Tenemos un inquilino M365 con MFA aplicada para todos los usuarios.
Podemos usar mensajes de texto (SMS) o la aplicación Microsoft Authenticator en un teléfono inteligente con un código basado en tiempo (código TOTP de 6 dígitos).
Nos gustaría que algunos usuarios tuvieran el MFA configurado en modo de "aprobación". Es decir, cuando el usuario intenta iniciar sesión, MS Authenticator le pide que apruebe la solicitud de inicio de sesión y el usuario simplemente debe presionar el botón "aprobar".
¿Cómo podemos configurar esto?
Nota: somos conscientes de que esto puede ser menos seguro y algunos usuarios simplemente aprobarán cualquier solicitud incluso si no son sus autores. Esto debe configurarse para usuarios muy específicos en los que confiamos para utilizar esta función correctamente.
Respuesta1
NecesitasHabilite los métodos de autenticación de inicio de sesión telefónico sin contraseña
Para habilitar el método de autenticación para el inicio de sesión telefónico sin contraseña, complete los siguientes pasos:
Inicie sesión en Azure Portal con una cuenta de administrador de políticas de autenticación.
Busque y seleccione Azure Active Directory, luego vaya a Seguridad > Métodos de autenticación > Políticas.
En Microsoft Authenticator, elija las siguientes opciones:
a. Habilitar: Sí o No
b. Destino: todos los usuarios o seleccionar usuarios
Cada grupo o usuario agregado está habilitado de forma predeterminada para usar Microsoft Authenticator en modo sin contraseña y de notificación push (modo "Cualquiera"). Para cambiar el modo, para cada fila del modo de autenticación, elija Cualquiera o Sin contraseña. Al elegir Push se evita el uso de la credencial de inicio de sesión del teléfono sin contraseña.
Para aplicar la nueva política, haga clic en Guardar.
¡Espero que esto ayude!