Azure AD MFA 不是确定性的

Azure AD MFA is not deterministic

我正在使用 Azure 服务和 Azure AD Free(我的个人帐户)。 我已经设置了一个租户并且我是全局管理员。我在租户中启用了 Security Default。因此,我假设所有租户的用户都启用了 MFA。 当我使用全局管理员登录 Azure 门户时,有时会收到 not MFA 提示;也许这是因为浏览器发送了一个 cookie?或者也许是因为 MFA 并不总是被触发? 此外,如果我打开隐身模式 window,系统会提示我输入通过电子邮件收到的代码。我的问题是为什么要发邮件?根据 MFA AAD doc,电子邮件方法不是 MFA 渠道!

请检查以下是否是启用 MFA 后仍未收到二次验证提示的原因:

  1. 请检查您是否属于任何例外组。为避免出现锁定情况,Microsoft 大多建议在启用 MFA 时排除全局管理员帐户。如果您那样做,请将您的帐户从例外组中删除。
  2. 还有一种可能是您在登录帐户时选中了“保持登录状态”复选框。然后它会将您的设备视为 已记住的设备 并暂停启用 MFA。另外请检查下面的屏幕截图是否启用了此选项(记住受信任设备上的 MFA)。如果您启用它,您将不会收到提示,直到您指定的天数到期。

要删除所有这些会话,请启用“撤销 MFA 会话”,这会清除所有记住的会话历史记录并要求进行第二次验证。

正如您已经提到的,MFA 代码不会通过电子邮件发送。

由此Microsoft Doc,

Email address is only used for Self-Service Password Reset (SSPR) not for authentication.

还有一种可能是您的密码 已过期 并且它会向您的电子邮件发送一个代码以重置密码,因为您已将其作为 恢复选项提供.

注意:

当您启用 Security Defaults 时,请注意您不会获得 MFA 每次都会提示。 Azure AD 根据 [=42] 等因素决定何时提示用户输入 MFA =]位置、设备、角色和任务。

假设,如果您从不同的位置访问并且看起来可疑,您肯定会得到提示,否则不会。如果您特别需要 MFA 提示,请使用需要 条件访问策略 ]Azure AD Premium 个许可证。