Вопрос или проблема
Я готовлюсь к подключению новой группы пользователей для аутентификации MFA с помощью Entra/AD FS и сталкиваюсь с некоторыми проблемами (к счастью, это всё ещё на стадии тестирования!)
Среда — это локальный сервер AD/AD FS (2019 года), синхронизирующийся с Entra с использованием P1 для поддержки MFA. Это работает для большинства пользователей. Когда пользователи активируют новую учетную запись, они перенаправляются на процесс “ProofUp” от Microsoft на сайте mysignins.microsoft.com/security-info согласно документации и могут завершить регистрацию/аутентификацию. Это позволяет им изначально обойти требование MFA для доступа к странице “mysignins.microsoft.com/security-info”, пока не будут предоставлены дополнительные факторы, как и должно быть.
Однако у нас есть группа пользователей, которые уже имеют приложение Microsoft Authenticator и уже вошли в него с использованием нашей “Рабочей или Учебной учетной записи”, но ещё не завершили регистрацию приложения для MFA в нашем арендателе Azure/Entra. Примечательно, что приложение СОВСЕМ не отображается в разделе Методы аутентификации для пользователя в консоли администратора Entra. Это студенты (мы университет), которые использовали приложение для MFA с внешним сервисом до того, как мы ввели требование MFA для студентов, и теперь мы больше не используем этот сервис.
Эти пользователи НЕ могут загрузить страницу ProofUp на mysignins.microsoft.com/security-info и вместо этого попадают в цикл перенаправления, где они постоянно возвращаются на наш сайт AD FS с сообщением о необходимости завершить регистрацию MFA.
Ключевой момент в том, что пользователь никогда не видит фактического сообщения об ошибке. Они просто не могут пройти мимо страницы AD FS, на которой им предлагают зарегистрировать токены MFA. Всё, что они делают, чтобы продвинуться вперёд, перенаправляет их обратно к этому пункту. Кроме того, журналы входа для этих пользователей в Entra показывают только результаты “Успех”, если они не вводят неверный пароль, и даже эти записи сделаны до того, как мы включили требование MFA для пользователя (или после того, как мы освободили их из-за ошибки).
ОБНОВЛЕНИЕ:
Теперь я могу воспроизвести это для нового тестового пользователя по запросу с помощью следующих шагов:
- Создайте пользователя в локальном Active Directory
- Убедитесь, что от пользователя ещё не требуется MFA, и дайте ему синхронизироваться с Azure AD/Entra
- Возьмите тестовое мобильное устройство, которое ещё не зарегистрировано в Entra
- Установите приложение MS Authenticator заново на устройстве (полностью удалите его сначала, а затем переустановите, если оно уже было, чтобы удалить все локальные данные от предыдущих тестов)
- Войдите в приложение Authenticator под учетной записью работника/учебной учетной записью с учетными данными пользователя, созданного на шаге 1
- Закройте и выйдите из приложения.
- Установите для пользователя требование MFA для одной из наших сторон, использующих AD FS (мы делаем это, добавляя членство группы в AD)
- Пусть пользователь попробует получить доступ к защищенному приложению
Важно, чтобы шаги 5 и 6 произошли до шага 7.
AD FS теперь правильно определяет, что пользователю нужно завершить MFA; они увидят сообщение согласно документации, а затем попытается перенаправить их на страницу Entra ProofUp через 5 секунд. Но страница ProofUp не позволит получить доступ и немедленно перенаправит их обратно на AD FS, чтобы повторить цикл. Пользователь не может завершить процесс ProofUp.
Использование кнопки “Требовать повторную регистрацию многофакторной аутентификации”, показанной ниже для пользователя в консоли администратора, не помогает решить эту проблему.
На данный момент у меня есть два способа, как я могу продвинуть этих пользователей вперед:
- Ввести дополнительный фактор вручную для них (например, номер мобильного телефона). Вскоре мы будем привлекать несколько сотен дополнительных пользователей таким способом, и я не обязательно имею эти номера мобильных телефонов. Мне нужно что-то лучшее.
- Изменить политику контроля доступа для приложения Office 365 так, чтобы не требовать MFA. Это не так плохо, как кажется на первый взгляд, поскольку мы используем Google Workspace для электронной почты и большинства документов, но это, очевидно, тоже нехорошо и не то, с чем я хочу мириться в долгосрочной перспективе.
Как я могу очистить незавершенную регистрацию приложения Authenticator для этих пользователей или каким-либо образом позволить им продвинуться вперёд с регистрацией MFA?
Я не могу быть первым человеком, столкнувшимся с этой проблемой, потому что это может произойти с любым, кто пропускает шаг в обычном процессе и пытается добавить приложение Authenticator слишком рано.
Перейдите в Azure Active Directory > Пользователи > Все пользователи > Выберите пользователя, над которым хотите выполнить действие > выберите Методы аутентификации > Требовать повторную регистрацию MFA
https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-userdevicesettings#next-steps
Обновление:
Вот скрипт, который также использует поддержка Microsoft для анализа журналов adfs. Может быть полезно
https://github.com/CSS-Identity/ADFS-Diag/
Вот как мы собираемся обойти эту проблему:
Я добавил дополнительную группу в AD для управления MFA, названную MFA_ProofUpBypass.
Затем я создал новую политику контроля доступа в AD FS с тремя критериями:
- Разрешить всем, кроме группы MFA_Required
- Разрешить пользователям из группы MFA_Required и требовать многофакторную аутентификацию, кроме группы MFA_ProofUpBypass
- Разрешить пользователям из группы MFA_ProofUpBypass
После успешного тестирования политики, я применил ее к нашей стороней Microsoft 365 (и только этой стороне) в AD FS.
Теперь, когда мы добавляем новых пользователей из этой группы (пакетами по около 30 в неделю, потому что у нас всего две человек в команде поддержки, которые также должны обрабатывать обычные запросы), мы изначально добавим пользователей в обе группы MFA_Required и MFA_ProofUpBypass одновременно.
Таким образом, эти пользователи смогут завершить процесс регистрации MFA, а существующие пользователи MFA не потеряют защиту учетной записи для сервиса Microsoft 365.
Затем, когда мы увидим, что каждая группа успешно завершила регистрацию, мы можем удалить их из группы MFA_ProofUpBypass, чтобы они также получили защиту MFA для сервиса Microsoft 365.
В дальнейшем, когда у нас будет обычная смена пользователей и возникнут проблемы, мы сможем продолжать использовать группу MFA_ProofUpBypass, чтобы помогать пользователям с подобными вопросами, а также с такими вещами, как переход на новый телефон.
Я всё ещё хотел бы полностью решить эту проблему, но у меня нет времени (вроде как – мы не начинаем до следующего семестра, но мне нужно, чтобы руководство утвердило план миграции на этой неделе до праздников).
Убедитесь, что ваши пользователи также имеют назначенные лицензии P1.
Ответ или решение
Проблема, с которой вы столкнулись, связана с процессом регистрации многофакторной аутентификации (MFA) для пользователей, которые ранее использовали Microsoft Authenticator для другой службы, и теперь не могут завершить регистрацию в вашем окружении из-за того, что приложение аутентификатора уже аутентифицировано, но не зарегистрировано для MFA. Это приводит к зацикливанию перенаправлений между AD FS и страницей ProofUp.
Процесс, который вы описали, можно решить с помощью нескольких шагов:
Шаги для решения проблемы
-
Создание группы для обхода MFA (MFA_ProofUpBypass):
Вы уже создали эту группу, что является отличным первым шагом. Это позволит вам управлять пользователями, которые должны пройти процесс ProofUp без требования MFA. Далее в AD FS вы должны создать политику доступа, как вы сделали, чтобы обрабатывать пользователей из этой группы. -
Настройка политики доступа AD FS:
Вы правильно разработали политику, которая позволяет пользователям из группыMFA_ProofUpBypassпройти процесс регистрации без требований MFA. Убедитесь, что Релизующие Партнёрские соглашения (Relying Parties) для Microsoft 365 используют эту политику. -
Доступ к ProofUp:
Убедитесь, что пользователи, которые должны пройти ProofUp, действительно добавлены в группуMFA_ProofUpBypass. Это даст им возможность перейти на страницу mysignins.microsoft.com/security-info и завершить свою регистрацию. -
Конфигурация лицензий:
Проверьте, чтобы все пользователи имели назначенные лицензии P1, которые необходимы для использования MFA. Без активной лицензии возможность регистрации может быть ограничена. -
Способы переноса существующих пользователей:
Для пользователей, которые уже не могут завершить процесс ProofUp, рассмотрите возможность использования функции "Требовать повторную регистрацию многофакторной аутентификации". Этот вариант приведет к сбросу их текущих аутентификационных методов и позволит начать процесс регистрации MFA заново. -
Мониторинг и поддержка:
Регулярно отслеживайте прогресс пользователей в завершении процесса регистрации. После успешного завершения регистрации рекомендуется удалить пользователей из группыMFA_ProofUpBypass, чтобы они могли пользоваться полной защитой MFA.
Дополнительные рекомендации
-
Использование сценариев для автоматизации: Если вы планируете массовое внедрение пользователей, рассмотрите возможность написания скриптов PowerShell для автоматизации добавления пользователей в необходимые группы и управления их настройками MFA.
-
Обратная связь от пользователей: Получите отзывы от пользователей, которые прошли регистрацию через
MFA_ProofUpBypass. Это поможет вам выявить возможные узкие места и улучшить процесс для будущих партий пользователей.
Это решение не только позволит вам обойти текущие проблемы, но и обеспечит долгосрочную стратегию для управления пользователями, требующими регистрации MFA.