我们正在使用 365 并设置多因素身份验证。
我的想法是,使用混合 Azure AD 连接设备的用户已经拥有一种额外的身份验证形式,即设备。考虑到我的许多现场用户在技术上并不擅长,对于混合连接的设备,最好放弃这一点。
现在,也许这个说法成立,也许不成立,我不确定。我不知道攻击者如何利用这一点。但如果我允许使用混合 Azure AD 加入设备的用户不需要 MFA,那么一些只使用一台公司笔记本电脑的用户可能永远不会看到多因素身份验证设置屏幕,因此 MFA 永远不会被设置。这反过来意味着,如果他们的帐户被盗用,攻击者可以利用这一点。
我当然可以举报和追踪他人,但我更愿意找到某种方式来强制自动执行此操作。但我不相信有这样的方法。
答案1
我所寻找的答案是使用 Azure AD Identity Protection 并创建多因素注册策略。这反过来又需要 Azure AD Premium P2 许可证。
我在这篇博文中找到了答案。
http://eskonr.com/2018/03/different-methods-to-setup-azure-mfa-registration-for-o365/