Microsoft Entra 多重身份验证和 Active Directory 联合身份验证服务入门

如果你的组织已使用 AD FS 将本地 Active Directory 与 Microsoft Entra ID 联合，则有两种方法来使用 Microsoft Entra ID 多重身份验证。

• 使用 Microsoft Entra 多重身份验证或 Active Directory 联合身份验证服务保护云资源
• 使用 Azure 多重身份验证服务器保护云和本地资源

下表总结了使用 Microsoft Entra 多重身份验证和 AD FS 保护资源的验证体验

验证体验 - 基于浏览器的应用	验证体验 - 非基于浏览器的应用
使用 Microsoft Entra 多重身份验证保护 Microsoft Entra 资源	使用 AD FS 在本地执行第一个验证步骤。 第二步是使用云身份验证实施基于手机的验证方法。
使用 Active Directory 联合身份验证服务保护 Microsoft Entra 资源	使用 AD FS 在本地执行第一个验证步骤。 遵循声明在本地执行第二步。

有关联合用户的应用密码注意事项：

• 使用云身份验证验证应用密码，因此将绕过联合。 仅当设置应用密码时，才主动使用联合。
• 应用密码不遵循“本地客户端访问控制”设置。
• 使用应用密码时，无法使用本地身份验证日志记录功能。
• 帐户禁用/删除可能需要长达 3 小时才能实现目录同步，从而延迟了云标识中应用密码的禁用/删除。

若要了解如何设置 Microsoft Entra 多重身份验证或具有 AD FS 的 Azure 多重身份验证服务器，请参阅以下文章：

• 使用 Microsoft Entra 多重身份验证和 AD FS 保护云资源
• 将 Azure 多重身份验证服务器与 Windows Server 配合使用来保护云和本地资源
• 将 Azure 多重身份验证服务器与 AD FS 2.0 配合使用来保护云和本地资源