在上一篇的實踐系列中我們已經配置好了我們雲端的Azure AD，我們可以將雲伺服器加入到域，也可以新增使用者到雲端的Azure AD中，那相對於現在這有一個移動為先云為先的時代，雲端的Azure AD和傳統的AD相比還有什麼優勢呢？第一，雲端的Azure AD使用方便，其次不需要我們維護域控制器，也不需要我們投入相應的硬體，所有的管理只需要一個瀏覽器，配合滑鼠與鍵盤。那就只有這點優勢了嗎，當然不是，雲端Azure AD還提供免費的不限次數沒有任何費用收取的多重身份驗證服務MFA。

在開始本篇的實踐之前，我們來看下什麼是雙重身份驗證服務，雙重驗證是需要多種驗證方法的身份驗證方法，可為使用者登入和事務額外提供一層重要的安全保障。它的工作原理是需要以下兩種或多種驗證方法：

• 使用者知道的某樣東西（通常為密碼）

• 使用者具有的某樣東西（無法輕易複製的可信裝置，如電話）

• 使用者自身的特徵（生物辨識系統）

  
  

Azure 多重身份驗證 (MFA) 是 Microsoft 的雙重驗證解決方案。Azure MFA 可幫助保護對資料和應用程式的訪問，同時滿足使用者對簡單登入的需求。它通過一系列的驗證方法（包括電話呼叫、 簡訊或移動應用驗證）提供強身份驗證。（使用 Azure 多重身份驗證時，不會針對向您的終端使用者撥打的各個電話呼叫或傳送的簡訊對組織收費。）

看了說明之後是不是覺得Azure多重身份驗證服務非常有用，可以為我們使用者身份憑據起到保駕護航的作用，最重要的是完全免費，甚至連電話費簡訊費都不會收取，當之無愧為

好了接下來，我們就來看下怎麼為我們的Azure AD使用者啟用這一項功能，首先登入到我們的Azure 經典門戶，然後找到我們建立的Azure AD。

Azure AD中目前只有一個使用者，我們新增一個新使用者。

指定我們的使用者型別為新使用者，然後填入我們的使用者名稱。

然後在使用者配置檔案的頁面，配置相對應的使用者資訊，在下方勾選"啟用多重身份驗證"，上方會出現一個警告資訊，提示我們已經為此使用者配置多重身份驗證。

完成之後我們就已經成功的配置了一個啟用了多重身份驗證的使用者，是不是非常的簡單。

接下來我們可以通過在使用者選項卡下方的"管理MFA"跳轉到專門的

在MFA管理頁面，我們可以看到所有的使用者，並且可以批量設定使用者是否啟用MFA，也可以看到當前選中的使用者是否啟用MFA，在右側可以看到MFA的狀態，如果是啟用狀態中，我們可以單擊禁用來關閉MFA，如果是沒有啟用，這可以通過單擊啟用來快速為使用者啟用MFA。

單擊MFA頁面頂部的服務設定，可以跳轉到MFA服務配置頁面。

在MFA服務設定頁面中，我們可以選擇是否允許使用者建立應用密碼，以使用非瀏覽器的方式進行登入。還可以配置驗證方法，驗證方法總體來講都是與我們的手機結合的，比如給我們的手機打電話、發簡訊，通過MFA App進行通知驗證、驗證碼驗證等。

在設定完成後，單擊儲存即可為Azure AD啟用MFA。再次說明，儘管Azure MFA功能強大，為我們的使用者身份驗證提供了非常高安全級別的多重身份驗證功能，可以很好的保護企業資料和使用者身份，結合Azure AD以及第三方應用開發、其他的Azure服務，是非常好的PaaS服務。目前MFA不會向用戶或Azure帳號所有者收取任何的費用，感興趣的朋友可以嘗試一下。

轉載於:https://blog.51cto.com/reinember/1907164