我正在我的 Azure AD 中创建一组动手实验室用户以访问Azure Labs。我们将重复使用这些用户帐户(并在每次实验后重置密码)。
我的挑战是这些用户需要配置 MFA。我认为这被称为此处描述的 Azure AD 中断模式。
有没有办法排除这些用户组需要进行设置?
问问题
70 次
2 回答
1
我认为这可以通过导航到 Azure AD - 默认目录 - 属性 - 管理安全默认值(位于页面底部)完全禁用 - 启用安全默认值 - 将其设置为否。
如果是基于每个用户,则导航到 Azure AD - 所有用户 - 每个用户 MFA - 这将列出所有用户,然后您可以选择其中的“n”个用户来启用或禁用 MFA。
于 2021-09-28T06:57:35.210 回答
0
// 回答我自己的问题,希望对某人有所帮助。
第一步也是显而易见的步骤是禁用 MFA。此链接中对此进行了描述:https ://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-userstates
但是,在此之后,您可能仍会遇到上述问题屏幕截图中共享的中断向导。这是由于启用了自助服务密码重置 (SSPR)。如果启用了 SSPR,那么他们仍然需要 MFA 才能进行密码重置。
解决方案 1:如果您希望启用 SSPR,则创建一个在登录时需要 MFA 的条件访问策略。
- 这样,只有当用户想要执行 SSPR 时才会触发 MFA。
- 对于此实验室用户方案,您仍然需要为每个用户设置一次 MFA(您可以使用相同的联系方式)。
额外说明:我尝试使用 PowerShell 批量设置 MFA 详细信息。但是,无法设置 MSOL 用户对象的 StrongAuthenticationUserDetails 属性。
解决方案 2:禁用 SSPR 或限制使用 AD 组的选定用户
- 不要将实验室用户包括在选定的用户组中。由于这些用户不允许使用 SSPR,因此不再向这些用户询问额外的 MFA 详细信息。
- 缺点:该设置包括应具有 SSPR 的用户组。无法仅排除实验室用户。
解决方案 2 适用于我,但可能不适用于所有人。
于 2021-09-28T06:53:28.197 回答