我正在尝试在 azure 门户中实现“注册事件”功能。如此处所述:https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-registration-campaign
我的目标是提示用户注册 Microsoft Authenticator 应用以进行无密码登录。满足这些要求:
- 首次登录时(重置密码时)
- 无需手动步骤(例如在门户中为用户启用 MFA),因为我通过 Graph API 创建用户。 Graph API 调用来配置用户是可以的,Powershell 不太理想。
- 理想情况下,用户能够推迟身份验证器注册
- 理想情况下,系统不会提示用户提供 MFA 电话号码
我关闭了安全默认设置,启用了 Microsoft Authenticator 和电子邮件 OTP 身份验证方法,启用了注册事件,目前我认为没有打开任何形式的 MFA(但我尝试过一些)。
完成本文中提到的先决条件后,我尝试了多种配置,但始终无法提示新用户注册身份验证器应用程序。我将概述我对先决条件的困惑:
先决条件 1
Your organization must have enabled Azure AD Multi-Factor Authentication. Every edition of Azure AD includes Azure AD Multi-Factor Authentication. No additional license is needed for a registration campaign.
- 启用 MFA 的方法似乎有多种,但尚不清楚哪种方法合适。
- 我尝试在所有具有条件访问的登录中添加 MFA,但似乎没有效果。另外,这样做是否会破坏使用身份验证器应用程序的目的?目前还不清楚我应该使用哪种 MFA 选项。
- 我不认为我希望通过安全默认设置(再次尝试避免使用电话号码)或通过身份保护(似乎已被条件访问取代)启用 MFA
- 似乎还有一个 MFA 服务器,但我假设这不适用,所以我忽略了它。
- 还有其他地方可以启用 MFA 吗?
先决条件 2
Users can't have already set up the Authenticator app for push notifications on their account.
- 这应该不是问题,因为这是一个新环境,而且我尚未注册任何身份验证器应用。
先决条件 3a
Admins need to enable users for the Authenticator app using one of these policies:
- MFA Registration Policy: Users will need to be enabled for Notification through mobile app.
- 我认为这是指身份保护中的多因素身份验证注册策略,但我启用了它,但它似乎没有效果。
- 也许这指的是其他东西?
先决条件 3b
- Authentication Methods Policy: Users will need to be enabled for the Authenticator app and the Authentication mode set to Any or Push. If the policy is set to Passwordless, the user won't be eligible for the nudge. For more information about how to set the Authentication mode, see Enable passwordless sign-in with Microsoft Authenticator.
- 我已启用“任意”模式的“Microsoft Authenticator”身份验证方法策略,但我不确定它是否有效。
- 根据 Azure 门户,我可能需要启用“组合注册”:“如果您的租户尚未使用组合安全信息注册,请立即启用 - 需要使用此政策。' 根据文档,我无法弄清楚在哪里以及如何查看此功能是否已启用。该文档看起来应该告诉我,但它没有:https://learn.microsoft.com/en-ca/azure/active-directory/authentication/howto-registration-mfa-sspr-combined
- 也许“组合注册”作为新的默认设置意味着它始终处于开启状态?身份验证方法应该有效吗?但为什么它会呈现这样的信息呢?
- “用户需要启用...”是什么意思?此功能的重点是让用户在登录时启用身份验证器应用程序,对吗?
也许有一个指南可以进行设置?我只找到从满足先决条件的地方开始的说明。
最佳答案
我尝试在我的环境中重现相同的结果,并得到如下结果:
Note that: To setup registration campaign, the users must have MFA enabled.
为了进行测试,我仅为一名用户启用了 MFA,如下所示:
转到 Azure 门户 -> 用户 -> 单击“每用户 MFA”
现在,我在 Azure 门户中启用了注册事件,如下所示:
转到 Azure 门户 -> 安全 -> 身份验证方法 -> 策略 -> 单击 Microsoft Authenticator
点击注册事件,编辑并保存,如下所示:
您可以选择“所有用户”;我只添加了一名用户进行测试。
完成上述配置后,我尝试使用如下用户登录:
我为用户配置了电话身份验证:
输入代码后,我看到成功设置身份验证器应用程序的屏幕,如下所示:
我配置了身份验证器应用程序;
登录时成功配置后,我看到了批准登录请求的屏幕,如下所示:
要为所有用户启用 MFA,您可以使用批量更新选项,如下所示:
关于azure - 无法在 Azure 门户中设置身份验证器注册事件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75933317/