微软官方提醒:2025年9月30日起,旧式多重身份验证(MFA)和自助密码重置(SSPR)策略将停用,所有身份验证方法需统一通过 Microsoft Entra身份验证方法策略 管理。为确保您的Exchange混合部署环境平稳运行,请在此日期前完成策略迁移。
二、如何快速完成调整?
(推荐)自动迁移:3步完成,无需手动配置
- 进入迁移向导
登录 Microsoft Entra管理中心,导航至 Entra ID > 身份验证方法 > 策略,点击 “管理迁移”,选择 “Begin automated guide”(自动迁移指南)。 - 确认推荐配置
向导会自动读取您当前的MFA/SSPR策略,推荐启用所有旧策略中已有的方法(如短信、语音呼叫)+ 现代安全方法(如密钥、临时访问密码)。如需调整,点击方法旁的 ✏️ 图标修改。 - 执行迁移
确认配置后点击 “迁移”,系统将自动更新身份验证方法策略,旧策略中的方法会变为灰色(不再生效)。迁移状态将显示为 “迁移进行中”(可随时回退)。
手动迁移:适合复杂场景(如多策略合并)
1. 记录现有策略
o MFA策略:进入 Entra ID > 用户 > 每用户MFA > 服务设置,记录已启用的验证方法(如短信、移动应用通知)。
o SSPR策略:进入 Entra ID > 用户 > 密码重置 > 身份验证方法,记录已启用的方法(如电子邮件、移动电话)。
2. 更新新策略
进入 身份验证方法策略,按以下规则配置:
o 若某方法在MFA/SSPR旧策略中均启用:为所有用户启用该方法
o 若某方法在MFA/SSPR旧策略中仅一个启用:根据业务需求决定是否全局启用(推荐启用以保持用户体验一致)
3. 测试并完成迁移
删除旧策略中的验证方法,测试MFA/SSPR功能是否正常。确认无误后,将迁移状态改为 “迁移完成”(此时仅新策略生效)。
三、关键注意事项
📌 仅迁移租户级策略:不会影响用户个人的验证方式注册(如用户已绑定的手机号、Authenticator设备)。
📌 安全问题暂不迁移:SSPR中的“安全问题”仍保留在旧策略中,无需调整。
📌 支持随时回退:若迁移后出现问题,可在“管理迁移”中将状态改回 “迁移进行中”,临时启用旧策略。
📌 优先启用现代方法:建议为用户开启 FIDO2密钥(防钓鱼)和 临时访问密码(便捷账户恢复),提升整体安全等级。
四、常见问题解答
Q1:迁移后旧策略还能修改吗?
A:迁移状态设为“完成”后,旧策略无法修改(安全问题除外);若需调整,可先改回“进行中”状态。
Q2:如何验证迁移是否成功?
A:完成后,尝试使用不同验证方法(如Authenticator推送、短信验证码)进行登录/密码重置,确认功能正常。
Q3:现代验证方法(如密钥)有什么优势?
A:相比短信/语音,密钥无需依赖手机号,可防SIM卡劫持和钓鱼攻击,是微软推荐的最高安全等级方法。
五、行动建议
请在 2025年9月30日 前完成迁移,避免旧策略停用导致业务中断。如需技术支持,可参考微软官方文档:
