有关 Microsoft Entra 多重身份验证的常见问题解答

使用多重身份验证服务器时，用户数据只存储在本地服务器中。 云中不会持久存储任何用户数据。 当用户执行双重验证时，多重身份验证服务器会将数据发送到 Microsoft Entra 多重身份验证云服务进行身份验证。 多重身份验证服务器与多重身份验证云服务之间的通信在出站端口 443 上使用安全套接字层 (SSL) 或传输层安全性 (TLS)。

当身份验证请求发送到云服务时，收集的数据用于身份验证和使用情况报告。 以下数据字段包含在双重验证日志中：

• 唯一 ID（用户名或本地多重身份验证服务器 ID）
• 姓名（可选）
• 电子邮件地址（可选）
• 电话号码（用于语音呼叫或短信身份验证）
• 设备令牌（用于移动应用身份验证）
• 身份验证模式
• 身份验证结果
• 多重身份验证服务器名称
• 多重身份验证服务器 IP
• 客户端 IP（如果可用）

可以在多重身份验证服务器中配置可选字段。

验证结果（成功或拒绝）和任何拒绝原因（如果有）与身份验证数据一起存储。 可在身份验证和使用情况报告中使用这些数据。

有关详细信息，请参阅 Microsoft Entra 多重身份验证的数据驻留和客户数据。

在美国，我们使用以下短代码：

• 97671
• 69829
• 51789
• 99399

在加拿大，我们使用以下短代码：

• 759731
• 673801

不保证传送一致的短信或由相同号码进行基于语音的多重身份验证提示。 为了用户的利益，我们可能在进行路线调整以提高短信传送能力期间，随时添加或删除短代码。

我们不支持除美国和加拿大以外的国家或地区的简短代码。

是的，在某些通常涉及短时间内重复身份验证请求的情况下，Microsoft Entra 多重身份验证将限制用户尝试登录的次数，以保护电信网络、缓解 MFA 疲劳式攻击并保护自己的系统，从而保护所有客户的利益。

尽管我们没有共享特定的限制，但它们将基于合理的使用情况。

否，对于通过 Microsoft Entra 多重身份验证拨打的每个电话或向用户发送的每条短信，都不需要付费。 如果使用按身份验证计费的 MFA 提供程序，则需要为每次身份验付费，但不需要为使用的方法付费。

用户可能需要为收到的电话或短信支付费用，取决于个人电话服务。

计费依据是配置为使用多重身份验证的用户数量，无论用户当月是否执行过双重验证。

创建按用户或按身份验证计费的 MFA 提供程序时，组织的 Azure 订阅每月根据使用情况计费一次。 此计费模式类似于 Azure 收取虚拟机和 Web 应用的使用费。

购买 Microsoft Entra 多重身份验证订阅时，组织只需要支付每位用户每年的许可费用。 MFA 许可证和 Microsoft 365、Microsoft Entra ID P1 或 P2，或企业移动性 + 安全性捆绑包按此方式计费。

有关详细信息，请参阅如何获取 Microsoft Entra 多重身份验证。

可以在 Microsoft Entra ID 免费层中启用安全默认值。 使用安全默认值时，将使用 Microsoft Authenticator 应用为所有用户启用多重身份验证。 无法使用含有安全默认值的短信或电话验证，而只能使用 Microsoft Authenticator 应用。

有关详细信息，请参阅什么是安全默认值？

如果组织以独立服务的形式（采用基于使用量的计费模式）购买了 MFA，则可以在创建 MFA 提供程序时选择计费模式。 创建 MFA 提供程序后，无法更改计费模式。

如果 MFA 提供程序未与 Microsoft Entra 租户关联，或者你将新的 MFA 提供程序与其他 Microsoft Entra 租户关联，则不会转移用户设置和配置选项。 此外，需要使用新 MFA 提供程序生成的激活凭据来重新激活现有 Azure MFA 服务器。 重新激活 MFA 服务器并将其链接到新 MFA 提供程序不会影响电话和短信身份验证，但所有用户不再会收到移动应用通知，除非他们重新激活移动应用。

若要了解有关 MFA 提供程序的详细信息，请参阅 Azure 多重身份验证提供程序入门。

在某些情况下，是。

如果目录具有“按用户”计费的 Microsoft Entra 多重身份验证提供程序，可以添加 MFA 许可证。 拥有许可证的用户不会计入基于使用量的按用户计费。 对于没有许可证的用户，仍可通过 MFA 提供程序启用 MFA。 如果为配置为使用多重身份验证的所有用户购买并分配许可证，可以删除 Microsoft Entra 多重身份验证提供程序。 如果将来的用户数超过许可证数，始终可以创建另一个按用户的 MFA 提供程序。

如果目录具有“按身份验证”计费的 Microsoft Entra 多重身份验证提供程序，那么只要该 MFA 提供程序与你的订阅相关联，就始终都要为每次身份验证付费。 可以将 MFA 许可证分配给用户，但仍要为每个双重验证请求付费，不管该请求是否来自拥有 MFA 许可证的用户。

如果组织使用基于使用量的计费模式，则 Microsoft Entra ID 是可选而不是必需的。 如果 MFA 提供程序未关联到 Microsoft Entra 租户，只能在本地部署 Azure 多重身份验证服务器。

许可模式需要 Microsoft Entra ID，因为在购买许可证并将其分配给目录中的用户时，许可证会添加到 Microsoft Entra 租户。

让用户在 5 分钟内最多尝试 5 次，以便收到用于身份验证的电话或短信。 Microsoft 使用多个提供程序，用于进行呼叫和发送短信。 如果此方法不起作用，请创建支持案例进行进一步的故障排除。

第三方安全应用程序也可能会阻止验证代码短信或电话呼叫。 如果使用第三方安全应用，请尝试禁用保护，然后请求发送另一个 MFA 验证代码。

如果上述步骤不起作用，请检查是否为用户配置了多个验证方法。 再次尝试登录，但需要在登录页上选择另一种验证方法。

有关详细信息，请参阅最终用户故障排除指南。

可以要求用户再次完成注册过程来重置其帐户。 详细了解如何使用 Microsoft Entra 多重身份验证在云中管理用户和设备设置。

为了防止未经授权的访问，请删除该用户的所有应用密码。 用户购买替代设备后，即可重新创建密码。 详细了解如何使用 Microsoft Entra 多重身份验证在云中管理用户和设备设置。

如果组织仍然使用传统客户端，并且允许使用应用密码，则用户无法使用其用户名和密码登录到这些传统客户端。 他们需要设置应用密码。 用户必须清除（删除）其登录信息、重新启动应用，并使用其用户名和应用密码而不是普通的密码登录。

如果组织不使用传统客户端，则不应允许用户创建应用密码。

无法保证短信传递成功，因为不可控因素可能会影响服务的可靠性。 这些因素包括目标国家/地区、移动电话运营商和信号强度。

第三方安全应用程序也可能会阻止验证代码短信或电话呼叫。 如果使用第三方安全应用，请尝试禁用保护，然后请求发送另一个 MFA 验证代码。

如果用户经常难以可靠地接收短信，请告诉他们改用 Microsoft Authenticator 应用或电话验证方法。 Microsoft Authenticator 应用可以通过手机网络和 Wi-Fi 连接接收通知。 此外，即使设备根本没有信号，也可以生成验证码。 Microsoft Authenticator 应用适用于 Android、iOS 和 Windows Phone。

在某些情况下可以。

对于使用 MFA 服务器 v7.0 或更高版本的单向短信，可以通过设置注册表项来配置超时设置。 在 MFA 云服务发送短信后，验证码（或一次性密码）将返回给 MFA 服务器。 默认情况下，MFA 服务器将验证码存储在内存中，保持期为 300 秒。 如果用户在 300 秒后未输入验证码，身份验证将遭拒。 若要更改默认超时设置，请按照以下步骤操作：

1. 转到 HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor 。
2. 创建名为 pfsvc_pendingSmsTimeoutSeconds 的 DWORD 注册表项，并设置希望 Azure MFA 服务器存储一次性密码的时间（以秒为单位）。

如果用户未在定义的超时期内回复短信，身份验证将遭拒。

对于在云中使用 Microsoft Entra多重身份验证（包括 AD FS 适配器或网络策略服务器扩展）的单向短信，无法配置超时设置。 Microsoft Entra ID 会存储验证码 180 秒。

如果使用的是多重身份验证服务器，可以导入基于时间的第三方开放式身份验证 (OATH) 一次性密码 (TOTP) 令牌，然后将其用于双重验证。

如果将密钥放在 CSV 文件中并导入多重身份验证服务器，则可以使用充当 OATH TOTP 令牌的 ActiveIdentity 令牌。 可将 OATH 令牌与以下服务配合使用：Active Directory 联合身份验证服务 (ADFS)、基于 Internet Information Server (IIS) 表单的身份验证和远程身份验证拨入用户服务 (RADIUS)（只要客户端系统能够接受用户输入）。

可以使用以下格式导入第三方 OATH TOTP 令牌：

• 可移植对称密钥容器 (PSKC)
• CSV 如果文件包含序列号、Base 32 格式的密钥和时间间隔

可以，但如果使用的是 Windows Server 2012 R2 或更高版本，则只能使用远程桌面网关（RD 网关）保护终端服务。

Windows Server 2012 R2 中的安全性更改改变了多重身份验证服务器连接到 Windows Server 2012 和更低版本中的本地安全机构 (LSA) 安全包的方式。 对于 Windows 2012 或更低版本中的终端服务版本，可以使用 Windows 身份验证保护应用程序。 如果使用的是 Windows Server 2012 R2，需要 RD 网关。

通过公共电话网络拨打多重身份验证电话时，有时会通过不支持来电显示的运营商路由电话。 由于此运营商行为，尽管多重身份验证系统始终会发送来电号码，但并不保证它会被显示。

有多种原因会导致系统提示用户注册其安全信息：

• 该用户的管理员已在 Microsoft Entra ID 中为其启用了 MFA，但没有为其帐户注册安全信息。
• 该用户已在 Microsoft Entra ID 中启用自助式密码重置。 以后如果用户忘记了密码，安全信息可帮助他们重置密码。
• 该用户访问的应用程序有一个要求使用 MFA 的条件访问策略，但此用户以前未注册 MFA。
• 该用户正在将某个设备注册到 Microsoft Entra ID（包括 Microsoft Entra 加入），并且你的组织要求使用 MFA 进行设备注册，但该用户以前未注册 MFA。
• 该用户正在 Windows 10 中生成 Windows Hello 企业版（需要 MFA），但以前未注册 MFA。
• 组织已创建并启用一个 MFA 注册策略，该策略已应用到该用户。
• 该用户以前已注册 MFA，但选择的验证方法后来被管理员禁用。 因此，该用户必须再次完成 MFA 注册，以选择新的默认验证方法。

要求用户完成以下过程以从 Microsoft Authenticator 中删除其帐户，并再次添加其帐户：

1. 转到其帐户配置文件，并使用组织帐户登录。
2. 选择“其他安全性验证” 。
3. 从 Microsoft Authenticator 应用中删除现有帐户。
4. 单击“配置”，并按照说明重新配置 Microsoft Authenticator。

如果尝试登录在本地计算机上安装的非浏览器应用程序，并且此应用程序无法使用需要双重验证的帐户，则将发生 0x800434D4L 错误。

此错误的解决方法是，使用不同的用户帐户执行管理员相关操作和非管理员操作。 稍后，可以在管理员帐户与非管理员帐户之间链接邮箱，以便能够使用非管理员帐户登录到 Outlook。 若要详细了解此解决方案，请了解如何让管理员能够打开和查看用户邮箱的内容。

错误 1073741715 = 状态登录失败 -> 尝试的登录无效。 该问题是用户名或身份验证错误引起的。

导致此错误的一个合理原因是：如果输入的主凭据是正确的，那么 MFA 服务器上支持的 NTLM 版本和域控制器上的版本可能不一致。 MFA 服务器仅支持 NTLMv1 (LmCompatabilityLevel=1 thru 4)，不支持 NTLMv2 (LmCompatabilityLevel=5)。

后续步骤

如果此处未解答你的问题，则可以使用以下支持选项：

• 在 Microsoft 支持知识库中搜索常见技术问题的解决方法。
• 在社区中搜索和浏览技术问题与答案，或者在 Microsoft Entra Q&A 中提出自己的问题。
• 请通过多重身份验证服务器支持联系 Microsoft 专业人员。 与我们联系时，尽可能包含有关问题的更多信息将很有帮助。 可提供的信息包括看到错误的页面、特定错误代码、特定会话 ID 和看到错误的用户的 ID。
• 对于旧版 PhoneFactor 客户，如果有疑问或需要重置密码方面的帮助，请使用 phonefactorsupport@microsoft.com 电子邮件地址创建支持案例。