为一组用户禁用 Azure AD MFA 中断模式
Disable Azure AD MFA Interrupt Mode for a group of users
我正在我的 Azure AD 中创建一组动手实验室用户以访问 Azure Labs。我们将重复使用这些用户帐户(并在每次实验室会话后重置密码)。
我的挑战是这些用户需要配置 MFA。我认为它被称为 here.
中描述的 Azure AD 中断模式
有没有办法将这些用户组排除在设置之外?
// 回答我自己的问题,希望对某人有所帮助。
第一步也是显而易见的一步是禁用 MFA。这在 link 中有描述:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-userstates
然而,在此之后,您可能仍会遇到上述问题屏幕截图中共享的中断向导。这是由于启用了自助服务密码重置 (SSPR)。如果启用 SSPR,则他们仍然需要 MFA 才能重置密码。
解决方案 1:如果要启用 SSPR,则在登录时创建要求 MFA 的条件访问策略。
- 这样,MFA 仅在用户想要执行 SSPR 时触发。
- 对于此实验室用户场景,您仍然需要为每个用户一次性设置 MFA(您可以使用相同的联系方式)。
额外说明:我尝试使用 PowerShell 批量设置 MFA 详细信息。但是,无法设置 MSOL 用户对象的 StrongAuthenticationUserDetails 属性.
解决方案 2:禁用 SSPR 或限制为使用 AD 组的选定用户
- 不要将实验室用户包括在所选用户组中。由于不允许这些用户使用 SSPR,因此不会再向这些用户询问额外的 MFA 详细信息。
- 缺点:设置为include用户组应该有SSPR。没有 exclude 只有实验室用户的选项。
解决方案 2 适用于我,但可能不适用于所有人。
我认为这可以通过导航到 Azure AD - 默认目录 - 属性 - 管理安全默认值(就在页面底部)- 启用安全默认值 - 将其设置为否来完全禁用。
如果基于每个用户,则导航到 Azure AD - 所有用户 - 每个用户 MFA - 这将列出所有用户,然后您可以 select “n” 个用户来启用或禁用美术硕士.
我正在我的 Azure AD 中创建一组动手实验室用户以访问 Azure Labs。我们将重复使用这些用户帐户(并在每次实验室会话后重置密码)。
我的挑战是这些用户需要配置 MFA。我认为它被称为 here.
中描述的 Azure AD 中断模式有没有办法将这些用户组排除在设置之外?
// 回答我自己的问题,希望对某人有所帮助。
第一步也是显而易见的一步是禁用 MFA。这在 link 中有描述:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-userstates
然而,在此之后,您可能仍会遇到上述问题屏幕截图中共享的中断向导。这是由于启用了自助服务密码重置 (SSPR)。如果启用 SSPR,则他们仍然需要 MFA 才能重置密码。
解决方案 1:如果要启用 SSPR,则在登录时创建要求 MFA 的条件访问策略。
- 这样,MFA 仅在用户想要执行 SSPR 时触发。
- 对于此实验室用户场景,您仍然需要为每个用户一次性设置 MFA(您可以使用相同的联系方式)。
额外说明:我尝试使用 PowerShell 批量设置 MFA 详细信息。但是,无法设置 MSOL 用户对象的 StrongAuthenticationUserDetails 属性.
解决方案 2:禁用 SSPR 或限制为使用 AD 组的选定用户
- 不要将实验室用户包括在所选用户组中。由于不允许这些用户使用 SSPR,因此不会再向这些用户询问额外的 MFA 详细信息。
- 缺点:设置为include用户组应该有SSPR。没有 exclude 只有实验室用户的选项。
解决方案 2 适用于我,但可能不适用于所有人。
我认为这可以通过导航到 Azure AD - 默认目录 - 属性 - 管理安全默认值(就在页面底部)- 启用安全默认值 - 将其设置为否来完全禁用。
如果基于每个用户,则导航到 Azure AD - 所有用户 - 每个用户 MFA - 这将列出所有用户,然后您可以 select “n” 个用户来启用或禁用美术硕士.