Принудительное использование номера телефона в Azure Active Directory MFA

У меня есть экземпляр Azure Active Directory, в котором я включил MFA с использованием текстовых сообщений.

Я попытался войти в систему с помощью пользователя, у которого в профиле указан номер телефона, и мне было предложено диалоговое окно, содержащее номер телефона пользователя.

Проблема в том, что это диалоговое окно позволяет пользователю редактировать этот номер, вместо того, чтобы заставить его использовать номер, настроенный в профиле.

Как я могу сделать так, чтобы в этом диалоговом окне использовался только номер телефона пользователя?

РЕДАКТИРОВАТЬ: Это конфигурация в разделе аутентификации: введите описание изображения здесь

Процесс входа: (обратите внимание, как можно изменить номер телефона) введите описание изображения здесь


azure multi-factor-authentication azure-active-directory
person Gilad Naaman    schedule 26.05.2020    source источник

Ответы (2)


arrow_upward
0
arrow_downward

На основании моих исследований. Во-первых, перейдите в MFA-> Дополнительные настройки MFA в облаке и настройте параметры проверки MFA для использования «Текстовое сообщение на телефон».

введите здесь описание изображения

Теперь выберите вкладку пользователей и включите MFA для пользователя. введите здесь описание изображения

Также избегайте MFA из политик CA для пользователя, поскольку он уже был установлен как MFA (упомянутый выше), чтобы избежать конфликта.

Вам необходимо настроить параметры пользователей для использования определенного номера телефона, чтобы он не предлагал пользователям диалоговое окно с сообщением «Вашей организации требуется дополнительная информация для обеспечения безопасности вашей учетной записи» для обновления номера телефона.

  1. Перейдите в Azure Active Directory> Пользователи> Все пользователи.
  2. Выберите пользователя, с которым вы хотите выполнить действие, и выберите Методы аутентификации, затем добавьте номер телефона и сохраните. введите здесь описание изображения
  3. Если мы используем альтернативный номер телефона, Azure AD попросит нас включить использование номера телефона по умолчанию, как показано на рисунке ниже. введите здесь описание изображения
person Hari Krishna    schedule 26.05.2020
comment
Я заполнил все эти поля, но все равно получаю сообщение о том, что вашей организации требуется дополнительная информация для обеспечения безопасности вашей учетной записи. - person Gilad Naaman; 26.05.2020
comment
Это может быть связано с SSPR. Для проверки перейдите в Azure AD ›Сброс пароля› Свойства ›Пароль самообслуживания› установите значение «Нет». Это может избежать запроса, но не позволит пользователям сбрасывать свои пароли, если они заблокированы для своих учетных записей. Если вы все еще сталкиваетесь с проблемой, не могли бы вы поделиться некоторыми скриншотами сообщения, а также более подробной информацией, например, когда вы нажимаете кнопку «Далее» для запроса. - person Hari Krishna; 26.05.2020
comment
SSRP уже имеет значение Нет. Я добавил фотографии процесса входа в основной пост - person Gilad Naaman; 26.05.2020
comment
В настоящее время я не могу воспроизвести, но скоро изучу и обновлю ответ. - person Hari Krishna; 26.05.2020
comment
Вы используете какой-либо условный доступ к пользователю? - person Hari Krishna; 26.05.2020
comment
да. Я включил условный доступ для тестирования, потому что пользовательский интерфейс предупредил меня не включать его для всех пользователей из-за страха блокировки. - person Gilad Naaman; 26.05.2020
comment
Я провел небольшое исследование и обновил ответ. Надеюсь, это поможет на этот раз. - person Hari Krishna; 26.05.2020
comment
Я отключил условный доступ и включил параметры безопасности по умолчанию, но похоже, что пользователю вообще не предлагается ввести MFA. - person Gilad Naaman; 26.05.2020
comment
Извините за непонятность. Пожалуйста, проверьте мой обновленный ответ сейчас - person Hari Krishna; 26.05.2020
comment
Давайте продолжим это обсуждение в чате. - person Gilad Naaman; 27.05.2020

arrow_upward
0
arrow_downward

Это можно сделать с помощью PowerShell (взято из здесь)

Install-Module -NameMSOnline
Connect-MsolService 
$UserPrincipalName = "[email protected]"
$SMS = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$SMS.IsDefault = $true
$SMS.MethodType = "OneWaySMS"
$Phone = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$Phone.IsDefault = $false
$Phone.MethodType = "TwoWayVoiceMobile"
$PrePopulate = @($SMS, $Phone)
Set-MsolUser -UserPrincipalName $UserPrincipalName -StrongAuthenticationMethods $PrePopulate

Я до сих пор не знаю, как сделать его по умолчанию для всех пользователей.

person Gilad Naaman    schedule 27.05.2020