我们有一个 M365 租户,并且对所有用户强制实施 MFA。
我们可以在智能手机上使用带有基于时间的代码(6 位 TOTP 代码)的短信 (SMS) 或 Microsoft Authenticator 应用程序。
我们希望某些用户的 MFA 设置为“批准”模式。即当用户尝试登录时,MS Authenticator 会要求用户批准登录请求,用户只需按下“批准”按钮即可。
我们如何配置它?
注意:我们知道这可能不太安全,有些用户会直接批准任何请求,即使他们不是发起者。这是为非常特定的用户设置的,我们相信这些用户能够正确使用此功能。
答案1
要启用无密码手机登录的身份验证方法,请完成以下步骤:
使用身份验证策略管理员帐户登录 Azure 门户。
搜索并选择 Azure Active Directory,然后浏览到安全 > 身份验证方法 > 策略。
在 Microsoft Authenticator 下,选择以下选项:
a. 启用 - 是或否
b. 目标 - 所有用户或选择用户
默认情况下,每个添加的组或用户都允许在无密码和推送通知模式(“任意”模式)下使用 Microsoft Authenticator。要更改模式,请为身份验证模式的每一行选择“任意”或“无密码”。选择“推送”可防止使用无密码手机登录凭据。
要应用新策略,请单击保存。
希望这可以帮助!