今天要说的是微软的authenticator app在中国的使用问题,众所周知的是,微软和很多厂商现在都在大力推广passwordless的身份验证方式,认为username和password已经不再安全,属于要慢慢摒弃的旧方法,至于哪些身份验证方式比较安全,微软心目中认定的身份验证的级别可以参考下图
可以看到authenticator app或者其他厂商的这些应用都属于微软认为的比较安全的身份验证方式,所以不管是个人还是企业都是属于非常推荐的,而authenticator app在中国也是可用的,但要注意的是,这里会有一定的限制
首先从下载来说,因为中国没有Google play,所以对于安卓用户来说,authenticator app需要到本地的应用商店里下载,但并不是所有应用商店都可以找到authenticator app,个人一般是在baidu的app store里去下载
其次,对于身份验证方式来说,如上图所见,authenticator app本身就支持不止一种的验证方式,但并不是所有方式和功能都可以在中国大陆使用,具体的信息可以参考下表
Microsoft Authenticator 功能 | 在中国可用? |
使用推送通知的双重验证设置 | 否 |
使用推送通知验证标识的预先存在的双重验证帐户 | 否 |
预先存在的双重验证帐户,用于执行通知的手动检查 | 是 |
仅使用临时验证码进行双重验证 | 是 |
手机登录注册 | 否 |
使用推送通知的现有手机登录 | 否 |
通过对验证请求执行手动检查来验证现有手机登录 | 是 |
支持个人 Microsoft 帐户的 Authenticator 应用 | 否 |
其中基于通知的这部分功能都是不可用的,也就是上图中的push notiication,因为这部分功能要基于Google GMS里的组件,而这也会导致一部分用户在使用authenticator app进行注册的时候误认为authenticator app在中国完全不可用,一般来说看到的会是下边这种报错,提示要检查push notification是否启用
实际上这个是可以设置的,安卓手机虽然没办法用push notification,但是我们可以用OTP的方式注册在authenticator app里,使用每30秒生成一次的验证码来进行验证,要开启这个功能的话,首先从服务端来说,Azure这部分的设置现在有两个位置可以做,主要取决于目前在用的是哪种方式
- Legacy MFA and SSPR
- Authentication methods policy
今天主要介绍的是legacy MFA的设置方法,但是这种方式在2024/09/30之后就会retire了,新的方式可以之后有时间介绍下
对于legacy MFA来说,首先到Entra ID->users这里进入per-user MFA的设置界面
然后找到service settings
确保verification code from mobile app or hardware token这个选项是选中的状态
策略的生效大概需要半小时左右,之后在设置authenticator的时候,确定自己能看到i want to use a different authenticator app,只有选择这个选项才能用OTP的方式,否则还会是push notification
之后的步骤就比较简单了,依然还是扫二维码进行注册即可
如果看到的是下边的界面,证明之前的设置没有生效,需要再等等
设置完成之后,正常就可以用authenticator app了
标签:方式,验证,安卓,身份验证,authenticator,设置,app From: https://blog.51cto.com/mxyit/8890314