很久以前寫了一篇文章 Office365 Exchange Hybrid No.21 Office365 MFA 裡面介紹瞭如何在Office365中MFA的啟用和使用，上週有同事在問我一個問題客戶的Office365登入的時候為什麼在輸入使用者名稱和密碼後還需要在手機上開啟一個應用來操作後才能正常登入。當時在群裡說了下這個是MFA但是沒有說明怎麼用的，今天就分享下這個是怎麼玩的，對比起來發送簡訊和電話呼叫這個更加方便一點，只需要在APP中點選一下就可以允許登入。

首先還是登入到Office365管理中心，進入活動使用者，點選上方的更多選擇多重身份驗證設定

這裡我選擇我的賬號來做演示，點選右側的啟動

點選啟用multi-factor auth

啟用成功

這時候預設是通過傳送簡訊的方式來進行二次身份驗證的，如下圖

手機上收到簡訊驗證碼，將驗證碼輸入即可正常登入

這時候就要使用進階的功能了，如何在Microsoft Authenticator APP中來繫結我的Office365賬號。

登入到Office365後點擊右上角的齒輪設定按鈕，選擇Office365

點選安全和隱私，如果啟用了Office365中的MFA後，使用者會有額外的身份驗證設定，如下圖

點選更新安全電話號碼（不要去搞應用密碼，我試過了安全性過於太高了，終端使用者操作起來要瘋掉，而且會因為單獨的應用密碼大概率會導致outlook skype onedrive客戶端登入不成功）

選擇設定Authenticator應用

這時候就會出現一個二維碼\驗證碼\信任的URL三個東西，這三個是手機APP上繫結賬號的時候需要驗證賬號用的

接下來就去應用商店裡面下載Microsoft Authenticator APP，點選新增帳戶

選擇工作或學校帳戶

然後就會開啟相機進行二維碼掃描，掃描Office365網站上的二維碼進行繫結

這時候Office365網頁上就自動變更成驗證啟用狀態

完成啟用後，就會出現首次的應答請求提示

回到手機APP中就會提示是否允許登入，點選批准

批准後即可完成設定，最後還要設定下首選項是通過應用通知我來進行二次身份驗證，意思就是說以後只要登入Office365的所有應用包括網站都需要通過這個APP來進行批准動作才能進行

到此，整個MFA配置就完成了，最後點選儲存即可完成所有配置的儲存

點選儲存的時候又會提示進行身份驗證

這時候APP上又要進行批准操作

最後更新配置成功

來測試一下，登入Office365 portal頁面，在輸入正確的使用者名稱密碼後提示已經將通知發到APP中，只需要點選拒絕或者批准即可完成相應的操作

點選批准肯定是可以登入的，我試了下點選拒絕，Web頁面上提示登入請求被拒絕了

然後開啟outlook客戶端，也會提示進行二次身份驗證

如果長時間在APP上不進行任何操作，超時後客戶端會進行選擇其他的認證方式

測試使用手機驗證碼

最終登入成功

最後我還測試了下開啟手機outlook skype onedrive等應用時也會進行二次身份驗證，但是使用APP批准的方式操作起來體驗不太友好，經測試手機應用上通過Authenticator的隨機6位驗證碼來操作最為方便。