本文介绍如何在启动并运行多重身份验证后管理Azure多重身份验证。 它涵盖了各种主题,这些主题可帮助你充分利用Azure多重身份验证。 并非所有功能都可用于Azure多重身份验证的每个版本。
| 功能 | Description |
|---|---|
| 可选择的验证方法 | 使用此功能选择用户能够使用的身份验证方法列表。 |
可选择的验证方法
可以使用 可选择的验证方法 功能选择可供用户使用的验证方法。 下表简要概述了这些方法。
当用户注册其帐户以Azure多重身份验证时,他们从已启用的选项中选择他们的首选验证方法。 有关用户注册流程的指导,请参阅 设置我的账户以进行两步验证。
| 方法 | Description |
|---|---|
| 拨打电话 | 拨打自动语音电话。 用户接听电话,并按电话键盘上的 # 键进行身份验证。 电话号码不会同步到本地 Active Directory。 |
| 向手机发送短信 | 发送包含验证码的短信。 系统会提示用户在登录界面中输入验证代码。 此过程称为单向短信。 双向短信意味着用户必须短信回复一个特定代码。 已弃用双向短信,2018 年 11 月 14 日后不再受到支持。 管理员应为之前使用双向短信的用户启用其他方法。 |
| 通过移动应用发送通知 | 向用户的手机或已注册设备发送推送通知。 用户查看通知并选择 “验证 ”以完成验证。 Microsoft Authenticator应用适用于 Windows Phone 和 iOS。 |
| 移动应用或硬件标志提供的验证码 | Microsoft Authenticator应用每隔 30 秒生成一个新的 OATH 验证码。 用户将此验证码输入到登录界面中。 Microsoft Authenticator应用适用于 Windows Phone 和 iOS。 |
启用和禁用可选择验证方法
登录到 Azure 门户。
在左侧,选择 Microsoft Entra ID>用户>所有用户。
选择“每用户 MFA”。
在“多重身份验证”下,选择 服务设置。
在 “服务设置” 页上的 “验证选项”下,选择/取消选择向用户提供的方法。
单击“ 保存”。
记住多重身份验证
“ 记住多重身份验证 ”功能允许用户在使用 MFA 成功登录到设备后,在指定的天数内绕过后续验证。 若要增强可用性并尽量减少用户必须在给定设备上执行 MFA 的次数,请选择 90 天或更短的持续时间。
Important
如果帐户或设备遭到入侵,则记住受信任设备的 MFA 可能会影响安全性。 如果公司帐户遭到入侵或受信任的设备丢失或被盗,则应 撤销会话。
撤销操作会撤销所有设备的受信任状态,并且用户必须再次执行多重身份验证。 还可以指示用户按照管理多重身份验证的设置中所述,在其自己的设备上还原原始 MFA 状态。
此功能如何工作
如果用户在登录时选择“X 天内不再询问”选项,“记住多重身份验证”功能将在浏览器上设置永久性 Cookie。 在 Cookie 过期之前,系统不会提示用户再次从该浏览器进行 MFA。 如果用户在同一设备上打开不同浏览器或清除其 Cookie,系统将提示他们重新进行验证。
非浏览器应用程序上不会显示“X 天内不再询问”选项,无论该应用是否支持新式身份验证。 这些应用使用刷新令牌,每小时提供新的访问令牌。 验证刷新令牌后,Microsoft Entra ID检查指定的天数内是否发生了最后一次多重身份验证。
此功能可以减少 Web 应用的身份验证次数,通常情况下每次使用 Web 应用时都会提示验证。 如果配置的持续时间较短,该功能可以增加通常每隔 180 天发出提示的新式身份验证客户端的身份验证次数。 与条件访问策略结合使用时,还可能会增加身份验证的次数。
Important
当用户通过 MFA 服务器或第三方多重身份验证解决方案对 AD FS 执行多重身份验证时,“记住多重身份验证”功能与 AD FS 的“使我保持登录状态”功能不兼容。
如果用户在 AD FS 中选择“使我保持登录状态”,同时将其设备标记为受多重身份验证新人,则在“记住多重身份验证”天数过期后将不会自动验证该用户。 Microsoft Entra ID请求新的多重身份验证,但 AD FS 返回具有原始 MFA 声明和日期的令牌,而不是再次执行多重身份验证。 此反应触发了 Microsoft Entra ID 和 AD FS 之间的验证循环。
“记住多重身份验证”功能与 B2B 用户不兼容,因此在登录到受邀租户时,B2B 用户不会看到此功能。
“记住多重身份验证”功能与登录频率条件访问控制不兼容。 有关详细信息,请参阅 使用条件访问配置身份验证会话管理。
启用“记住多重身份验证”
若要启用和配置可让用户记住其 MFA 状态并绕过提示的选项,请完成以下步骤:
- 至少以身份验证策略管理员的身份登录到Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户。
- 选择“每用户 MFA”。
- 在页面顶部的 多重身份验证 下,选择 服务设置。
- 在 “服务设置” 页上的“ 记住受信任设备上的多重身份验证”下,选择 “允许用户记住他们信任的设备上的多重身份验证”。
- 设置允许受信任设备绕过多重身份验证的天数。 为确保最佳用户体验,请将持续时间延长至 90 天或更长。
- 选择“保存”。
将设备标记为受信任的
启用“记住多重身份验证”功能后,用户可在登录时选择“不再询问”,以将设备标记为受信任。