有没有办法使用 Azure MFA(使用 Authenticator 应用程序)进行 Windows 10 桌面登录?目标是,在域 PC 上登录的用户需要通过 Microsoft Authenticator 应用程序对 PC 上的每次登录进行身份验证。我知道有一个类似的问题,已经两年了。它说当时不可能。否则,有文章说使用 azure hybrid join 是可能的。我们的域环境由 50 台域 PC 组成。我们已将 AD 用户同步到 Azure,但尚未同步 PC。实现目标的最佳方法是什么?这可能吗?谢谢你的帮助!
答案1
解决方案取决于用户帐户类型和设备类型。
Microsoft 帐户(个人)
目前只有个人 Microsoft 帐户(例如@outlook.com)完全支持使用 Authenticator 应用程序无密码登录 Windows 10/11。
Azure AD 已加入设备上的 Azure AD 帐户(工作或学校)
有一个功能叫做网页登录它允许使用 Azure AD 帐户和 Authenticator 应用登录 Windows。遗憾的是,它仅支持加入 Azure AD 的设备,不支持混合 PC。此外,它目前处于预览阶段,没有明确的预计到达时间,因此可能尚未准备好投入生产。
混合 AAD 混合加入设备或域设备上的 Azure AD 帐户或 AD 帐户
您仍可以使用 Windows Hello for Business (WHfB) 通过设备 PIN、生物识别、智能卡或 FIDO2 密钥实现域帐户(混合或本地)的无密码登录。此场景不支持身份验证应用程序。基本上,WHfB 使用基于非对称密钥对的强用户身份验证取代了用户名和密码登录 Windows。从这里开始有点棘手。例如,WHfB 与 Windows Hello 不同,即使它们有完全相同的单词(我知道,对吧)。根据您当前的环境,部署可能会变得复杂。更多信息可以在以下位置找到官方部署指南