MFA автоматически включается для Azure AD B2 C арендатора

Question

Я недавно добавил Azure AD B2 C арендатора к существующей подписке.

Всякий раз, когда я хочу управлять этим арендатором на портале. azure .com, я должен подтвердить свою учетную запись:

После нажатия Далее я могу только выбрать Мобильное приложение из раскрывающегося списка, чтобы подтвердить свой аккаунт. Нет возможности проверить по телефону.

Поскольку этот арендатор является новым, мне сначала нужно зарегистрировать его в Microsoft Authenticator, выбрав Настройка :

Появляется сообщение об ошибке без идентификатора корреляции или отметки времени:

Нет политик условного доступа. На самом деле, я не могу добавить ни одного, так как этот арендатор не имеет Azure AD Premium. А также арендатор Azure AD, содержащий подписку, из которой был создан этот клиент AD B2 C.

MFA требуется только при попытке управлять клиентом AD B2 C через портал. azure .com, не в других приложениях и не при доступе к клиенту Azure AD.

Вопросы:

• Как я могу отключить MFA для этого AD B2 C арендатора? И почему он был включен в первую очередь?
• Если MFA не может быть отключен, как я могу зарегистрировать свое устройство или номер телефона?

Thx,

Answer 1

Проблема решена. Не уверен, что Azure Служба поддержки предприняла действия без уведомления, или из-за того, что я сделал. В любом случае, вот шаги, которые я предпринял:

• На портале . azure .com , go до Azure AD> Пользователи> Многофакторный Аутентификация. (Он находится в верхнем меню.)
  

• В новом окне браузера откроется страница многофакторной аутентификации.
  Включить MFA для учетной записи пользователя с проблемой.

• Войдите в систему с этой учетной записью в account.activedirectory. windowsazure .com .
• Щелкните свою учетную запись в правом верхнем углу, чтобы открыть в раскрывающемся меню выберите «Профиль».
• Выберите «Дополнительная проверка безопасности».
  Здесь доступны все параметры проверки, включая вызов, текст или использование мобильного приложения (Microsoft Authenticator).
• Заполните дополнительную проверку безопасности и убедитесь, что MFA работает.
• Go вернитесь к Azure AD> Многофакторная аутентификация пользователей и снова отключите MFA.

В нашем случае Для MFA было установлено значение Отключено для всех пользователей, но в любом случае оно активно, как для локальных учетных записей в клиенте AD B2 C, так и для внешних учетных записей Active Directory.

Состояние MFA для внешних пользователей Active Directory нельзя изменить на Multi Страница аутентификации фактора клиента AD B2 C. Это должно быть сделано на странице Azure AD соответствующего клиента AD.

Проблема решена, но причина не определена. У нас нет подписки AD Premium и вообще не должно быть доступа к функции MFA.

Answer 2

Я думаю, твой ответ @flip - часть загадки. По сути, вы предварительно регистрируете свой номер телефона, поэтому, когда вам необходимо настроить MFA, вам предоставляются дополнительные опции ТЕКСТ. Мы заметили различия в процессах присоединения AAD, когда иногда вам предлагается ввести номер телефона до этого шага, а иногда нет.

Например, если вы входите в систему как локальный пользователь и Присоединитесь к AAD, как показано на рисунке, вы можете получить оба сценария ios. Я думаю, что то же самое верно для новой сборки, как и в предыдущем тесте, мы должны были ввести номер мобильного телефона, но я не могу вспомнить, какой именно сценарий.

Однако, спустя еще несколько дней с поддержкой Azure нам удалось выделить root причину, если кому-то это интересно. Оказывается, что MFA IS применяется через «Security Defaults» (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults). MS фактически только что обновила свою статью СЕГОДНЯ, чтобы прояснить.

По сути, отключение настроек безопасности по умолчанию остановит принудительное применение, хотя и не стоит путать приглашения с настройкой Windows Hello, как мы это делали (мы тестировали, отключив полностью через групповую политику). Я убежден, однако, что это не имело место неделю go, и что-то недавно изменилось за кулисами.

Итог, вам придется развернуть MFA в той или иной форме, чтобы присоединиться к AAD если вы не отключите настройки безопасности по умолчанию. Не подходит для миграции конечных точек, но, по крайней мере, мы знаем, откуда она идет.

Answer 3

Я думаю, что мы, возможно, частично поняли это. В нашем случае отключение MDM User Scope позволило войти в систему без принудительной «дополнительной проверки безопасности». У нас также нет подписки InTune, но она находится в разделе AAD> Mobility (MDM и MAM). Однако это означает, что устройства не зарегистрированы, поэтому следующий вопрос - откуда именно MDM выбирает эту конфигурацию. Будем помещать это в службу поддержки Azure, когда завтра нам снова позвонят!