Мы используем политику CA для принудительного применения MFA для пользователей.
Для некоторых конкретных пользователей нам нужно отключить MFA. Мы сделали это, добавив пользователей в список исключений под пользователями.
Мы по-прежнему получаем запросы MFA для исключенных пользователей, когда они входят в систему.
Чего нам не хватает в нашей конфигурации?
Мы используем следующую конфигурацию:
Любая помощь будет оценена по достоинству.
Я попытался создать одну политику условного доступа в Azure AD для включения MFA для определенных пользователей и исключения других. Наряду с политикой условного доступа я также настроил политику регистрации аутентификации MFA.
По умолчанию для безопасности установлено значение - Нет
Политика условного доступа MFA включает пользователя: -
Исключить пользователя :-
Добавьте портал Azure в приложения: -
Требовать МИД: -
Включить политику, установленную на «Вкл.»
Успешно создана политика условного доступа, как показано ниже:
Попытался войти в систему с помощью spuser, который был включен в политику, и получил приглашение MFA, как показано ниже:
Попытался войти в систему с идентификатором пользователя, который был исключен из Политики, и не получил никакого запроса MFA, как показано ниже: -
Войти успешно: -
Убедитесь, что для политики регистрации MFA в Azure AD Identity Protection настроены указанные ниже параметры. Если MFA не нужен, вам необходимо исключить Пользователя из настоящей Политики.
Выберите > Портал Azure > Azure AD > Безопасность > Защита идентификационных данных > Политика регистрации MFA > Назначения > Пользователи > Если включены все пользователи > Исключить определенного пользователя > Применить политику > Включить > Сохранить
Кроме того, проверьте, добавлена ли к исключенным пользователям какая-либо другая политика Azure, которая принудительно использует MFA. Кроме того, проверьте, не применяется ли MFA ко всем пользователям, включая исключенных.
Ссылка:-
Пользователь исключен из политики условного доступа, но она все еще применяется — Microsoft Q&A Автор: Amanpreetsingh-MSFT
У меня те же настройки, что и у вас, за исключением добавления портала Azure приложений в политики ЦС «Облачные приложения или действия». Я пытался добавить это вместо использования параметра «Все облачные приложения». Результат тот же, для существующих пользователей , они по-прежнему получают запросы MFA. Я попытался добавить нового пользователя, и этот пользователь в настоящее время не получает приглашение MFA. Боюсь, что этот новый пользователь в течение следующих нескольких дней получит приглашение MFA. Это то, что я испытал, так что я проверю это в ближайшие пару дней. SiddheshDesai, спасибо за ваш очень подробный ответ.