尚未完成驗證方法的移轉

過去，Microsoft Entra ID 的驗證設定分散在多因素驗證 (MFA) 和自助密碼重設 (SSPR) 兩個獨立原則中。這種分散的管理方式使驗證方法難以統一控管、增加了管理複雜度，並可能因原則不一致而產生安全風險。

實際上，這些舊型原則不會同步設定，這可能導致特定驗證方法在一個原則中啟用，卻在另一個原則中停用 (系統會先檢查 MFA 原則，再檢查 SSPR 原則)。這種不同步的情況，可能導致使用者透過過時或安全性較低的方法，無意間取得存取權。

除此之外，與「驗證方法」原則不同的是，舊型原則不支援以群組為目標的設定，也不支援諸如臨時存取密碼、FIDO2 安全金鑰等最新安全驗證選項。如此一來，不但無法對使用者群組套用不同的驗證方法，也無法及時引進安全性更高的無密碼驗證技術，使組織更容易遭受網路釣魚和憑證竊取攻擊。

根據 BOD 25-01 的強制要求，CISA 發布的「Microsoft Entra ID 的 M365 安全設定基準」中所列的 MS.AAD.3.4v1 原則規定「驗證方法管理移轉功能須設定為『移轉完成』」。Microsoft 也在設定 Microsoft Entra 以提高安全性 中建議「從舊型 MFA 和 SSPR 原則移轉」。

為了確保驗證方法管理的安全與一致性，Microsoft 建議將所有舊型 MFA 和 SSPR 設定移轉至驗證方法原則，以支援更精細的控管、現代化驗證選項與集中式設定。您可以透過 Microsoft Entra 管理中心的自動化精靈進行移轉，也可以手動執行自訂移轉工作流程。

移轉程序會稽核目前的設定、將舊型方法對應至新版機制、設定群組存取權，並更新登入和重設密碼的方法參數。移轉完成後，請驗證新設定並在舊型原則中停用對應的方法。此舉可避免設定含糊不清，並防範過時原則造成意外存取。

名稱: 尚未完成驗證方法的移轉

代碼名稱: AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure