我遇到了一个非常有趣的情况,我无法解释。我在两台设备上有两个用户。用户和设备的配置方式相同。我仔细检查了所有内容,发现用户和设备的配置和日志范围相同。
但是,第一个用户(使用与第二个用户相同的浏览器)在登录“office.com”时,会提示在隐身模式下输入 WHFB 方法作为通过 MS Entra ID MFA 验证的选项。第二个用户根本没有此选项(他必须使用常规的 MS Entra ID MFA 选项)。
微软在这里告诉我: https: //learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/faq WHFB 不能在隐身模式下使用。嗯,根据我的经验,它是可以的,我想知道这到底是怎么回事。
以下是在第一台设备上设置的使用 WHFB 方法在隐身模式下传递 MS Entra ID MFA 的选项:
我们在混合加入的设备上使用了云 Kerberos 信任。所有配置都正确。所有日志、结果和调试都正常。
我发现,当我在门户网站“login.microsoftonline.com”上选择“登录选项”选项而不是输入用户的 UPN 时,第二个用户可以在浏览器的隐身模式下使用 WHFB 登录。当我输入 UPN 时,我将转到我们的 ADFS,然后我必须使用 MS Entra ID MFA(在这种情况下,WHFB 不是一个选项)。所以我不知道为什么第一个用户在通过 ADFS 后被要求提供 WHFB,而第二个用户在通过 ADFS 时没有被要求提供 WHFB。更重要的是,在我们的案例中,WHFB 可以在浏览器的隐身模式下使用。我不知道 MS 在 WHFB FAQ 链接中谈论的是什么。
于是我找到了答案。
问题是(目前),即使混合用户已部署、配置和注册 WHFB,MS Entra ID 仍会在“系统首选多因素身份验证方法”中显示经典的 MS Entra ID MFA 方法。此信息可在 MS Entra ID - {用户} - 身份验证方法中找到。
这意味着即使您已将 WHFB 注册为用户的身份验证方法,也不会影响“系统首选多因素身份验证方法” - 至少从我的经验来看不会。
现在事情开始变得有趣了。
当您将 FIDO2 HW 密钥注册到用户帐户时,“系统首选多因素身份验证方法”将从经典的 MS Entra ID MFA 方法更改为 FIDO2。此更改将影响登录流程。不再要求您使用经典的 MS Entra ID MFA 方法,但要求您使用 FIDO2 密钥或 WHFB 方法。这样,您可以使用 WHFB 作为跳过经典 MS Entra ID MFA 方法的主要方法。但是,当您的帐户中没有注册 FIDO2 密钥时,无法使用 WHFB 替代经典的 MS Entra ID MFA 方法 - 您必须使用经典的 MS Entra ID MFA 方法(WHFB 不是这里的选项)。
但是您的 WHFB 处于活动状态,您仍然可以使用它,但在“login.microsoftonline.com”中,您必须选择“登录选项”,而不是输入您的 UPN(电子邮件)。当您选择“登录选项”时,您可以使用 WHFB 进行无密码登录。当您输入 UPN(电子邮件)时,您将处于我描述的有或没有 WHFB(基于 FIDO2 注册)的场景。
我不知道这是暂时的错误、糟糕的设计还是背后有某种逻辑。我不明白为什么当您可以使用 WHFB 进行无密码登录时,您不能使用 WHFB 替代经典的 MS Entra ID MFA 方法。好吧,您可以这样使用它,但您需要将 FIDO2 密钥注册到您的 MS Entra ID 帐户。
我希望微软能尽快修复或改变这种行为,因为它没有任何意义。当您阅读本文时,可能微软已经更改了逻辑。