在上一篇实践文章中我们已经了解和配置了Azure的多重身份验证服务,今天我们就来从最终用户角度的来感受一下MFA在实际的使用中是什么效果,以及在管理员为Azure AD用户启用多重身份验证功能之后用户怎么去配置MFA


首先,我们使用上一篇文章中已经启用MFA的用户登录Azure AD。可以是任何使用Azure AD身份验证的网站,这里为了偷懒就直接使用了Azure经典门户,虽然我们的用户没有分配订阅,但测试Azure AD以及MFA功能足够了。


这是我们第一次登录这个用户,使用帐户和临时密码登录之后,第一个步骤是会告知我们管理员要求额外设置安全验证。


然后会跳转到额外安全验证,由于是和国际版统一的服务,所以页面现在还是英文的,但不影响我们的配置。第一步是选择通过什么方式进行验证,有三种方式:


移动电话

办公室电话

移动应用


这里我们最常使用的应该是移动电话,所以我们可以选择移动电话。


然后会让我们选择移动电话的国际区号,并让我们填入相应的手机号码,可以选择呼叫或者发送短信进行验证。


我们这里选择了发送短信,稍等片刻就会收到一条带有验证码的短信。然后页面会自动跳转到让我们输入验证码,通过简单的步骤即可完成手机号码验证。



完成之后我们会再跳转到Azure AD的登录页面,由于是第一次登录会让我们更新密码。


更新设置之后,我们重新登录就可以看到MFA的效果了。由于我们选择的是通过短信中的验证码验证,所以一旦我们输入用户名和密码之后会让我们输入短信验证码,才能够登录。


这里我们也可以单击使用另一个验证选项,就可以在无法接收短信的情况下,通过接听电话来实现验证。


以上的两种身份验证方式都是通过接听或者短信服务的,要是我们没有手机信号,这种验证方式就会影响到我们实际的用户体验。所以我们还可以选择另一种非常安全和方便的MFA验证方式,那就是使用移动应用。


这里我们先把刚才的用户MFA重置一下,在MFA管理页面可以完成管理用户设置,从而对选定用户要求重新联系方式。


然后我们再登录MFA用户,这里在第一步我们选择移动应用,并选择以接收验证消息提示的方式进行设置。


接下来MFA会生成一个二维码供我们扫描。


这里我们强大的MFA 移动应用就登场了,我们可以通过以下方式下载:


Windows版:https://www.microsoft.com/zh-cn/store/p/app/9nblggh1zbfh?tduid=(439079de74181886506a307ccdbb3ce1)(213688)(2795219)()()

Windows for Mobile版:https://www.microsoft.com/zh-cn/store/p/authenticator/9wzdncrfj3rj

iOS版:https://itunes.apple.com/cn/app/azure-authenticator/id983156458?mt=8

Android版:https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=en


我们通过iOSApp Store可以直接搜索 Microsoft Authenticator进行下载:



下载之后,打开移动应用通过右上方的+号选择添加工作帐户,然后就可以扫描二维码了。


通过MFA配置页面和移动应用的反馈,可以快速完成配置。

完成之后需要进行一次验证,MFA会发一次验证请求到移动应用中,我们需要选择批准来完成整个的MFA移动应用设置。



然后我们再登录Azure AD就可以看到效果了,会告知我们已经发送通知到移动设备,我们需要响应才能够完成登录。


这里我们也可以选择使用另一个验证选项,由于我们之前已经配置了手机号码,所以总共会为我们提供四种额外的MFA验证方法,短信验证码、接听电话验证、移动应用中的验证代码以及移动应用批准方式。


这四种方式,我觉得用户体验最好的还是移动应用批准方式,在页面输入用户名和密码之后,Azure会给我们的移动应用发送验证指令,这时我们的手机会受到推送,我们单击即可切换到Authenticator,并选择批准或是拒绝来完成登录验证响应。


需要说明的是,在我们手机没有任何网络的情况下,唯一能够使用的MFA验证方法是移动应用中每30秒变化的动态验证码,这就和几年前QQ、银行推出的什么口令宝差不多,可以很好的应对没有任何网络情况下的MFA验证。


关于AzureMFA功能就介绍到这里,欢迎大家一起交流学习更多关于Azure的相关服务和内容。