身份验证方法迁移未完成

以前，对于多因素身份验证 (MFA) 和自助密码重置 (SSPR) 策略，需要在 Microsoft Entra ID 中分别进行身份验证设置。这种分散的方式导致难以统一管理身份验证方法，增加了管理的复杂性，并且会带来潜在的安全风险（因策略不一致所致）。

事实上，这些 旧策略不会同步设置，这意味着一种身份验证方法可以在一个策略中启用，但在另一个策略中禁用（系统启动时会先检查 MFA 策略，然后再检查 SSPR 策略）。这种不同步可能会导致用户无意中通过过时或不太安全的方法获得访问权限。

最重要的是，与“身份验证方法”策略不同，旧策略既不支持基于组的目标定位，也不支持临时访问通行证和 FIDO2 安全密钥等最新的安全身份验证选项。这不仅限制了对特定用户组运用不同身份验证方法的能力，还延迟了安全无密码身份验证方法的采用，从而使组织更容易遭受网络钓鱼和凭据盗窃的攻击。

根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.3.4v1 策略明确要求：“身份验证方法管理迁移”功能应设置为“迁移完成”。Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“迁移到新版 MFA 和 SSPR 策略”。

为确保对身份验证方法进行一致且安全的管理，Microsoft 建议将所有旧版 MFA 和 SSPR 设置迁移到身份验证方法策略，以支持更精细的控制、新式身份验证选项和集中设置。您可以在 Microsoft Entra 管理员中心使用自动向导进行迁移，也可以手动进行自定义迁移工作流。

在迁移过程中，系统会审核当前设置、将旧方法映射到更新后的对等方法、配置基于组的访问权限，并更新用于登录和密码重置的方法参数。迁移后，验证新配置并禁用旧策略中相应的方法。这样做可以消除模棱两可的情况，并防止利用过时策略进行意外访问。

名称: 身份验证方法迁移未完成

代码名称: AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure