自从我们的 IT 部门启用 Azure MFA 以来,它就一直是造成许多麻烦的原因。我在这里发帖,希望这是他们的配置错误。
- 我们使用由本地 ActiveDirectory 和 ADFS 支持的 Azure AD。
- 请记住,多重身份验证设置为 1 天
痛点:
- 当我开始新的一天时,我需要分别登录所有应用程序并接受每个应用程序的 MFA 请求。看来“记住 1 天”设置不起作用。
- 周末无人值守的情况下发送了 MFA 请求。看起来 Office 应用程序正在尝试在没有用户交互的情况下登录,即使计算机已锁定。
那么问题是,有没有办法解决这些痛点,还是只能这样呢?IT 部门严格遵守“记住 1 天”的设置,不使用受信任的 IP。
编辑
该问题可能是因为办公应用程序不共享缓存的凭据而导致的,因此您需要在每个应用程序中单独登录(并接受 MFA)。
关于无人值守的 MFA 请求,这是由于 Office 应用程序请求在没有用户交互的情况下登录(即使 Windows 会话被锁定)引起的。
因此,这些痛点可能不是由 Azure MFA 引起的,Web 体验很好。问题在于 Office 应用的登录用户体验不佳。
答案1
当我开始新的一天时,我需要分别登录所有应用程序并接受每个应用程序的 MFA 请求。看来“记住 1 天”设置不起作用。
你的意思是记住之后,登录时仍然需要使用手机进行验证吗?
记住多重身份验证的工作原理是设置持久的曲奇饼当用户在登录时选中“X 天内不再询问”框时,就会在浏览器上显示。系统不会再次提示用户进行 MFA从该浏览器直到 cookie 过期(仍需要密码)。
另外,如果我们要使用这个功能,我们应该使用相同的浏览器和相同的设备,或者我们应该清除他们的cookies,他们会被提示再次验证。
周末无人值守的情况下发送了 MFA 请求。看起来 Office 应用程序正在尝试在没有用户交互的情况下登录,即使计算机已锁定。
也许您的办公应用程序自行刷新,或者有人尝试登录您的帐户,请连接您的 Azure AD 管理员,检查日志。
我们可以在这里找到日志:
