MFA автоматически включается в клиенте Azure AD B2C

Думаю, ваш ответ @flip - часть загадки. Фактически вы предварительно регистрируете свой номер телефона, поэтому при принудительной настройке MFA вам предоставляются дополнительные параметры ТЕКСТА. Мы заметили различия в процессах присоединения к AAD, когда иногда вам предлагается ввести номер телефона перед этим шагом, а иногда нет.

Например, если вы входите в систему как локальный пользователь и присоединяетесь к AAD, как показано, вы можете получить оба сценария. Я думаю, что то же самое верно и для новой сборки, так как в предыдущем тесте нам нужно было ввести номер мобильного телефона, но я не могу точно вспомнить, какой сценарий.

Однако по прошествии еще нескольких дней с поддержкой Azure нам удалось изолировать основную причину, если кому-то это интересно. Оказывается, MFA IS применяется через «Параметры безопасности по умолчанию» (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults). MS фактически только что обновили свою статью СЕГОДНЯ, чтобы прояснить ситуацию.

Фактически, отключение параметров безопасности по умолчанию остановит принудительное применение, хотя будьте осторожны, чтобы не путать подсказки с настройкой Windows Hello, как мы это делали (мы тестировали, полностью отключив с помощью групповой политики). Я убежден, однако, что неделю назад это было не так, и недавно кое-что изменилось за кулисами.

В итоге вам придется развернуть MFA в той или иной форме, чтобы присоединиться к AAD, если вы не отключите параметры безопасности по умолчанию. Не очень хорошо для миграции конечных точек, но, по крайней мере, мы знаем, откуда это происходит.

Проблема решена. Не уверен, что служба поддержки Azure приняла меры без уведомления или из-за того, что сделал я. В любом случае, вот шаги, которые я предпринял:

• На portal.azure.com перейдите в Azure AD> Пользователи> Многофакторная аутентификация. (Он находится в верхнем меню.)
  

• Страница "Многофакторная аутентификация" откроется в новом окне браузера.
  Включите многофакторную аутентификацию для учетной записи пользователя, в которой возникла проблема.

• Войдите в эту учетную запись на account.activedirectory.windowsazure.com.
• Щелкните свою учетную запись в правом верхнем углу, чтобы открыть раскрывающееся меню, и выберите Профиль.
• Выберите "Дополнительная проверка безопасности".
  Здесь доступны все варианты проверки, включая звонок, текстовое сообщение или использование мобильного приложения (Microsoft Authenticator).
• Завершите дополнительную проверку безопасности и убедитесь, что MFA работает.
• Вернитесь к Azure AD> Многофакторная аутентификация пользователей и снова отключите MFA.

В нашем случае MFA был отключен для всех пользователей, но все равно активен, как для локальных учетных записей в клиенте AD B2C, так и для внешних учетных записей Active Directory.

Состояние MFA внешних пользователей Active Directory нельзя изменить на странице Многофакторной аутентификации клиента AD B2C. Это необходимо сделать на странице Azure AD соответствующего клиента AD.

Проблема решена, но причина не установлена. У нас нет подписки на AD Premium, и мы вообще не должны иметь доступа к функции MFA.

Я думаю, что мы, возможно, отчасти в этом разобрались. В нашем случае отключение MDM User Scope позволило войти в систему без принудительной «дополнительной проверки безопасности». У нас тоже нет подписки InTune, но она находится в разделе AAD ›Mobility (MDM и MAM). Однако это означает, что устройства не зарегистрированы, поэтому следующий вопрос: откуда именно MDM получает эту конфигурацию. Мы передадим это в службу поддержки Azure, когда они снова позвонят нам завтра!