我们正在使用 365 并设置多因素身份验证。
我的想法是,使用混合 Azure AD 连接设备的用户已经拥有一种额外的身份验证形式,即设备。鉴于我的许多现场用户在技术上没有天赋,最好放弃这个用于混合连接设备。
现在也许这会成立,也许不会,我不确定。我不知道攻击者如何利用它。但是,如果我允许使用混合 Azure AD 连接设备的用户不需要 MFA,那么某些仅使用一台公司笔记本电脑的用户可能永远不会看到多因素身份验证设置屏幕,因此 MFA 将永远无法设置。这反过来意味着,如果他们的帐户遭到入侵,攻击者可以利用它。
我当然可以运行报告并追逐人们,但我宁愿找到一些自动强制执行此操作的方法。我不相信有一个。
我一直在寻找的答案是使用 Azure AD 身份保护并创建一个多因素注册策略。这反过来又需要天蓝色的广告高级 P2 许可证。
我在这篇博文中找到了答案。
http://eskonr.com/2018/03/different-methods-to-setup-azure-mfa-registration-for-o365/