我们正在使用 CA 策略对用户实现 MFA。
对于某些特定用户,我们需要禁用MFA。我们通过将用户添加到用户下的排除列表中来做到这一点。
当被排除的用户登录时,我们仍然会收到 MFA 提示。
我们的配置中缺少什么?
我们使用以下配置:
- AAD -> 属性 -> 管理安全默认值 -> 启用安全默认值:否
- AAD -> 密码重置 -> 已启用自助服务密码重置:无
- AAD -> 安全 -> 条件访问 -> 策略:配置了 3 个 MFA 的策略 -> 用户 -> 将用户添加到排除,作为用户和组<
- 租户中的所有用户均已在管理中心停用,用户 -> 活跃用户 -> 多重身份验证 -> MFA 状态:已停用
- 所以我不明白为什么我选择的用户在尝试登录时仍然收到 MFA 提示?
如有任何帮助,我们将不胜感激。
最佳答案
我尝试在 Azure AD 中创建一项条件访问策略,以便为特定用户启用 MFA 并排除其他用户。除了条件访问策略之外,我还配置了 MFA 身份验证注册策略。
安全默认设置为 - 否
条件访问策略 MFA 包括用户:-
排除用户:-
在应用程序中添加 Azure 门户:-
需要 MFA:-
启用策略设置为开
成功创建条件访问策略,如下所示:-
尝试使用政策中包含的 spuser 登录,并收到如下 MFA 提示:-
尝试使用被排除在政策之外的用户 ID 登录,但没有收到如下所示的任何 MFA 提示:-
登录成功:-
确保您在 Azure AD 身份保护中为 MFA 注册策略配置了以下设置。如果不需要 MFA,您需要将用户排除在本政策之外。
转至 > Azure 门户 > Azure AD > 安全 > 身份保护 > MFA 注册策略 > 分配 > 用户 > 如果包含所有用户 > 排除特定用户 > 强制策略 > 开启 > 保存
此外,验证是否有任何其他 Azure 策略添加到强制执行 MFA 的排除用户。另外,检查 MFA 是否未应用于所有用户(包括排除的用户)。
引用:-
A user is excluded in conditional access policy but it is still applied - Microsoft Q&A作者:Amanpreetsingh-MSFT
关于azure - 向用户发出 MFA 提示,并排除条件访问策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75373994/