某些启用了 Azure 多重身份验证的用户不会提示输入第二种验证方法

本文介绍启用 Azure 多重身份验证的用户在登录时不会提示他们输入第二个验证因素的方案。

原始产品版本：Microsoft Entra ID、云服务 (Web 角色/辅助角色) 、Microsoft Intune
原始 KB 编号： 3124671

症状

设置条件访问策略以要求强制实施 Azure 多重身份验证时，系统不会提示某些用户通过第二种验证方法验证其标识。 在以下两种方案中，可能会出现此问题。

方案 1：多重身份验证在已记住的设备上挂起：

在此方案中，管理员为多重身份验证设置受信任的网络，并启用 “允许用户通过使设备被记住来暂停多重身份验证 ”选项。

方案 2：用户是异常组的成员：

在此方案中，用户是应用的异常组的成员。 当管理员为应用设置多重身份验证访问策略时，管理员可以选择“ 例外 ”框，将组设置为例外。 即使配置了这些方案中的设置，你预计会提示用户使用第二种验证方法，因为应用了条件访问策略。

解决方案

对于方案 1：

1. 确认“ 允许用户暂停多重身份验证 ”选项已启用。
2. 如果启用选项，请让用户尝试以下一项或多项操作：
   • 删除浏览器 Cookie。
   • 使用其他浏览器。
   • 使用 InPrivate 浏览会话。

对于方案 2：

• 从异常组中删除用户。
• 从异常组列表中删除组。

更多信息

对于方案 1：

此选项允许通过多重身份验证成功进行身份验证的用户在未来 1-60 天内避免未来多重身份验证提示，具体取决于 在“设备必须重新进行身份验证之前几天 ”设置中配置的值。

即使应用设置为 “需要多重身份验证”、“非工作时需要多重身份验证”或“ 不在工作时阻止访问”，并且用户的设备不在受信任的网络上，也是如此。

对于方案 2：

对于属于异常组成员的用户，将重写对用户帐户进行多重身份验证的要求。

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。