我们有一个用于 SSO 的本地 AD FS 2019 服务器,连接到 Azure AD(唉,现在是 Entra ID)进行 MFA。我们密切关注本文档在进行设置时,它已经运行了一段时间了。 但这是针对员工的,他们都是居住在美国的英语母语人士。我们是一所小型大学,最近开始招收学生攻读 MFA。这其中包括一些非英语母语的学生。据我所知,这些人的默认文档不完整或有问题。 具体来说,在标题为“捕获错误并更新页面文本”,文档提供的 javascript 仅查找原始错误的英语版本。*即使您手动更改 URL 以显示其他语言,情况也是如此。 更糟糕的是,我看不到任何简单的方...
我正准备让一组新用户使用 Entra/AD FS 进行 MFA 身份验证,但遇到了一些麻烦(幸好仍处于测试阶段!) 该环境是本地 AD/AD FS 服务器 (2019),通过 P1 同步到 Entra 以支持 MFA。这对大多数用户来说都有效。根据文档,当用户激活新帐户时,他们会被重定向到 mysignins.micrsoft.com/security-info 上的 MS“ProofUp”流程,并可以完成注册/身份验证。它允许他们最初绕过 MFA 要求以到达“mysignins.micrsoft.com/security-info”页面,直到提供其他因素,...
我们在 Exchange 本地部署 2016 中配置了 Azure MFA。不幸的是,使用旧的电子邮件客户端(例如 Outlook 2010)可以轻松绕过 MFA 控制。这是一个已知问题,升级是自然途径。在我们走上这条路之前,我想知道这是否是一种检测这些基本身份验证尝试的方法。 非常感谢 ...
我希望有人能帮助指导我! 我们有一个 RDS 环境并引入了 Azure MFA,并使用以下指南成功构建了它:https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg 我遇到的问题是,我们需要有机会让用户在他们没有移动设备的情况下不必提供 MFA。我的理解是,无论如何,任何到达安装了 MFA 扩展的 NPS 服务器的请求都会提示进行 MFA。 我在 Microsoft 的这个页面上做了一些事情(https://learn...
我们有一个 M365 租户,并且对所有用户强制实施 MFA。 我们可以在智能手机上使用带有基于时间的代码(6 位 TOTP 代码)的短信 (SMS) 或 Microsoft Authenticator 应用程序。 我们希望某些用户的 MFA 设置为“批准”模式。即当用户尝试登录时,MS Authenticator 会要求用户批准登录请求,用户只需按下“批准”按钮即可。 我们如何配置它? 注意:我们知道这可能不太安全,有些用户会直接批准任何请求,即使他们不是发起者。这是为非常特定的用户设置的,我们相信这些用户能够正确使用此功能。 ...
我已成功pam_radius在 Ubuntu 客户端上进行配置,以便要求用户输入 OTP。radius 服务器是带有 Azure MFA 扩展的 NPS。OTP 会根据 Azure 进行检查。 它运行良好,但我宁愿不将用户凭据发送到 NPS,这样只检查 OTP。此外,在输入密码之前先要求用户输入 OTP 也不错。 我在其他地方读到过(https://learn.microsoft.com/en-us/answers/questions/20921/mfa-nps-error.html) 如果我们在 NPS 上选择“接受用户而不验证凭据”(除了 pam_rad...
有没有办法在访问特定资源时从 MFA 中排除条件访问策略? 在这种情况下,这是在访问 SQL 托管实例时。其他一切都必须应用 MFA。 ...
我们正在通过 Azure AD 向整个组织的所有员工部署 TOTP 令牌。我们强烈建议所有员工将 Microsoft Authenticator 用作默认令牌,而那些拥有公司发放的移动设备的员工已经通过 MDM 将其推送出去。我们还鼓励所有其他人在他们的个人移动设备上安装 Microsoft Authenticator(或类似产品)。我们几乎完成了部署,但已经有人来找我们说他们丢失了令牌,或者经常把令牌忘在家里。目前我们正在暂时禁用 MFA,或发布新令牌。 作为 IT 部门,我们的存在是为了满足组织的需求,我们...
目前,我正在查看具有多个订阅的单个 Azure 租户的配置。生产资源和非生产资源通过订阅进行分隔。 我想了解如何通过 Microsoft Authenticator 实现 MFA,以便 用户需要针对不同的环境输入不同的 PIN 或凭证。我希望将生产环境与非生产环境以及公司电子邮件等分开。 用户将针对每个环境获得一个唯一的令牌。 Azure AD 组将在订阅中使用来限制哪些用户可以访问不同的资源。 这可以在单个租户内实现吗? ...
对于 Exchange Online 中的电子邮件帐户,如果用户连接到我们的 VPN,然后尝试打开 Outlook(Windows 应用程序),系统会提示他们使用 Exchange Online 进行身份验证。但失败了,我认为是因为它需要 MFA,但 Outlook 似乎无法提供 MFA 响应,而 AAD 需要。因此它只是不断弹出密码提示,但这不足以进行身份验证。 它要求进行 MFA,因为连接的笔记本电脑的 IP 不在白名单/有条件访问授予的安全位置,因此需要 MFA。很难添加,因为这些外部笔记本电脑的 IP 经常变化。 我应该注意,如果我关闭 VPN ...
我有一个 Azure AD 租户,并且为正在构建的应用程序创建了一个 Azure AD B2C 租户。 MFA 设置的“短链接”是https://aka.ms/mfasetup但这允许我为我的主要租户配置 MFA? 是否有包含租户 ID 的 MFA 门户 URL? 或者如何在 MFA 门户中切换租户? ...
我的公司使用 NPS 服务器和 Microsoft Authenticator 应用来促进 RDP 连接的双因素身份验证。我们使用 Windows Server 2016 和 Azure Active Directory。 是否可以重新使用此 NPS 基础架构来直接验证对 Web 应用程序的请求,而无需进行 RDP 会话? 如果是的话,您知道它的一个示例实现吗? ...
我们希望在 Windows Server 系统上要求 RDP 登录(和本地登录)采用多因素身份验证。目前,我们所有的 Windows Server 系统都是 Windows Server 2016。我们正在使用 Azure Active Directory 免费套餐(但如果需要,也可以升级)。我们不想混合使用第三方产品。 因此,理想情况下,我们会将 Windows Server 2016 系统加入 Azure AD。然后,我们会以某种方式要求多因素身份验证。 我们无法找到有关如何执行此操作的简单指南。 StackExchange 上有一些关于此主题的问题,但...
我目前正在为一大群用户实施 Azure 条件访问。一切看起来都很好,但我们收到投诉,称人们需要经常重新进行身份验证。我们已将“记住 MFA”复选框配置为 30 天。我预计,如果有人在选中此复选框的情况下登录设备 X,他们在接下来的 30 天内无需提供 MFA 令牌;与他们的 IP 无关。但似乎人们在频繁切换 IP 时会遇到 MFA 挑战。 这是正确的行为吗?请求新 MFA 令牌的触发因素是什么?此外,有什么建议可以“修复”此行为吗? ...
我遵循了本指南https://docs.microsoft.com/en-ca/azure/active-directory/authentication/howto-mfa-nps-extension-rdg 问题是我的所有用户都能够登录,而无需提示 MFA。 这是我在带有扩展的 NPS 服务器上看到的日志。 Azure MFA 的 NPS 扩展:Radius 请求缺少 NAS 标识符和 Nas IpAddress 属性。建议至少填充其中一个字段。这不是错误。 并且 NPS 记录在网关服务器上.... 从 RADIUS 客户端 xx...