Computerprogeek
Ви можете увімкнути, відключити або отримати статус багатофакторної автентифікації мультифрактору для користувачів вашого Tennat Azure/Microsoft 365 з порталу Azure, Admin Center Microsoft 365 або за допомогою PowerShell. У цій статті ми покажемо, як керувати МЗС для облікових записів користувачів у Azure та отримаємо звіти про другий фактор, який використовується користувачами.
У цій статті ми маємо на увазі, що ви керуєте MFA для кожного користувача окремо (за користувачем), а не на основі умовного доступу Azure.Ви можете відкрити веб -сторінку зі статусом MFA для всіх користувачів, двома способами:
- Admin Center Microsoft 365 -> Активні користувачі -> Автентифікація мультифактора.
- Портальний Azure -> Azure Ades -> Per -user MFA
У вас буде список усіх користувачів вашого орендаря та статусу МЗС для кожного з них. Для кожного користувача станом МЗС може бути:
- Інвалід - Багатофакторна автентифікація вимкнена (захищаючи для нових користувачів);
- Увімкнено - MFA увімкнено, але користувач все ще використовує звичайну аутентифікацію, поки він сам не встановлює метод MFA;
- Насильницький - При наступному вході користувачеві буде примусово запропоновано зареєструвати другий коефіцієнт MFA.
Увімкніть, вимкніть, скиньте або налаштуйте MFA для кожного користувача, використовуючи кнопки на правій панелі Швидкий крокС.
У цьому звіті неможливо визначити, чи користувач завершив налаштування MFA та який використовується другий користувач факторів. Ви також можете вивантажити вміст сторінки у файлі TXT/CSV. Набагато зручніше використовувати PowerShell для управління користувачами MFA в Micorosft 365 та простих звітів.
На даний момент ви можете увімкнути/вимкнути або налаштувати MFA для Azure (Microsoft 365) з PowerShell за допомогою модуля MSONLINE або за допомогою Microsoft Grapha API.
На даний момент МЗС не може бути контрольована за допомогою нового модуля Azuread.Встановіть модуль MSONLINE (за необхідності) та підключіться до свого орендаря:
Встановлення-module msonline
Connect-massolservice
Інформація про стан МЗС для користувача може бути отримана з атрибута StrongauthenticationMethods:
Get -msoluser -userprincipalname [email protected] | Виберіть -Object UserPrincipalName, StrongauthenticationMethods
Якщо атрибут StrongauthenticationMethods не порожній, то MFA включений для користувача. Ви можете дізнатися, який тип MFA налаштований для користувача:
(Get -massoluser -userprincipalname [email protected]). Strontuthenticationmethods
Цей скріншот показує, що користувач має другий фактор через додаток Microsoft Authenticator (PhoneAppNotification - Isdefult = true ).
Як другий коефіцієнт MFA в сучасній перевірці аутентифікації Microsoft, один із чотирьох варіантів перевірки може бути використаний для користувачів:
- Onewaysms - Стандартне повідомлення SMS
- Twowayvoicemobile - Пароль одноразового часу передається дзвінком на Naelphone
- Phoneappotp - Одноразовий пароль (6 цифр) через апаратний маркер або додаток Authenticator Microsoft
- Фонепнотація - Автентифікація через додаток Microsoft Authenticator
Щоб увімкнути МЗС для конкретного користувача:
$ St = new -Object -typename Microsoft.В Інтернеті.Адміністрація.STRIGHTICATICACTIONREQUIREMENT
$ St.Покладатися
$ St.Стан = "увімкнено"
$ sta = @($ st)
Set -Massoluser -userprincipalname kbuldog[email protected] -strongauticalcontioquarements $ sta
Змусити користувача змусити поточний метод MFA:
Set -Massoluser -userprincipalname [email protected] -strongauticalmethods @()
Вимкніть МЗС для одного користувача:
Get -msoluser -userprincipalname [email protected] | Set -Massoluser -strongauticalContionRequirements @()
Використовуючи наступний сценарій PowerShell, ви можете отримати статус MFA для всіх користувачів у орендаря Azure:
$ Report = @()
$ Azusers = get -massoluser -all
Foreach ($ azuser в $ azusers)
$ Defaultmfamethod = ($ azuser.Stronguthenticationmethods | ? $ _.Isdefult -eq "true").Methodtype
$ Mfastate = $ azuser.STRIGHTICATICACTIONREQUIREMS.Держави
if ($ mfastate -eq $ null) $ mfastate = "вимкнено"
$ Objreport = [pscheshedomobject]@
Користувач = $ azuser.Userprincipalname
Mfastate = $ mfastate
Mfaphone = $ azuser.SontleAuthenticationSerDetails.Номер телефону
Mfamethod = $ defaultmfamethod
$ Report += $ objreport
$ Звіт
Ви можете вивантажити звіт користувача у файл CSV:
$ Звіт | Експорт -CSV -notypeInformation -Encoding UTF8 C: \ PS \ azureUsersmfa.CSV
Або в місті:
$ Звіт | Поза містом
Сценарій доступний у моєму сховищі Github https: // github.Com/winadm/posh/blob/master/azure/getmfastateusers.PS1
