適用於 Windows 10 PC 登錄的 Azure MFA
有沒有辦法使用 azure MFA(使用 Authenticator 應用程序)進行 Windows 10 桌面登錄?目標是登錄域 PC 的使用者需要通過 Microsoft Authenticator App 對 PC 上的每次登錄進行身份驗證。我知道有一個類似的問題是兩年前的問題。據說當時不可能。否則,有文章說使用 azure hybrid join 是可行的。我們的域環境由 50 台域 PC 組成。我們已將 AD 使用者同步到 Azure,但尚未同步到 PC。實現目標的最佳方式是什麼?這甚至可能嗎?感謝您的幫助!
該解決方案將取決於使用者帳戶類型和設備類型。
Microsoft 帳戶(個人)
目前,完全支持使用 Authenticator 應用程序無密碼登錄 Windows 10/11 的個人 Microsoft 帳戶(例如 @outlook.com)。
Azure AD 加入設備上的 Azure AD 帳戶(工作或學校)
有一個稱為**Web 登錄的**功能,它允許使用 Azure AD 帳戶和 Authenticator 應用程序登錄到 Windows。不幸的是,它僅在加入 Azure AD 的設備上受支持,而不在混合 PC 上受支持。此外,它目前處於預覽階段,沒有明確的預計到達時間,因此它可能還沒有準備好投入生產。
Azure AD 帳戶或混合 AAD 混合加入設備或域設備上的 AD 帳戶
您仍然可以通過設備 PIN、生物辨識、智能卡或 FIDO2 密鑰使用 Windows Hello 企業版 (WHfB) 實現域帳戶(混合或本地)的無密碼登錄。此方案不支持身份驗證應用程序。基本上,WHfB 使用基於非對稱密鑰對的強使用者身份驗證來替換 Windows 的使用者名和密碼登錄。從這裡開始有點棘手。例如,WHfB 與 Windows Hello 不同,即使它包含完全相同的詞(我知道,對)。根據您目前的環境,部署可能會變得複雜。更多資訊可以在官方部署指南中找到