Как настроить правильный единый вход с помощью Azure MFA и Office 365
Azure MFA был причиной многих разочарований с тех пор, как наш ИТ-отдел активировал его. Я пишу здесь в надежде, что это неправильная конфигурация с их стороны.
- Мы используем Azure AD с локальной ActiveDirectory и ADFS.
- Помните, что для многофакторной аутентификации установлен 1 день
Болевые точки:
- Когда я начинаю свой день, мне нужно отдельно войти в систему во всех приложениях и принять запрос MFA для каждого. Похоже, не работает настройка «запомнить 1 день».
- Запрос MFA отправляется без присмотра в выходные дни. Похоже, приложения Office пытаются войти в систему без взаимодействия с пользователем, даже если компьютер заблокирован.
Итак, вопрос в том, есть ли способ исправить эти болевые точки или это так, как есть? ИТ-отдел строго придерживается настройки «запомнить 1 день» и не использует доверенные IP-адреса.
РЕДАКТИРОВАТЬ
Проблема может быть вызвана тем, что офисное приложение не использует кэшированные учетные данные, поэтому вам необходимо отдельно входить в каждое приложение (и принимать MFA).
Что касается автоматического запроса MFA, это вызвано тем, что приложения Office запрашивают вход в систему без взаимодействия с пользователем (даже если сеанс Windows заблокирован).
Таким образом, эти болевые точки, вероятно, не связаны с Azure MFA, работа в Интернете в порядке. Проблема заключается в приложениях Office, у которых нет хорошего взаимодействия с пользователем при входе в систему.
Когда я начинаю свой день, мне нужно войти в систему отдельно во всех приложениях и принять запрос MFA для каждого. Похоже, не работает настройка «запомнить 1 день».
Вы имеете в виду, что после того, как вы запомните, когда вы входите в систему, все еще требуется использовать телефон для его аутентификации?
Запоминание многофакторной аутентификации работает путем установки постоянного печенье в браузере, когда пользователь устанавливает флажок «Больше не запрашивать в течение X дней» при входе. Пользователь больше не будет получать запрос на MFA из этого браузера до истечения срока действия файла cookie (все еще нужен пароль).
Кроме того, если мы хотим использовать эту функцию, мы должны использовать тот же браузер и одно и то же устройство, или мы должны очистить их файлы cookie, они снова будут проверены.
Запрос MFA отправляется без присмотра в выходные дни. Похоже, приложения Office пытаются войти в систему без взаимодействия с пользователем, даже если компьютер заблокирован.
Возможно, ваши офисные приложения обновляются сами по себе или кто-то пытается войти в вашу учетную запись, подключите администратора Azure AD, проверьте журналы.
Здесь мы можем найти логи: 