![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(134.4, 44%, 23%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
你好,我的电脑还存在着登录状态的微软组织账号,但是一旦我尝试访问https://mysignins.microsoft.com/security-info,由于我之前开启了两步验证,它强制要求我输入Microsoft Authenticator验证器中的代码,即使我位于登录状态。 在其他方式登录的选项中,除了基于Microsoft Authenticator验证器的方式之外没有任何验证方法。
但移动设备的Microsoft Authenticator验证器中的账号状态过期,被要求:需要采取行动 > 扫描组织提供的 QR 码以完成此账户的恢复。获取这个QR码需要访问https://mysignins.microsoft.com/security-info,添加验证器界面会显示这个QR 码。但是由于上述原因,我无法正常访问此网页或者访问受限。产生的局面是,我尝试恢复验证器,但要求扫描QR码。获取QR码的方法需要验证器,这几乎是矛盾的。
我不是组织管理员,且几乎无法联系组织管理员(请把此方法当作最坏打算)。我需要恢复对账号的完全访问,而不局限于auth登录,因为部分场景下(比如访问 Azure或访问安全界面)仍然需要我进行2FA验证才能进行进一步操作。另一种诉求是,我需要恢复2FA令牌验证器状态或清除2FA验证的方法。我可以提供包括 组织邮箱验证 在内的所有验证方法,在不需要组织管理员的条件下。
关于组织并没有IT管理员:我是如何获得组织账号的?我通过组织下发的企业邮箱注册了微软账号,微软将其自动判定为组织账号而不是个人账号。但是我的组织并没有使用微软的服务。
问题作者接受的答案
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(0, 61%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EHP%3C/text%3E%3C/svg%3E)
在当前的 Microsoft Entra ID 安全架构下,一旦组织账户陷入此类多因素身份验证(MFA)死循环,非管理员用户是无法通过任何自助渠道或利用组织邮箱来清除、绕过或重置此安全令牌要求的。当您尝试访问高安全级别的资源时,系统会强制触发云端的条件访问策略(Conditional Access Policies)进行提升验证,此时本地计算机上缓存的登录状态(PRT)无法用来跨越这一云端安全边界。如果登录界面在点击“选择其他验证方式”后未显示您此前绑定过的手机短信、硬件密钥等备用选项,则意味着没有任何无需管理员介入的本地破解方案。鉴于微软严格的零信任安全合规限制,唯一的标准修复途径是必须联系该组织的全局管理员或身份验证管理员。管理员需要在 Microsoft Entra 管理中心内找到您的账户,执行“要求重新注册多因素身份验证”的操作,或者为您签发一个临时访问通行证(Temporary Access Pass),只有通过这种管理员授权的云端状态重置,您才能重新绑定移动端的 Microsoft Authenticator 验证器。
