Azure 多重身份验证服务器的双向短信最初在 2018 年弃用,2021 年 2 月 24 日之后不再受支持,除非组织在 2021 年 8 月 2 日之前收到支持扩展。 管理员应为仍使用双向短信的用户启用另一种方法。
电子邮件通知和服务运行状况通知(门户弹出通知)于 2020 年 12 月 8 日和 2021 年 1 月 28 日发送给受影响的管理员。 警报已发送到与订阅绑定的所有者、共同所有者、管理员和服务管理员 RBAC 角色。 如果已完成以下步骤,则无需执行任何操作。
所需操作
- 为用户启用移动应用(如果尚未这样做)。 有关详细信息,请参阅 使用 MFA 服务器启用移动应用身份验证。
- 通知最终用户访问 MFA 服务器 用户门户 激活移动应用。 Microsoft Authenticator 应用 是推荐的验证选项,因为它比双向短信更安全。 有关详细信息,请参阅是时候放弃电话传输身份验证了。
- 将用户设置从双向短信更改为移动应用作为默认方法。
常见问题
如果我不将默认方法从双向短信更改为移动应用,该怎么办?
2021 年 2 月 24 日后,双向短信功能失效。 当用户尝试登录并传递 MFA 时,用户会看到错误。
如何将用户设置从双向短信更改为移动应用?
应按照以下步骤更改用户设置:
在 MFA 服务器中,筛选用户列表以获取双向短信。
选择所有用户。
打开“编辑用户”对话框。
将用户从短信更改为移动应用。
我的用户是否需要执行任何操作? 如果是,如何?
是的。 最终用户需要访问特定的 MFA 服务器用户门户来激活移动应用(如果尚未这样做)。 完成步骤 3 后,未访问用户门户设置移动应用的任何用户都将开始登录失败,直到他们访问用户门户重新注册。
如果用户无法安装移动应用,该怎么办? 他们有哪些其他选项?
双向短信或移动应用的替代方法是电话呼叫。 但是,Microsoft Authenticator 应用是推荐的验证方法。
单向短信也会弃用吗?
否,只有双向短信即将弃用。 对于 MFA 服务器,单向短信适用于一部分方案:
- AD FS 适配器
- IIS 身份验证(需要用户门户和配置)
- RADIUS(要求 RADIUS 客户端支持访问质询,并使用 PAP 协议)
单向短信的使用时间是有限制的,这使得移动应用成为更好的选择,因为它不需要验证码提示。 如果仍要在某些方案中使用单向短信,可以将它们保留为选中状态,但需要将“公司设置”部分的“常规”选项卡中的“用户默认短信”从“双向”改为“单向”。 最后,如果使用默认为短信的目录同步,则需要将其更改为“单向”而不是“双向”。
如何检查哪些用户仍在使用双向短信?
若要列出这些用户,请启动 MFA 服务器,选择 用户选项卡,单击 过滤用户列表,然后筛选为 短信双向通信。
如何在 MFA 门户中将双向短信隐藏为一个选项,以防止用户将来选择它?
在 MFA 服务器用户门户中,单击“设置”,可以清除“短信”,使其不可用。 如果使用 AD FS 进行用户注册,则 AD FS 部分中也是如此。