有关 Microsoft Entra 多重身份验证的常见问题解答

此 FAQ 解答有关 Microsoft Entra 多重身份验证和使用多重身份验证服务的常见问题。 其中的问题已划分为常规服务问题、计费模式问题、用户体验问题和故障排除问题。

常规

哪些短代码用于向用户发送短信?

在美国,我们使用以下短代码:

  • 97671
  • 69829
  • 51789
  • 99399

在加拿大,我们使用以下短代码:

  • 759731
  • 673801

不保证传送一致的短信或由相同号码进行基于语音的多重身份验证提示。 为了用户的利益,我们可能在进行路线调整以提高短信传送能力期间,随时添加或删除短代码。

我们不支持除美国和加拿大以外的国家或地区的简短代码。

Microsoft Entra 多重身份验证是否会限制用户登录?

是的,在某些通常涉及短时间内重复身份验证请求的情况下,Microsoft Entra 多重身份验证将限制用户尝试登录的次数,以保护电信网络、缓解 MFA 疲劳式攻击并保护自己的系统,从而保护所有客户的利益。

尽管我们没有共享特定的限制,但它们将基于合理的使用情况。

通过电话或短信进行身份验证时,我的组织是否需要付费?

否,对于通过 Microsoft Entra 多重身份验证拨打的每个电话或向用户发送的每条短信,都不需要付费。 如果使用按身份验证计费的 MFA 提供程序,则需要为每次身份验付费,但不需要为使用的方法付费。

用户可能需要为收到的电话或短信支付费用,取决于个人电话服务。

按用户计费模式的收费依据是所有启用的用户,还是执行双重验证的用户?

计费依据是配置为使用多重身份验证的用户数量,无论用户当月是否执行过双重验证。

Microsoft Entra 多重身份验证是否有免费版本?

可以在 Microsoft Entra ID 免费层中启用安全默认值。 使用安全默认值时,将使用 Microsoft Authenticator 应用为所有用户启用多重身份验证。 无法使用含有安全默认值的短信或电话验证,而只能使用 Microsoft Authenticator 应用。

有关详细信息,请参阅什么是安全默认值?

我的组织是否必须使用并同步标识才能使用 Microsoft Entra 多重身份验证?

如果组织使用基于使用量的计费模式,则 Microsoft Entra ID 是可选而不是必需的。

许可模式需要 Microsoft Entra ID,因为在购买许可证并将其分配给目录中的用户时,许可证会添加到 Microsoft Entra 租户。

管理和支持用户帐户

如果用户的手机未收到响应,我该告诉他们怎么做?

让用户在 5 分钟内最多尝试 5 次,以便收到用于身份验证的电话或短信。 Microsoft 使用多个提供程序,用于进行呼叫和发送短信。 如果此方法不起作用,请创建支持案例进行进一步的故障排除。

第三方安全应用程序也可能会阻止验证代码短信或电话呼叫。 如果使用第三方安全应用,请尝试禁用保护,然后请求发送另一个 MFA 验证代码。

如果上述步骤不起作用,请检查是否为用户配置了多个验证方法。 再次尝试登录,但需要在登录页上选择另一种验证方法。

有关详细信息,请参阅最终用户故障排除指南

如果某个用户无法进入其帐户,我该怎么做?

可以要求用户再次完成注册过程来重置其帐户。 详细了解如何使用 Microsoft Entra 多重身份验证在云中管理用户和设备设置

如果某个用户丢失了使用应用密码的手机,我该怎么做?

为了防止未经授权的访问,请删除该用户的所有应用密码。 用户购买替代设备后,即可重新创建密码。 详细了解如何使用 Microsoft Entra 多重身份验证在云中管理用户和设备设置

我的用户说,他们有时收不到短信,或者验证超时。

无法保证短信传递成功,因为不可控因素可能会影响服务的可靠性。 这些因素包括目标国家/地区、移动电话运营商和信号强度。

第三方安全应用程序也可能会阻止验证代码短信或电话呼叫。 如果使用第三方安全应用,请尝试禁用保护,然后请求发送另一个 MFA 验证代码。

如果用户经常难以可靠地接收短信,请告诉他们改用 Microsoft Authenticator 应用或电话验证方法。 Microsoft Authenticator 应用可以通过手机网络和 Wi-Fi 连接接收通知。 此外,即使设备根本没有信号,也可以生成验证码。 Microsoft Authenticator 应用适用于 AndroidiOSWindows Phone

是否可以更改在系统超时之前,用户必须输入短信中验证代码的时限?

对于在云中使用 Microsoft Entra多重身份验证(包括 AD FS 适配器或网络策略服务器扩展)的单向短信,无法配置超时设置。 Microsoft Entra ID 会存储验证码 180 秒。

为何系统提示用户注册其安全信息?

有多种原因会导致系统提示用户注册其安全信息:

  • 该用户的管理员已在 Microsoft Entra ID 中为其启用了 MFA,但没有为其帐户注册安全信息。
  • 该用户已在 Microsoft Entra ID 中启用自助式密码重置。 以后如果用户忘记了密码,安全信息可帮助他们重置密码。
  • 该用户访问的应用程序有一个要求使用 MFA 的条件访问策略,但此用户以前未注册 MFA。
  • 该用户正在将某个设备注册到 Microsoft Entra ID(包括 Microsoft Entra 加入),并且你的组织要求使用 MFA 进行设备注册,但该用户以前未注册 MFA。
  • 该用户正在 Windows 10 中生成 Windows Hello 企业版(需要 MFA),但以前未注册 MFA。
  • 组织已创建并启用一个 MFA 注册策略,该策略已应用到该用户。
  • 该用户以前已注册 MFA,但选择的验证方法后来被管理员禁用。 因此,该用户必须再次完成 MFA 注册,以选择新的默认验证方法。

错误

如果用户在使用移动应用通知时看到“身份验证请求不适用于已激活的帐户”错误消息,他们该怎么办?

要求用户完成以下过程以从 Microsoft Authenticator 中删除其帐户,并再次添加其帐户:

  1. 转到其帐户配置文件,并使用组织帐户登录。
  2. 选择“其他安全性验证” 。
  3. 从 Microsoft Authenticator 应用中删除现有帐户。
  4. 单击“配置”,并按照说明重新配置 Microsoft Authenticator。

如果用户在登录非浏览器应用程序时看到 0x800434D4L 错误消息,该怎么办?

如果尝试登录在本地计算机上安装的非浏览器应用程序,并且此应用程序无法使用需要双重验证的帐户,则将发生 0x800434D4L 错误。

此错误的解决方法是,使用不同的用户帐户执行管理员相关操作和非管理员操作。 稍后,可以在管理员帐户与非管理员帐户之间链接邮箱,以便能够使用非管理员帐户登录到 Outlook。 若要详细了解此解决方案,请了解如何让管理员能够打开和查看用户邮箱的内容

后续步骤

如果此处未解答你的问题,则可以使用以下支持选项: