身份验证。启用该策略并单击保存。

条件访问策略更改可能需要几分钟才能生效。

Azure AD MFA 条件访问策略已到位。您已成功从每用户 MFA 迁移到基于条件访问的 MFA。最后一步是验证更改及其是否有效。

验证您的工作

所有用户在 Microsoft 365 多重身份验证页面上显示 MFA 状态已禁用。

使用已配置 MFA 的帐户登录将再次起作用，而无需从头开始设置 MFA。

未启用 MFA 的用户或创建的新用户在首次登录时将被要求完成 MFA 设置。例如，在 Microsoft 365 门户中。

从现在开始，你将通过 Azure 管理 MFA。这很棒，因为您可以根据组织要求查看并启用更多条件访问策略选项。

注意：始终为用户启用 MFA！它将保护帐户免受攻击和密码泄露。它增加了另一层保护，可以帮助组织。

继续阅读：在 Microsoft 365 中向外部电子邮件添加标签以提高安全性 »

结论

您了解了如何从每用户 MFA 迁移到条件访问 MFA。首先，使用 PowerShell 连接到 Azure AD 并运行脚本以禁用所有用户的每用户 MFA。之后，在 Azure 中创建条件访问策略。最后，测试并验证 MFA 在登录时是否有效。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 将用户添加到组。不要忘记关注我们并分享这篇文章。