拥有 AD FS 的新 MS Entra MFA 用户无法正确绕过 MFA 要求以允许初始 ProofUp

我正准备让一组新用户使用 Entra/AD FS 进行 MFA 身份验证，但遇到了一些麻烦（幸好仍处于测试阶段！）

该环境是本地 AD/AD FS 服务器 (2019)，通过 P1 同步到 Entra 以支持 MFA。这对大多数用户来说都有效。根据文档，当用户激活新帐户时，他们会被重定向到 mysignins.micrsoft.com/security-info 上的 MS“ProofUp”流程，并可以完成注册/身份验证。它允许他们最初绕过 MFA 要求以到达“mysignins.micrsoft.com/security-info”页面，直到提供其他因素，这是应该的。

但是，现在有一类用户已经拥有 Microsoft Authenticator 应用程序，并且已经使用我们的“工作或学校帐户”登录了该应用程序，但尚未真正完成向我们的 Azure/Entra 租户注册该应用程序以进行 MFA。值得注意的是，该应用程序根本没有出现在 Entra 管理控制台中用户的“身份验证方法”部分中。这些是学生（我们是一所大学），他们在我们要求学生进行 MFA 之前使用该应用程序与外部服务进行 MFA，现在我们不再使用该服务。

这些用户无法加载 mysignins.micrsoft.com/security-inf ProofUp 页面，而是进入重定向循环，他们不断回到我们的 AD FS 网站，说他们需要完成 MFA 注册。

一个关键是用户从来没有看到过实际的错误消息。他们只是无法跳过要求他们注册 MFA 令牌的 AD FS 页面。他们为继续前进所做的任何操作都会将他们重定向回这一点。此外，除非他们确实输入了错误的密码，否则这些用户在 Entra 中的登录日志将仅显示“成功”结果，即使这些是在我们为用户启用 MFA 要求之前（或在我们因失败而释放他们之后）的。

---

更新：

我现在能够重新创建这个新的按照以下步骤按需测试用户：

1. 在本地 Active Directory 中创建用户
2. 确保用户尚不需要 MFA，并让其同步到 Azure AD/Entra
3. 使用尚未在 Entra 注册的测试移动设备
4. 在设备上全新安装 MS Authenticator 应用程序（如果已安装，请先将其完全删除，然后重新安装，以便清除之前测试的任何本地数据）
5. 使用在步骤 1 中创建的用户凭据，以工作/学校帐户身份登录 Authenticator 应用
6. 关闭并退出该应用程序。
7. 将用户设置为要求我们的某个 AD FS 依赖方进行 MFA（我们在此处通过在 AD 中添加组成员身份来实现）
8. 让用户尝试访问受保护的应用程序

重要的是步骤 5 和 6 发生在步骤 7 之前。

AD FS 现在将正确确定用户需要完成 MFA；它将向他们显示一条消息根据文档然后在 5 秒后尝试将其重定向到 Entra ProofUp 页面。但 ProofUp 页面不会允许访问，并立即将其重定向回 AD FS 以重复该循环。用户无法完成 ProofUp 过程。

---

在管理控制台中，用户使用下面显示的“要求重新注册多因素身份验证”按钮不是努力解决这一问题。

到目前为止，我有两种方法可以推动这些用户前进：

1. 手动输入其他因素（例如手机号码）。我们很快就会通过这种方式吸引数百名额外用户，而我不一定有这些手机号码。我需要更好的方法。
2. 专门更改 Office 365 应用的访问控制策略，使其不再需要 MFA。这并不像乍一看那么糟糕，因为我们使用 Google Workspace 来处理电子邮件和大多数文档服务，但这显然也不好，也不是我想要长期忍受的事情。

我如何清除这些用户未完成的 Authenticator 应用程序注册，或者允许他们继续进行 MFA 注册？

我不能成为第一个遇到这种情况的人，因为这可能发生在任何跳过正常流程中的步骤并尝试过早添加身份验证器应用程序的人身上。