Azure實(shí)踐系列5：MFA用戶配置及效果展示

在上一篇實(shí)踐文章中我們已經(jīng)了解和配置了Azure的多重身份驗(yàn)證服務(wù)，今天我們就來從最終用戶角度的來感受一下MFA在實(shí)際的使用中是什么效果，以及在管理員為Azure AD用戶啟用多重身份驗(yàn)證功能之后用戶怎么去配置MFA。

首先，我們使用上一篇文章中已經(jīng)啟用MFA的用戶登錄Azure AD。可以是任何使用Azure AD身份驗(yàn)證的網(wǎng)站，這里為了偷懶就直接使用了Azure經(jīng)典門戶，雖然我們的用戶沒有分配訂閱，但測試Azure AD以及MFA功能足夠了。

這是我們第一次登錄這個(gè)用戶，使用帳戶和臨時(shí)密碼登錄之后，第一個(gè)步驟是會(huì)告知我們管理員要求額外設(shè)置安全驗(yàn)證。

然后會(huì)跳轉(zhuǎn)到額外安全驗(yàn)證，由于是和國際版統(tǒng)一的服務(wù)，所以頁面現(xiàn)在還是英文的，但不影響我們的配置。第一步是選擇通過什么方式進(jìn)行驗(yàn)證，有三種方式：

移動(dòng)電話

辦公室電話

移動(dòng)應(yīng)用

這里我們最常使用的應(yīng)該是移動(dòng)電話，所以我們可以選擇移動(dòng)電話。

然后會(huì)讓我們選擇移動(dòng)電話的國際區(qū)號，并讓我們填入相應(yīng)的手機(jī)號碼，可以選擇呼叫或者發(fā)送短信進(jìn)行驗(yàn)證。

我們這里選擇了發(fā)送短信，稍等片刻就會(huì)收到一條帶有驗(yàn)證碼的短信。然后頁面會(huì)自動(dòng)跳轉(zhuǎn)到讓我們輸入驗(yàn)證碼，通過簡單的步驟即可完成手機(jī)號碼驗(yàn)證。

完成之后我們會(huì)再跳轉(zhuǎn)到Azure AD的登錄頁面，由于是第一次登錄會(huì)讓我們更新密碼。

更新設(shè)置之后，我們重新登錄就可以看到MFA的效果了。由于我們選擇的是通過短信中的驗(yàn)證碼驗(yàn)證，所以一旦我們輸入用戶名和密碼之后會(huì)讓我們輸入短信驗(yàn)證碼，才能夠登錄。

這里我們也可以單擊使用另一個(gè)驗(yàn)證選項(xiàng)，就可以在無法接收短信的情況下，通過接聽電話來實(shí)現(xiàn)驗(yàn)證。

以上的兩種身份驗(yàn)證方式都是通過接聽或者短信服務(wù)的，要是我們沒有手機(jī)信號，這種驗(yàn)證方式就會(huì)影響到我們實(shí)際的用戶體驗(yàn)。所以我們還可以選擇另一種非常安全和方便的MFA驗(yàn)證方式，那就是使用移動(dòng)應(yīng)用。

這里我們先把剛才的用戶MFA重置一下，在MFA管理頁面可以完成管理用戶設(shè)置，從而對選定用戶要求重新聯(lián)系方式。

然后我們再登錄MFA用戶，這里在第一步我們選擇移動(dòng)應(yīng)用，并選擇以接收驗(yàn)證消息提示的方式進(jìn)行設(shè)置。

接下來MFA會(huì)生成一個(gè)二維碼供我們掃描。

這里我們強(qiáng)大的MFA移動(dòng)應(yīng)用就登場了，我們可以通過以下方式下載：

Windows版：https://www.microsoft.com/zh-cn/store/p/app/9nblggh1zbfh?tduid=(439079de74181886506a307ccdbb3ce1)(213688)(2795219)()()

Windows for Mobile版：https://www.microsoft.com/zh-cn/store/p/authenticator/9wzdncrfj3rj

iOS版：https://itunes.apple.com/cn/app/azure-authenticator/id983156458?mt=8

Android版：https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=en

我們通過iOS的App Store可以直接搜索Microsoft Authenticator進(jìn)行下載：

下載之后，打開移動(dòng)應(yīng)用通過右上方的+號選擇添加工作帳戶，然后就可以掃描二維碼了。

通過MFA配置頁面和移動(dòng)應(yīng)用的反饋，可以快速完成配置。

完成之后需要進(jìn)行一次驗(yàn)證，MFA會(huì)發(fā)一次驗(yàn)證請求到移動(dòng)應(yīng)用中，我們需要選擇批準(zhǔn)來完成整個(gè)的MFA移動(dòng)應(yīng)用設(shè)置。

然后我們再登錄Azure AD就可以看到效果了，會(huì)告知我們已經(jīng)發(fā)送通知到移動(dòng)設(shè)備，我們需要響應(yīng)才能夠完成登錄。

這里我們也可以選擇使用另一個(gè)驗(yàn)證選項(xiàng)，由于我們之前已經(jīng)配置了手機(jī)號碼，所以總共會(huì)為我們提供四種額外的MFA驗(yàn)證方法，短信驗(yàn)證碼、接聽電話驗(yàn)證、移動(dòng)應(yīng)用中的驗(yàn)證代碼以及移動(dòng)應(yīng)用批準(zhǔn)方式。

這四種方式，我覺得用戶體驗(yàn)最好的還是移動(dòng)應(yīng)用批準(zhǔn)方式，在頁面輸入用戶名和密碼之后，Azure會(huì)給我們的移動(dòng)應(yīng)用發(fā)送驗(yàn)證指令，這時(shí)我們的手機(jī)會(huì)受到推送，我們單擊即可切換到Authenticator，并選擇批準(zhǔn)或是拒絕來完成登錄驗(yàn)證響應(yīng)。

需要說明的是，在我們手機(jī)沒有任何網(wǎng)絡(luò)的情況下，唯一能夠使用的MFA驗(yàn)證方法是移動(dòng)應(yīng)用中每30秒變化的動(dòng)態(tài)驗(yàn)證碼，這就和幾年前QQ、銀行推出的什么口令寶差不多，可以很好的應(yīng)對沒有任何網(wǎng)絡(luò)情況下的MFA驗(yàn)證。

關(guān)于Azure的MFA功能就介紹到這里，歡迎大家一起交流學(xué)習(xí)更多關(guān)于Azure的相關(guān)服務(wù)和內(nèi)容。