我遇到了一个非常有趣的情况,我无法解释。我在两台设备上有两个用户。用户和设备的配置方式相同。我仔细检查了所有内容,发现用户和设备的配置和日志范围相同。
但是,第一个用户(使用与第二个用户相同的浏览器)在登录“office.com”时,会提示在隐身模式下输入 WHFB 方法作为通过 MS Entra ID MFA 验证的选项。第二个用户根本没有此选项(他必须使用常规的 MS Entra ID MFA 选项)。
微软在这里告诉我: https: //learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/faq WHFB 不能在隐身模式下使用。嗯,根据我的经验,它是可以的,我想知道这到底是怎么回事。
以下是在第一台设备上设置的使用 WHFB 方法在隐身模式下传递 MS Entra ID MFA 的选项:
我们在混合加入的设备上使用了云 Kerberos 信任。所有配置都正确。所有日志、结果和调试都正常。
我发现,当我在门户网站“login.microsoftonline.com”上选择“登录选项”选项而不是输入用户的 UPN 时,第二个用户可以在浏览器的隐身模式下使用 WHFB 登录。当我输入 UPN 时,我将转到我们的 ADFS,然后我必须使用 MS Entra ID MFA(在这种情况下,WHFB 不是一个选项)。所以我不知道为什么第一个用户在通过 ADFS 后被要求提供 WHFB,而第二个用户在通过 ADFS 时没有被要求提供 WHFB。更重要的是,在我们的案例中,WHFB 可以在浏览器的隐身模式下使用。我不知道 MS 在 WHFB FAQ 链接中谈论的是什么。
