很久以前写了一篇文章 Office365 Exchange Hybrid No.21 Office365 MFA 里面介绍了如何在Office365中MFA的启用和使用,上周有同事在问我一个问题客户的Office365登录的时候为什么在输入用户名和密码后还需要在手机上打开一个应用来操作后才能正常登录。当时在群里说了下这个是MFA但是没有说明怎么用的,今天就分享下这个是怎么玩的,对比起来发送短信和电话呼叫这个更加方便一点,只需要在APP中点击一下就可以允许登录。
首先还是登录到Office365管理中心,进入活动用户,点击上方的更多选择多重身份验证设置
这里我选择我的账号来做演示,点击右侧的启动
点击启用multi-factor auth
启用成功
这时候默认是通过发送短信的方式来进行二次身份验证的,如下图
手机上收到短信验证码,将验证码输入即可正常登录
这时候就要使用进阶的功能了,如何在Microsoft Authenticator APP中来绑定我的Office365账号。
登录到Office365后点击右上角的齿轮设置按钮,选择Office365
点击安全和隐私,如果启用了Office365中的MFA后,用户会有额外的身份验证设置,如下图
点击更新安全电话号码(不要去搞应用密码,我试过了安全性过于太高了,终端用户操作起来要疯掉,而且会因为单独的应用密码大概率会导致outlook skype onedrive客户端登录不成功)
选择设置Authenticator应用
这时候就会出现一个二维码\验证码\信任的URL三个东西,这三个是手机APP上绑定账号的时候需要验证账号用的
接下来就去应用商店里面下载Microsoft Authenticator APP,点击添加帐户
选择工作或学校帐户
然后就会打开相机进行二维码扫描,扫描Office365网站上的二维码进行绑定
这时候Office365网页上就自动变更成验证激活状态
完成激活后,就会出现首次的应答请求提示
回到手机APP中就会提示是否允许登录,点击批准
批准后即可完成设置,最后还要设置下首选项是通过应用通知我来进行二次身份验证,意思就是说以后只要登录Office365的所有应用包括网站都需要通过这个APP来进行批准动作才能进行
到此,整个MFA配置就完成了,最后点击保存即可完成所有配置的保存
点击保存的时候又会提示进行身份验证
这时候APP上又要进行批准操作
最后更新配置成功
来测试一下,登录Office365 portal页面,在输入正确的用户名密码后提示已经将通知发到APP中,只需要点击拒绝或者批准即可完成相应的操作
点击批准肯定是可以登录的,我试了下点击拒绝,Web页面上提示登录请求被拒绝了
然后打开outlook客户端,也会提示进行二次身份验证
如果长时间在APP上不进行任何操作,超时后客户端会进行选择其他的认证方式
测试使用手机验证码
最终登录成功
最后我还测试了下打开手机outlook skype onedrive等应用时也会进行二次身份验证,但是使用APP批准的方式操作起来体验不太友好,经测试手机应用上通过Authenticator的随机6位验证码来操作最为方便。