Azure MFA для входа на ПК с Windows 10

Question

Azure MFA для входа на ПК с Windows 10

Есть ли способ использовать Azure MFA (с помощью приложения Authenticator) для входа в систему на рабочем столе Windows 10? Цель состоит в том, чтобы пользователи, входящие в систему на доменном ПК, должны были проходить аутентификацию через приложение Microsoft Authenticator для каждого входа в систему на ПК. Я знаю, что есть аналогичный вопрос двухлетней давности. Там написано, что в то время это было невозможно. В противном случае есть статьи, в которых говорится, что можно использовать гибридное соединение Azure. Наша доменная среда состоит из 50 доменных компьютеров. У нас есть пользователи AD, синхронизированные с Azure, но еще не с компьютерами. Как лучше всего достичь цели? Возможно ли это вообще? Спасибо за помощь!

2

azure windows-10 login multi-factor-authentication

Источник

Sardar Agabejli 27 окт '21 в 18:18

1 ответ

Другие вопросы по тегам azure windows-10 login multi-factor-authentication

Jevgenij Martynenko 27 окт '21 в 19:02 2021-10-27 19:02 · Answer 1 · 2021-10-27 19:02

Решение будет зависеть как от типа учетной записи пользователя, так и от типа устройства.

Учетные записи Microsoft (личные)

В настоящее время только личные учетные записи Microsoft (например, @outlook.com) полностью поддерживаются для входа в Windows 10/11 без пароля с помощью приложения Authenticator.

Учетные записи Azure AD (рабочие или учебные) на устройствах, присоединенных к Azure AD.

Существует функция, которая называется веб-входом и позволяет входить в Windows с помощью учетной записи Azure AD и приложения Authenticator. К сожалению, он поддерживается только на устройствах, присоединенных к Azure AD, но не на гибридных ПК. Кроме того, в настоящее время он находится на стадии предварительной версии без точного точного времени прибытия, поэтому, возможно, он еще не готов к производству.

Учетная запись Azure AD или учетная запись AD на гибридном устройстве AAD, присоединенном к гибридному устройству, или устройстве домена.

Вы по-прежнему можете войти в систему без пароля для учетных записей домена (гибридных или локальных) с помощью Windows Hello для бизнеса (WHfB) с помощью PIN-кода устройства, биометрических данных, смарт-карты или ключа FIDO2. Приложение аутентификации не поддерживается для этого сценария. По сути, WHfB заменяет вход в Windows по имени пользователя и паролю на строгую аутентификацию пользователя на основе асимметричной пары ключей. Отсюда становится немного сложнее. Например, WHfB — это НЕ то же самое, что Windows Hello, хотя в нем есть точно такие же слова (я знаю, верно). Развертывание может оказаться сложным в зависимости от вашей текущей среды. Дополнительную информацию можно найти в официальном руководстве по развертыванию.