我正准备使用 Entra/AD FS 为一组新用户提供 MFA 身份验证,但遇到了一些麻烦(幸运的是仍在测试阶段!)
该环境是本地 AD/AD FS 服务器 (2019),与 P1 同步到 Entra 以支持 MFA。这适用于大多数用户。当用户激活新帐户时,他们将根据文档重定向到位于 mysignins.micrsoft.com/security-info 的 MS“ProofUp”流程,并可以完成注册/身份验证。它允许他们最初绕过 MFA 要求到达“mysignins.micrsoft.com/security-info”页面,直到提供其他因素(这是应该的)。
然而,现在有一类用户来到我们这里,他们已经拥有 Microsoft Authenticator 应用程序,并且已经使用我们的“工作或学校帐户”登录了该应用程序,但尚未实际完成 MFA 注册应用程序我们的 Azure/Entra 租户。值得注意的是,该应用程序根本不会出现在 Entra 管理控制台中用户的“身份验证方法”部分中。这些学生(我们是一所大学)在我们要求学生 MFA 之前,使用该应用程序通过外部服务进行 MFA,但我们现在不再使用该服务。
这些用户无法加载 mysignins.micrsoft.com/security-inf ProofUp 页面,而是进入重定向循环,他们不断地返回我们的 AD FS 站点,表示他们需要完成 MFA 注册。
关键是用户永远不会看到实际的错误消息。他们只是无法越过要求他们注册 MFA 令牌的 AD FS 页面。他们为前进所做的任何事情都会将他们重新引导回这一点。此外,这些用户在 Entra 中的登录日志只会显示“成功”结果,除非他们实际上输入了错误的密码,即使这些结果是在我们为用户启用 MFA 要求之前(或者在我们因以下原因而释放它们之后)失败)。
更新:
我现在可以通过以下步骤按需为新测试用户重新创建此内容:
- 在本地 Active Directory 中创建用户
- 确保用户尚不需要 MFA 并让它同步到 Azure AD/Entra
- 使用尚未在 Entra 注册的测试移动设备
- 在设备上全新安装 MS Authenticator 应用程序(首先将其完全删除,如果已存在则重新安装,以便清除之前测试的所有本地数据)
- 使用步骤 1 中创建的用户凭据作为工作/学校帐户登录身份验证器应用
- 关闭并退出应用程序。
- 将用户设置为要求我们的 AD FS 依赖方之一进行 MFA(我们通过在 AD 中添加组成员身份来实现此目的)
- 让用户尝试访问受保护的应用程序
重要的是步骤 5 和 6 发生在步骤 7 之前。
AD FS 现在将正确确定用户需要完成 MFA;它会根据文档向他们显示一条消息,然后在 5 秒后尝试将他们重定向到 Entra ProofUp 页面。但验证页面将不允许访问并立即将其重定向回 AD FS 以重复该循环。用户无法完成 ProofUp 过程。
在管理控制台中为用户使用如下所示的“需要重新注册多重身份验证”按钮无法解决此问题。
到目前为止,我有两种方法可以推动这些用户前进:
- 手动输入他们的附加因素(例如手机)。我们很快就会通过这种方式增加数百名用户,但我不一定有这些手机号码。我需要更好的东西。
- 专门更改 Office 365 应用程序的访问控制策略,以不需要 MFA。这并不像乍看起来那么糟糕,因为我们使用 Google Workspace 来处理电子邮件和大多数文档服务,但它显然也不好,而且我不想长期忍受这种情况。
如何清除这些用户半完成的身份验证器应用程序注册,或以其他方式允许他们继续进行 MFA 注册?
我不是第一个遇到这种情况的人,因为任何跳过正常流程中的步骤并试图过早添加身份验证器应用程序的人都可能会遇到这种情况。