我正准备让一组新用户使用 Entra/AD FS 进行 MFA 身份验证,但遇到了一些麻烦(幸好仍处于测试阶段!)
该环境是本地 AD/AD FS 服务器 (2019),通过 P1 同步到 Entra 以支持 MFA。这对大多数用户来说都有效。根据文档,当用户激活新帐户时,他们会被重定向到 mysignins.micrsoft.com/security-info 上的 MS“ProofUp”流程,并可以完成注册/身份验证。它允许他们最初绕过 MFA 要求以到达“mysignins.micrsoft.com/security-info”页面,直到提供其他因素,这是应该的。
但是,现在有一类用户已经拥有 Microsoft Authenticator 应用程序,并且已经使用我们的“工作或学校帐户”登录了该应用程序,但尚未真正完成向我们的 Azure/Entra 租户注册该应用程序以进行 MFA。值得注意的是,该应用程序根本没有出现在 Entra 管理控制台中用户的“身份验证方法”部分中。这些是学生(我们是一所大学),他们在我们要求学生进行 MFA 之前使用该应用程序与外部服务进行 MFA,现在我们不再使用该服务。
这些用户无法加载 mysignins.micrsoft.com/security-inf ProofUp 页面,而是进入重定向循环,他们不断回到我们的 AD FS 网站,说他们需要完成 MFA 注册。
一个关键是用户从来没有看到过实际的错误消息。他们只是无法跳过要求他们注册 MFA 令牌的 AD FS 页面。他们为继续前进所做的任何操作都会将他们重定向回这一点。此外,除非他们确实输入了错误的密码,否则这些用户在 Entra 中的登录日志将仅显示“成功”结果,即使这些是在我们为用户启用 MFA 要求之前(或在我们因失败而释放他们之后)的。
更新:
我现在能够重新创建这个新的按照以下步骤按需测试用户:
- 在本地 Active Directory 中创建用户
- 确保用户尚不需要 MFA,并让其同步到 Azure AD/Entra
- 使用尚未在 Entra 注册的测试移动设备
- 在设备上全新安装 MS Authenticator 应用程序(如果已安装,请先将其完全删除,然后重新安装,以便清除之前测试的任何本地数据)
- 使用在步骤 1 中创建的用户凭据,以工作/学校帐户身份登录 Authenticator 应用
- 关闭并退出该应用程序。
- 将用户设置为要求我们的某个 AD FS 依赖方进行 MFA(我们在此处通过在 AD 中添加组成员身份来实现)
- 让用户尝试访问受保护的应用程序
重要的是步骤 5 和 6 发生在步骤 7 之前。
AD FS 现在将正确确定用户需要完成 MFA;它将向他们显示一条消息根据文档然后在 5 秒后尝试将其重定向到 Entra ProofUp 页面。但 ProofUp 页面不会允许访问,并立即将其重定向回 AD FS 以重复该循环。用户无法完成 ProofUp 过程。
在管理控制台中,用户使用下面显示的“要求重新注册多因素身份验证”按钮不是努力解决这一问题。
到目前为止,我有两种方法可以推动这些用户前进:
- 手动输入其他因素(例如手机号码)。我们很快就会通过这种方式吸引数百名额外用户,而我不一定有这些手机号码。我需要更好的方法。
- 专门更改 Office 365 应用的访问控制策略,使其不再需要 MFA。这并不像乍一看那么糟糕,因为我们使用 Google Workspace 来处理电子邮件和大多数文档服务,但这显然也不好,也不是我想要长期忍受的事情。
我如何清除这些用户未完成的 Authenticator 应用程序注册,或者允许他们继续进行 MFA 注册?
我不能成为第一个遇到这种情况的人,因为这可能发生在任何跳过正常流程中的步骤并尝试过早添加身份验证器应用程序的人身上。
答案1
导航到 Azure Active Directory > 用户 > 所有用户 > 选择要对其执行操作的用户 > 选择身份验证方法 > 要求重新注册 MFA https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-userdevicesettings#next-steps
更新:这是 Microsoft 支持人员用来分析 adfs 日志的脚本。可能会有帮助 https://github.com/CSS-Identity/ADFS-Diag/
答案2
我们将这样解决这个问题:
我在 AD 中添加了一个名为 的附加组来管理 MFA MFA_ProofUpBypass
。然后,我在 AD FS 中创建了一个新的访问控制策略,其中包含三个条件:
- 允许除 MFA_Required 组之外的所有人
- 允许来自 MFA_Required 组的用户并要求除 MFA_ProofUpBypass 组之外的用户进行多重身份验证
- 允许来自 MFA_ProofUpByPass 组的用户
成功测试该策略后,我将其应用于我们的 Micrsoft 365 依赖方(并且仅有的此依赖方)在 AD FS 中。
现在,当我们从这个群体中添加新用户时(每周大约分批添加 30 名用户,因为我们只有 2 名支持团队,而且他们还需要处理常规请求),我们将首先将用户添加到两个都和组同时进行MFA_Required
。MFA_ProofUpBypass
这样,这些用户将能够完成他们的 MFA 注册过程,并且现有的 MFA 用户不会失去 Microsoft 365 服务的帐户保护。
然后,由于我们知道每个批次都已成功完成注册,我们可以将它们从MFA_ProofUpBypass
组中删除,这样它们也将受到 Microsoft 365 服务的 MFA 保护。
展望未来,由于我们面临正常的用户流失和问题,我们可以继续使用该MFA_ProofUpByass
小组来帮助支持用户解决此类问题以及转移到新手机等问题。
我仍然想彻底解决这个问题,但我没有时间了(有点 - 我们要到下个学期才开始,但我需要高层领导在假期前本周批准迁移计划)。