来宾用户如何在 Azure Active Directory 中重置其 MS Authenticator MFA 设置？

Posted 2023-02-16

【中文标题】来宾用户如何在 Azure Active Directory 中重置其 MS Authenticator MFA 设置？

【英文标题】：How does a Guest User reset their MS Authenticator MFA settings in Azure Active Directory?

【发布时间】：2020-11-14 15:34:53

【问题描述】：

我知道如何在我的 主机 租户中重置我的 Authenticator 应用程序 MFA 设置。我将按照此处https://docs.microsoft.com/en-us/azure/active-directory/user-help/multi-factor-authentication-end-user-manage-settings 的说明使用此链接https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1，然后单击“设置身份验证器应用程序”按钮。

但是如何在我是访客的租户中重置我的 MFA？

【问题讨论】：

请参阅：uclabs.blog/2018/03/mfa-with-guest-access-and-different.html

您好，如果您还有任何疑问，我会尽快回复您。

【参考方案1】：

如果您仍然可以访问原始 MFA 设备，或最初配置为也允许 SMS MFA 登录，这些说明对我有用。这是基于@Carl 链接到上面的内容 (http://www.uclabs.blog/2018/03/mfa-with-guest-access-and-different.html)，但在我努力按照所写的内容进行操作时扩展了一些内容。

顺便说一句，我建议在私人/隐身窗口中执行所有这些操作，以确保您知道自己的登录身份。

使用您的“正常”租赁凭据登录到https://myapplications.microsoft.com/。

为您选择个人资料徽章（圆圈，右上角），然后选择“切换组织”以登录您要重新配置的访客租户。此时，如果您无法访问当前的 MFA 身份验证器设备，则需要使用“其他方式登录”才能使用 SMS MFA 进行此登录。

现在，在客人租赁中，再次选择您的徽章，然后选择“我的个人资料”。如果您没有看到“我的个人资料”，请使用省略号 (...) 并选择离开“新体验”。当页面重新加载时，现在您应该会在您的徽章下方找到“我的个人资料”链接。

在个人资料页面的右侧，您应该会看到“附加安全验证”。这应该可以让您进入来宾租赁中的此页面： https://account.activedirectory.windowsazure.com/Proofup.aspx

从那里您应该会看到（重新）设置您的 Authenticator 应用程序的选项（扫描 QR 码等...）。不要忘记删除旧手机的注册信息。

【讨论】：

正确的钱！谢谢！

嗨@piers7，你拯救了我的一天！微软做得非常糟糕，将这个选项隐藏在“离开‘新体验’”按钮后面。非常感谢！

天啊！太感谢了！我什至从来没有找到这个“控制面板”，因为微软对添加到没有组织的微软账户的访客账户隐藏得非常好！

【参考方案2】：

如果您只设置了一种 MFA 方法，而您丢失了此方法，那么据我所知，您无法加入需要为其重置 MFA 的访客组织。这意味着您无法按照其他答案中的建议通过转到您的个人资料来重置您的身份验证器应用程序。

如果您为 MFA 设置了多种方法（例如身份验证器和电话号码），那么您可以使用“以其他方式登录”选项登录。使用这个额外的 MFA 选项，您可以通过“https://myaccount.microsoft.com/”重置丢失的 MFA 选项

当您完全无法访问作为访客的租户时，因为您无法访问所有已配置的 MFA 选项，需要做的是：

联系您所在组织的全局管理员

让她/他/他们转到您的用户帐户（Azure Active Directory>用户）

然后她/他/他们需要选择“个人资料 > 身份验证方法”

然后点击“要求重新注册 MFA”

之后，系统会要求您在登录时再次为该组织设置 MFA。

第 2 步：

第四步：

【讨论】：

如果这个答案是正确的，那你就做不到。然后微软需要解决这个问题。为什么用户无法在任何租户中重置自己的 MFA？

你说“如果这个答案是正确的”。我确实尝试了其他解决方案，但它们当然不适合我或我们租户中的其他访客用户。因为我也是有来宾用户的租户的全局管理员，所以我确信我的答案的第二部分是正确的。无需删除用户。

另外：我认为总是添加第二个 MFA 方法是一种很好的做法。这样您就可以通过选择“以其他方式登录”来登录myaccount.microsoft.com 中的组织。我设法使用短信代码登录，然后我能够在我作为访客的租户中重置身份验证器应用程序 MFA。

编辑了我的答案，以考虑除验证器方法之外的其他 MFA 方法。

添加另一个 MFA 选项是一个很好的提示！我一直认为这很麻烦，但依靠管理员来修复/重置您的 MFA 更麻烦。

【参考方案3】：

对于您的问题，您可以使用以下两种方法：

您可以在使用https://myapps.microsoft.com登录请求时，在地址栏中将common更改为host tenant id，然后使用您的访客租户登录。

如果已经登录，可以直接切换到需要配置MFA的guest租户。详情可以查看link。

【讨论】：

你能澄清一下第 1 步吗？

这根本不起作用。在我可以更改我作为访客的租户中的任何设置之前，我需要使用我在该组织中的 MFA 登录。哈哈哈，由于手机重置，MFA 无法正常工作

【参考方案4】：

对于我们试图解决的问题，我们必须让用户离开组织并重新添加他们。但是，我认为这是最后的手段，而不是公认的答案。

【参考方案5】：

似乎有些事情发生了变化，或者答案中给出的 URL（不仅在这个问题中，而且在许多其他问题和找到的文章中）不起作用，或者重定向到不同的地址。根据您在 AAD 中允许您尝试调整 MFA 的内容，您实际上可能无法访问这些中间地址并被阻止，但结果可能是您和您都可以使用实际的 MFA 设置页面只需要知道它的地址。

目前我发现的地址是：https://mysignins.microsoft.com/security-info?tenant=00000000-0000-0000-0000-000000000000 您应该输入要为其设置 MFA 的目录的 ID，而不是 00000000-0000-0000-0000-000000000000。

如果您无法访问已设置的 MFA 方法，则 AAD 管理员将不得不介入，例如就像来自Datautomate 的accepted answer。

【讨论】：

你在说什么网址？ 'myaccount.microsoft.com' 仍然有效。

我现在不需要这样做，但如果我没记错的话，myaccount.microsoft.com 不适用于我的情况，因为它需要您对先说主账户。这不是我目前可以做到的（我在主机目录 MFA 上有问题）。我提供的链接（这是 myaccount 最终实际指向的链接）允许我指向我作为访客的目录，该目录不需要主帐户完整身份验证（例如 MFA）。您回答中的第二种方法确实有效（这就是我提到它的原因），但它需要管理员协助。