首页
酷软
游戏
媒体
- 电影
- 剧集
- 动画
- 记录
- 综艺
- MV
- 有声世界
云资源
源码
更多
- 文库
- 系统
- web
- 站长帮
- 玩电脑
- 玩游戏
- 玩手机
- 涨姿势
- 玩软件
- 云图志
- 看漫画
- 微读书
- PS玩家
- 网文网语
- 硬件数码
- 编程开发
- 神秘之旅
- 福利线报
- 商业资源
- 网赚相关
- 健康加油站
赞助专区
云盘专区
资源阁
缘聚岛
BT种子库

[玩转系统] 预填充手机以进行多重身份验证

作者：精品下载站日期：2024-12-14 07:04:23 浏览：13 分类：玩电脑

预填充手机以进行多重身份验证

我正在与一位客户合作，我们希望为其用户启用多重身份验证，作为保护其环境的措施。但是，当启用 MFA 并且用户首次登录时，用户必须输入其手机号码，即使该手机号码已填充在本地 Active Directory 中并同步到 Azure Active Directory（默认）。

在Azure AD门户中查看用户帐户时，可以看到手机号码已同步，但验证电话号码为空。

这不是一个理想的解决方案，如果用户可以在登录期间设置新的手机，那么恶意用户也可以这样做。典型的用户会在 MFA 设置后不久登录，但尤其是在进行批量更改时，情况可能并非如此。当启用了 MFA 但未设置身份验证电话属性的用户帐户遭到泄露时，您就完蛋了。

没有现成的简单方法可以预先填充身份验证电话号码。身份验证电话号码不存储在本地 Active Directory 中，而是 Azure AD 属性。控制强身份验证的属性称为 StrongAuthenticationMethods，您可以使用 PowerShell 进行设置。设置此项时，仍会预先填充验证电话号码，但同步手机号码时，会首先使用该号码。

要设置此 StrongAuthenticationMethods 属性，您可以使用以下 PowerShell 命令：

Connect MsolService 
$UserPrincipalName = "j.brown@exchangelabs.nl"
$SMS = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$SMS.IsDefault = $true
$SMS.MethodType = "OneWaySMS"
$Phone = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationMethod
$Phone.IsDefault = $false
$Phone.MethodType = "TwoWayVoiceMobile"
$PrePopulate = @($SMS, $Phone)
Set-MsolUser -UserPrincipalName $UserPrincipalName -StrongAuthenticationMethods $PrePopulate

现在，当用户在启用 MFA 的情况下首次登录时，他会显示输入代码对话框，而无需先输入手机号码。

如果执行此操作，并且本地 Active Directory 中未设置手机号码，MFA 仍会尝试使用该手机号码，但不会发生任何情况，如以下屏幕截图所示：

由于没有可供使用的手机号码，并且用户无法再直接添加此号码，因此您会陷入困境（当然，直到将手机号码添加到本地 Active Directory 中）。

注意。如果要使用 PowerShell 启用 MFA，可以使用以下命令（也可以将它们与前面提到的命令结合使用）：

$Strong = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$Strong.RelyingParty = "*"
$Strong.State = "Enabled"
$MFA = @($Strong)
Set-MsolUser -UserPrincipalName j.smith@exchangelabs.nl -StrongAuthenticationRequirements $MFA