Azure 解決方案：如何阻止用戶使用公司網(wǎng)絡(luò)時(shí)收到MFA請(qǐng)求提示

需求：作為IT Admin，為了加強(qiáng)用戶的安全使用，你為所有公司員工啟用了多重身份驗(yàn)證（MFA），但公司的Help Desk 反饋說(shuō)，近期接到公司總部的員工對(duì)MFA問(wèn)題的詢問(wèn)電話數(shù)量有所增加，報(bào)告顯示：?jiǎn)T工若在公司總部工作，他們會(huì)收到MFA請(qǐng)求，為解決該問(wèn)題，你需要阻止用戶從公司總部登錄時(shí)收到MFA請(qǐng)求，該如何操作呢？

解決方案分析：

在為公司員工啟用多重身份驗(yàn)證之前，應(yīng)該考慮配置一些可用的設(shè)置，其中最重要的就是可信的IPs列表，這樣你可以為網(wǎng)絡(luò)設(shè)置一系列的IP白名單，這樣，當(dāng)用戶在公司總部工作時(shí)，他們不會(huì)收到MFA的提示，而當(dāng)他們把設(shè)備帶到其他地方（非公司總部）時(shí)，他們就會(huì)收到MFA提示。

如何做到這一點(diǎn)呢？

1.登錄到Azure門戶網(wǎng)站
2.Azure Active Directory->All Services->Conditional Access->Named Locations, 在頂部工具欄中選擇“配置MFA信任的IPs”

3.在配置MFA信任的IPs頁(yè)面，有2個(gè)選項(xiàng)：

? 最簡(jiǎn)單的方法是在文本框中添加一個(gè)IP地址范圍，然后，你可以配置要允許的MFA驗(yàn)證選項(xiàng)，并保存，強(qiáng)制執(zhí)行MFA的任何用戶在該IP范圍內(nèi)時(shí)都不會(huì)被提示。
? 如果你已經(jīng)在公司部署了ADFS，那么你可以選擇“對(duì)來(lái)自Intranet上的ADFS用戶的 請(qǐng)求跳過(guò)MFA驗(yàn)證”的復(fù)選框，你需要向ADFS添加一條規(guī)則來(lái)添加內(nèi)部網(wǎng)路聲明，這與添加IP地址的效果是相同的

配置完成之后，再為用戶啟用Azure MFA身份驗(yàn)證，這里就不重復(fù)介紹了。

相關(guān)資料：

? Using the Location Condition in a Conditional Access Policy
? Conditional Access：Require MFA for all Users
? Conditional Access：Block Access By Location