我们有一个为所有用户强制执行 MFA 的 M365 租户。
我们可以在智能手机上使用基于时间的代码(6 位 TOTP 代码)的短信 (SMS) 或 Microsoft Authenticator 应用程序。
我们希望某些用户将 MFA 设置为“批准”模式。IE 当用户尝试登录时,MS Authenticator 会要求用户批准登录请求,用户只需按下“批准”按钮即可。
我们如何配置它?
注意:我们知道这可能不太安全,一些用户会简单地批准任何请求,即使他们不是发起者。这是为非常特定的用户设置的,我们相信这些用户可以正确使用此功能。
您需要启用无密码电话登录身份验证方法
要启用无密码电话登录的身份验证方法,请完成以下步骤:
使用身份验证策略管理员帐户登录到 Azure 门户。
搜索并选择 Azure Active Directory,然后浏览到安全 > 身份验证方法 > 策略。
在 Microsoft Authenticator 下,选择以下选项:
一种。启用 - 是或否
b. 目标 - 所有用户或选择用户
默认情况下启用每个添加的组或用户以在无密码和推送通知模式(“任何”模式)下使用 Microsoft Authenticator。要更改模式,请为身份验证模式的每一行选择任意或无密码。选择推送可防止使用无密码电话登录凭据。
要应用新策略,请单击保存。
希望这可以帮助!