Поделиться через

Не удается настроить MFA, так как пять устройств уже зарегистрированы для использования приложения authenticator

В этой статье описывается, как устранить сценарий, в котором невозможно настроить многофакторную проверку подлинности (MFA), так как вы уже зарегистрировали пять устройств для использования приложений проверки подлинности.

Симптомы

При попытке настроить MFA вы получите следующее сообщение об ошибке:

У вас не может быть более 5 аппаратных маркеров или приложений authenticator. Удалите одно или несколько приложений аутентификатора, а затем добавьте новое приложение authenticator. Если необходимо удалить маркер оборудования, обратитесь к администратору. Отключение аппаратного маркера не позволит добавить новое приложение authenticator.

У вас слишком много устройств.

Причина

Вы ранее настроили пять разных телефонов или других устройств, которые будут зарегистрированы для MFA с помощью приложения authenticator. В результате максимально допустимое количество маркеров устройства (5) уже сохраняется в StrongAuthenticationPhoneAppDetail свойстве объекта пользователя каталога.

Решение 1. Удаление методов входа непосредственно в веб-браузере

Чтобы удалить маркеры устройства, можно удалить методы входа из параметров безопасности непосредственно в веб-браузере. Однако если вы не являетесь администратором или вы не являетесь единственным администратором для идентификатора Microsoft Entra, необходимо сначала указать другого пользователя (администратора или другого администратора) указать требование повторной регистрации MFA в процедуре в следующем разделе.

Часть 1. Указание администратора или другого администратора требования повторной регистрации MFA

Примечание.

Эта процедура не требуется, если вы являетесь единственным администратором для идентификатора Microsoft Entra.

  1. В портал Azure найдите и выберите идентификатор Microsoft Entra.

  2. В области навигации Microsoft Entra найдите заголовок "Управление " и выберите "Пользователи".

  3. В списке пользователей Microsoft Entra выберите отображаемое имя пользователя.

  4. В области навигации для пользователя Microsoft Entra найдите заголовок "Управление " и выберите методы проверки подлинности.

  5. В пользовательском меню Microsoft Entra выберите "Требовать повторной регистрации многофакторной проверки подлинности".

Часть 2. Удаление некоторых или всех методов входа

Маркеры устройства можно удалить, удалив соответствующие методы входа. Выполните следующие действия:

  1. Чтобы просмотреть методы входа, перейдите к разделу https://aka.ms/mysecurityinfo.

    Например, список методов входа может включать метод телефона, связанный с номером телефона, и метод приложения authenticator, связанный с определенным устройством. Дополнительные сведения см. в разделе "Какие методы проверки подлинности и проверки" доступны в идентификаторе Microsoft Entra?

  2. Удалите все или пять из перечисленных методов входа.

    Предупреждение

    При попытке удалить метод входа без пароля вы получите следующее сообщение об ошибке в диалоговом окне с кнопками входа и отмены :

    Удаление приложения authenticator

    Чтобы удалить это приложение authenticator, необходимо выполнить вход с помощью двухфакторной проверки подлинности.

    Чтобы удалить метод входа без пароля, настройте еще один двухфакторный метод проверки подлинности (например, телефонный звонок или текстовое сообщение SMS). Затем при повторном удалении метода входа без пароля используйте этот двухфакторный метод проверки подлинности для входа.

Решение 2. Удаление приложений проверки подлинности с помощью Microsoft Graph

Глобальные администраторы могут удалить приложение проверки подлинности пользователя с помощью API Microsoft Graph. В некоторых случаях API Microsoft Graph является единственным доступным решением (например, если вы используете параметры безопасности по умолчанию). Чтобы использовать это решение, вы или глобальный администратор должны войти в Graph Explorer в качестве глобального администратора, а затем выполните следующие действия.

  1. В области запроса обозревателя Graph выполните следующие действия:

    1. В списке методов HTTP выберите GET.

    2. В поле запроса введите https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethods. Замените заполнитель имени субъекта-пользователя (UPN) именем участника-пользователя именем участника-пользователя, приложение проверки подлинности которого должно быть удалено.

    3. Нажмите кнопку "Выполнить запрос ".

      Предупреждение

      Если при выполнении запроса возникает ошибка разрешения, выполните следующие действия, чтобы получить необходимое разрешение:

      1. Перейдите на вкладку "Изменить разрешения ".

      2. Выберите ссылку "Открыть панель разрешений".

      3. На панели разрешений разверните узел UserAuthenticationMethod , а затем выберите разрешение UserAuthenticationMethod.ReadWrite.All .

      4. Нажмите кнопку "Согласие ".

      После выполнения этих действий повторите попытку выполнения запроса.

      В области ответа вкладка заголовка ответа отображает код JSON, показывающий сведения о методе authenticator. В следующем примере фрагмент кода пользователь связан с одним методом authenticator:

    {
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#users('user%40contoso.com')/authentication/microsoftAuthenticatorMethods",
  "value": [
    {
      "id": "01234567-89ab-cdef-0123-456789abcdef",
      "displayName": "SM-G973F",
      "deviceTag": "SoftwareTokenActivated",
      "phoneAppVersion": "6.2102.0762",
      "createdDateTime": null
    }
  ]
}

  2. На вкладке заголовка ответа области ответа скопируйте и сохраните id свойство (GUID) каждого метода authenticator, который требуется удалить.

  3. В области запроса задайте для методов HTTP значение DELETE и задайте для поля https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethods/<authenticator-id-guid>"Запрос". Введите идентификатор GUID участника-участника-участника и аутентификатора, чтобы заменить значения заполнителей.

  4. Нажмите кнопку "Выполнить запрос ". Если этот запрос на удаление успешно удаляет приложение authenticator, появится сообщение о состоянии "Нет содержимого - 204 - <время> выполнения запроса".

  5. Повторите шаги 2–4 для каждого из приложений проверки подлинности, которые требуется удалить.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.