如何使用 Office 365 和 Azure 的 AD 中的 MFA Fiddler 追蹤記錄檔

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3106807
其他相關資訊
如果聯盟的使用者帳戶,來服務語彙基元伺服器 (STS) 進行驗證,並 login.microsoftonline.com 」,重新導向使用者,並由 STS 所發行的 SAML 語彙基元。如果管理使用者,則 login.microsoftonline.com 會驗證使用者經由使用者的密碼。

MFA 啟動後已經由 Azure 的 AD 驗證使用者的密碼或 STS。SANeeded = 1 會設定 cookie,如果使用者已啟用 MFA 驗證辦公室 365 或 Azure 目錄中。用戶端與使用者的密碼驗證類似下列之後,login.microsoftonline.com 之間的通訊:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

案例 1: 使用案例 MFA

SANeeded = 1 cookie 設定後密碼驗證。網路流量會被重新導向至端點: https://login.microsoftonline.com/StrongAuthCheck.srf?並要求可用的驗證方法。




MFA 啟動與BeginAuth,並接著觸發後端到電話服務提供者的電話撥號。




已開始 MFA 授權之後,用戶端會開始查詢的EndAuth方法的相同端點每隔 10 秒,若要檢查是否已經完成驗證。直到呼叫已經選取,並驗證, Resultvalue會傳回為AuthenticationPending




當電話已經選取,並驗證時, EndAuth的下一個查詢的回應會是成功ResultValue 。此外,使用者已完成 Mulitifactor 驗證。也設定 Cookie: SANeeded = xxxxxxx 的 cookie 設定在回應中,將會交給端點: login.srf 來完成驗證。


案例 2: 當電話超出涵蓋範圍或電話會不挑出

當電話為不選取,並且驗證後進行呼叫的 60 秒內時, ResultValue會被設定為UserVoiceAuthFailedPhoneUnreachable。而且在EndAuth方法的下一個查詢, UserVoiceAuthFailedPhoneUnreachable會傳回,Fiddler 所示。


案例 3: 當詐騙警告將被觸發來封鎖定域機組中的帳戶

當電話未提取和詐騙警告,並呼叫之後的 60 秒內張貼, ResultValue會被設定為AuthenticationMethodFailed。並在EndAuth方法的下一個查詢, AuthenticationMethodFailed回應傳回,Fiddler 所示。



封鎖的帳戶的案例 4:

如果使用者將遭到封鎖, ResultValue會被設定為UserIsBlocked。在EndAuth方法的第一個查詢, UserIsBlocked便會傳回,Fiddler 所示。




解決方法: 在 Azure 的訂閱 Azure MFA 案例中,您可以解除封鎖先登入 manage.windowsazure.com。然後選取目錄 > 使用者,並管理多因素驗證>服務設定。在頁面的結尾,選取 [移至入口網站。現在,在 https://pfweb.phonefactor.net/framefactory選取 [封鎖/解除封鎖使用者來尋找 [封鎖的使用者清單。

如果透過 Office 365 啟用 MFA,則請使用 Microsoft 來解除封鎖,開啟支援案例。

受管理的帳戶的案例 5: MFA

在此情況下,驗證將保持不變,但端點將會 https://login.microsoftonline.com/common/SAS/BeginAuthhttps://login.microsoftonline.com/common/SAS/EndAuth 而不是 https://login.microsoftonline.com/StrongAuthCheck.srf?為聯盟的帳戶。

警告:本文為自動翻譯

內容

文章識別碼:3106807 - 最後檢閱時間:11/09/2015 19:05:00 - 修訂: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtzh
意見反應