如果组织已使用 AD FS 将本地 Active Directory 与 Microsoft Entra ID 联合,可以使用两个选项来使用 Microsoft Entra 多重身份验证。
- 使用 Microsoft Entra 多重身份验证或 Active Directory 联合身份验证服务保护云资源
- 使用 Azure 多重身份验证服务器保护云和本地资源
下表总结了使用 Microsoft Entra 多重身份验证和 AD FS 保护资源之间的验证体验
| 验证体验 - 基于浏览器的应用 | 验证体验 - 非基于浏览器的应用 |
|---|---|
| 使用 Microsoft Entra 多重身份验证保护Microsoft Entra 资源 | |
| 使用 Active Directory 联合身份验证服务保护Microsoft Entra 资源 |
有关联合用户的应用密码注意事项:
- 应用密码使用云身份验证进行验证,因此会绕过联合身份验证。 仅当设置应用密码时,才主动使用联合。
- 应用密码不遵循“本地客户端访问控制”设置。
- 您将失去本地的应用密码身份验证日志记录能力。
- 帐户禁用/删除可能需要长达三个小时的目录同步,从而延迟在云标识中禁用/删除应用密码。
有关使用 AD FS 设置 Microsoft Entra 多重身份验证或 Azure 多重身份验证服务器的信息,请参阅以下文章: