不会提示某些启用了 Azure 多重身份验证的用户使用第二种验证方法

本文介绍了启用 Azure 多重身份验证的用户在登录时不会提示他们输入第二个验证因素的情况。

原始产品版本:  Azure Active Directory、云服务 (Web 角色/辅助角色) Microsoft Intune
原始 KB 编号:   3124671

症状

当设置条件访问策略以便应强制执行 Azure 多重身份验证时,系统不会提示某些用户通过第二种验证方法验证其身份。 此问题可能发生在下列两种方案中。

方案 1: 在记住的设备上挂起多重身份验证:

在此方案中,管理员为多重身份验证设置受信任的网络,并启用"允许用户通过使设备记住来挂起多重身份验证 "选项。

方案 2: 用户是异常组的成员:

在此方案中,用户是应用的异常组的成员。 当管理员为应用设置多重身份验证访问策略时,管理员可以选择"例外"框将组设置为例外。 即使配置了这些方案中的设置,您也期望由于您应用的条件访问策略而提示用户使用第二种验证方法。

解决方案

对于方案 1:

  1. 确认" 允许用户挂起多重身份验证" 选项已启用。
  2. 如果启用该选项,请让用户尝试以下一项或多个操作:
    • 删除浏览器 Cookie。
    • 使用不同的浏览器。
    • 使用 InPrivate 浏览会话。

对于方案 2:

  • 从异常组中删除用户。
  • 从例外组列表中删除组。

更多信息

对于方案 1:

此选项使通过多重身份验证成功进行身份验证的用户可以避免未来 1-60 天内出现多重身份验证提示,具体取决于在设备必须重新进行身份验证之前在"天"中配置的值设置。

即使应用设置为"要求多重身份验证"、"不在工作时需要多重身份验证"或"不在工作时阻止访问",并且用户设备不在受信任的网络上,也是如此。

对于方案 2:

对于作为例外组的成员的用户,将覆盖对用户帐户进行多重身份验证的要求。

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。