在 Azure AD B2C 租户上自动启用 MFA
MFA automatically enabled on Azure AD B2C tenant
我最近向现有订阅添加了一个 Azure AD B2C 租户。
每当我想在 portal.azure.com 上管理该租户时,我都必须验证我的帐户:
点击下一步后,我只能从下拉列表中select移动应用程序来验证我的帐户。没有通过 phone 验证的选项。
由于这个租户是新租户,我首先必须通过 selecting 设置:
在 Microsoft Authenticator 中注册它
这将显示一条没有关联 ID 或时间戳的错误消息:
没有条件访问策略。事实上,我无法添加任何内容,因为此租户没有 Azure AD Premium。持有从中创建此 AD B2C 租户的订阅的 Azure AD 租户也不存在。
只有在尝试通过 portal.azure.com 管理 AD B2C 租户时才需要 MFA,在其他应用程序上不需要,在访问 Azure AD 租户时也不需要。
问题:
- 如何为这个 AD B2C 租户禁用 MFA?为什么首先启用它?
- 如果无法禁用 MFA,我该如何注册我的设备或 phone 号码?
谢谢,
我想我们可能已经部分解决了这个问题。在我们的实例中,禁用 MDM 用户范围允许登录而无需执行任何 'Additional Security Verification'。我们也没有 InTune 订阅,但这是在 AAD > 移动性(MDM 和 MAM)下。但是,这确实意味着设备未注册,因此下一个问题是 MDM 从何处获取此配置。当他们明天再次打电话给我们时,将把这个交给 Azure 支持!
问题已解决。不确定 Azure 支持是在没有通知的情况下采取了行动,还是因为我的所作所为。
无论如何,这是我采取的步骤:
在 portal.azure.com 上,转到 Azure AD > 用户 > 多重身份验证。
(它在顶部菜单中。)
多重身份验证页面在新浏览器中打开 window。
为有问题的用户帐户启用 MFA。
- 在 account.activedirectory.windowsazure.com 上使用该帐户登录。
- 单击右上角的帐户以打开下拉菜单和select个人资料。
- Select 'Additional Security Verification'.
此处提供所有验证选项,包括电话、短信或使用移动应用程序 (Microsoft Authenticator)。
- 完成附加安全验证并确保 MFA 正常工作。
- 返回 Azure AD > 用户多重身份验证,再次禁用 MFA。
在我们的例子中,MFA 对所有用户都设置为禁用,但无论如何都处于活动状态,包括 AD B2C 租户中的本地帐户和外部 Active Directory 帐户。
无法在 AD B2C 租户的多重身份验证页面上更改外部 Active Directory 用户的 MFA 状态。这必须在各自 AD 租户的 Azure AD 页面中完成。
问题已解决,但原因未明。我们没有 AD Premium 订阅,根本无权访问 MFA 功能。
我认为你的回答@flip 是谜语的一部分。您实际上是在预先注册您的 phone 号码,因此当强制设置 MFA 时,您将获得额外的 TEXT 选项。我们注意到 AAD 加入过程中的变化,有时系统会提示您在此步骤之前输入 phone 数字,有时则不会。
例如,如果您以本地用户身份登录到设备并如图所示加入 AAD,则您可以获得这两种情况。我认为新版本也是如此,因为在之前的测试中我们必须输入手机号码,但我不记得具体是哪种情况。
但是,在 Azure 支持的几天后,如果有人感兴趣,我们已经设法找出根本原因。原来 MFA IS 是通过 "Security Defaults" (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) 强制执行的。 MS 实际上刚刚在今天更新了他们的文章以进行澄清。
实际上,禁用安全默认值将停止强制执行,但请注意不要将提示与 Windows Hello 设置混淆(我们通过组策略完全禁用进行了测试)。我确信一周前情况并非如此,最近幕后发生了一些变化。
最重要的是,除非禁用安全默认值,否则您将必须以某种形式部署 MFA 才能加入 AAD。端点迁移不太好,但至少我们现在知道它的来源。
Azure AD 租户自带安全默认设置。您必须在活动目录中禁用此设置。
Active directory > properties > Manage security defaults > toggle to No
这将禁用默认的 MFA 设置。
我最近向现有订阅添加了一个 Azure AD B2C 租户。
每当我想在 portal.azure.com 上管理该租户时,我都必须验证我的帐户:
点击下一步后,我只能从下拉列表中select移动应用程序来验证我的帐户。没有通过 phone 验证的选项。
由于这个租户是新租户,我首先必须通过 selecting 设置:
在 Microsoft Authenticator 中注册它这将显示一条没有关联 ID 或时间戳的错误消息:
没有条件访问策略。事实上,我无法添加任何内容,因为此租户没有 Azure AD Premium。持有从中创建此 AD B2C 租户的订阅的 Azure AD 租户也不存在。
只有在尝试通过 portal.azure.com 管理 AD B2C 租户时才需要 MFA,在其他应用程序上不需要,在访问 Azure AD 租户时也不需要。
问题:
- 如何为这个 AD B2C 租户禁用 MFA?为什么首先启用它?
- 如果无法禁用 MFA,我该如何注册我的设备或 phone 号码?
谢谢,
我想我们可能已经部分解决了这个问题。在我们的实例中,禁用 MDM 用户范围允许登录而无需执行任何 'Additional Security Verification'。我们也没有 InTune 订阅,但这是在 AAD > 移动性(MDM 和 MAM)下。但是,这确实意味着设备未注册,因此下一个问题是 MDM 从何处获取此配置。当他们明天再次打电话给我们时,将把这个交给 Azure 支持!
问题已解决。不确定 Azure 支持是在没有通知的情况下采取了行动,还是因为我的所作所为。 无论如何,这是我采取的步骤:
在 portal.azure.com 上,转到 Azure AD > 用户 > 多重身份验证。 (它在顶部菜单中。)
多重身份验证页面在新浏览器中打开 window。
为有问题的用户帐户启用 MFA。- 在 account.activedirectory.windowsazure.com 上使用该帐户登录。
- 单击右上角的帐户以打开下拉菜单和select个人资料。
- Select 'Additional Security Verification'.
此处提供所有验证选项,包括电话、短信或使用移动应用程序 (Microsoft Authenticator)。 - 完成附加安全验证并确保 MFA 正常工作。
- 返回 Azure AD > 用户多重身份验证,再次禁用 MFA。
在我们的例子中,MFA 对所有用户都设置为禁用,但无论如何都处于活动状态,包括 AD B2C 租户中的本地帐户和外部 Active Directory 帐户。
无法在 AD B2C 租户的多重身份验证页面上更改外部 Active Directory 用户的 MFA 状态。这必须在各自 AD 租户的 Azure AD 页面中完成。
问题已解决,但原因未明。我们没有 AD Premium 订阅,根本无权访问 MFA 功能。
我认为你的回答@flip 是谜语的一部分。您实际上是在预先注册您的 phone 号码,因此当强制设置 MFA 时,您将获得额外的 TEXT 选项。我们注意到 AAD 加入过程中的变化,有时系统会提示您在此步骤之前输入 phone 数字,有时则不会。
例如,如果您以本地用户身份登录到设备并如图所示加入 AAD,则您可以获得这两种情况。我认为新版本也是如此,因为在之前的测试中我们必须输入手机号码,但我不记得具体是哪种情况。
但是,在 Azure 支持的几天后,如果有人感兴趣,我们已经设法找出根本原因。原来 MFA IS 是通过 "Security Defaults" (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) 强制执行的。 MS 实际上刚刚在今天更新了他们的文章以进行澄清。
实际上,禁用安全默认值将停止强制执行,但请注意不要将提示与 Windows Hello 设置混淆(我们通过组策略完全禁用进行了测试)。我确信一周前情况并非如此,最近幕后发生了一些变化。
最重要的是,除非禁用安全默认值,否则您将必须以某种形式部署 MFA 才能加入 AAD。端点迁移不太好,但至少我们现在知道它的来源。
Azure AD 租户自带安全默认设置。您必须在活动目录中禁用此设置。
Active directory > properties > Manage security defaults > toggle to No
这将禁用默认的 MFA 设置。