未達到條件訪問策略時強制執行 MFA

我們正在使用 365 並設置多因素身份驗證。

我的想法是，使用混合 Azure AD 連接設備的使用者已經擁有一種額外的身份驗證形式，即設備。鑑於我的許多現場使用者在技術上沒有天賦，最好放棄這個用於混合連接設備。

現在也許這會成立，也許不會，我不確定。我不知道攻擊者如何利用它。但是，如果我允許使用混合 Azure AD 連接設備的使用者不需要 MFA，那麼某些僅使用一台公司筆記型電腦的使用者可能永遠不會看到多因素身份驗證設置螢幕，因此 MFA 將永遠無法設置。這反過來意味著，如果他們的帳戶遭到入侵，攻擊者可以利用它。

我當然可以執行報告並追逐人們，但我寧願找到一些自動強制執行此操作的方法。我不相信有一個。

我一直在尋找的答案是使用 Azure AD 身份保護並創建一個多因素註冊策略。這反過來又需要天藍色的廣告高級 P2 許可證。

我在這篇博文中找到了答案。

http://eskonr.com/2018/03/different-methods-to-setup-azure-mfa-registration-for-o365/

引用自：https://serverfault.com/questions/1058254