有没有办法使用 azure MFA(使用 Authenticator 应用程序)进行 Windows 10 桌面登录?目标是登录域 PC 的用户需要通过 Microsoft Authenticator App 对 PC 上的每次登录进行身份验证。我知道有一个类似的问题是两年前的问题。据说当时不可能。否则,有文章说使用 azure hybrid join 是可行的。我们的域环境由 50 台域 PC 组成。我们已将 AD 用户同步到 Azure,但尚未同步到 PC。实现目标的最佳方式是什么?这甚至可能吗?谢谢您的帮助!
该解决方案将取决于用户帐户类型和设备类型。
Microsoft 帐户(个人)
目前,完全支持使用 Authenticator 应用程序无密码登录 Windows 10/11 的个人 Microsoft 帐户(例如 @outlook.com)。
Azure AD 加入设备上的 Azure AD 帐户(工作或学校)
有一个称为Web 登录的功能,它允许使用 Azure AD 帐户和 Authenticator 应用程序登录到 Windows。不幸的是,它仅在加入 Azure AD 的设备上受支持,而不在混合 PC 上受支持。此外,它目前处于预览阶段,没有明确的预计到达时间,因此它可能还没有准备好投入生产。
Azure AD 帐户或混合 AAD 混合加入设备或域设备上的 AD 帐户
您仍然可以通过设备 PIN、生物识别、智能卡或 FIDO2 密钥使用 Windows Hello 企业版 (WHfB) 实现域帐户(混合或本地)的无密码登录。此方案不支持身份验证应用程序。基本上,WHfB 使用基于非对称密钥对的强用户身份验证来替换 Windows 的用户名和密码登录。从这里开始有点棘手。例如,WHfB 与 Windows Hello 不同,即使它包含完全相同的词(我知道,对)。根据您当前的环境,部署可能会变得复杂。更多信息可以在官方部署指南中找到