Azure AD MFA 不是确定性的

Question

我正在使用 Azure 服务和 Azure AD Free(我的个人帐户)。我已经设置了一个租户，并且我是全局管理员。我已在租户中启用安全默认。因此，我假设为所有租户的用户启用了 MFA。当我使用全局管理员登录 Azure 门户时，有时我会不提示进行 MFA；也许这是因为浏览器发送了一个cookie？或者也许是因为 MFA 并不总是被触发？此外，如果我打开隐身窗口，系统会提示我输入通过电子邮件收到的代码。我的问题是为什么要发送电子邮件？根据 MFA AAD doc电子邮件方法不是 MFA channel !

Answer 1

请检查以下是否是启用 MFA 后未收到二次验证提示的原因:

1. 请检查您是否是任何异常(exception)群组的成员。为了避免锁定情况，微软大多建议在启用 MFA 时排除全局管理员帐户。如果您这样做，请将您的帐户从异常(exception)组中删除。
2. 也有可能您在登录帐户时选中了“保持登录状态”复选框。然后，它会将您的设备视为记住的设备并暂停启用 MFA。另请检查下面的屏幕截图您是否启用了此选项(在受信任设备上记住 MFA)。如果您启用了该功能，则在您指定的天数到期之前，您不会收到提示。

要删除所有这些 session ，请启用“撤销 MFA session ”，这会清除所有记住的 session 历史记录并要求进行第二次验证。

正如您已经提到的，MFA 代码不会通过电子邮件发送。

从此Microsoft Doc ,

Email address is only used for Self-Service Password Reset (SSPR) notfor authentication.

也有可能您的密码已过期，并且它会向您的电子邮件发送一个代码以重置密码，因为您已将其作为恢复选项。 p>

注意:

当您启用 Security Defaults时，请注意，您不会每次都会收到 MFA 提示。 Azure AD 根据位置、设备、角色和任务等因素决定何时提示用户进行 MFA。MFA。/strong>

假设，如果您从不同的位置访问并且看起来可疑，那么您肯定会收到提示，否则您不会。如果您特别需要MFA提示，请使用需要Azure AD Premium许可证的条件访问策略。