前言

前几周收到微软通知，将在前几天对商业全局启用安全默认值，即强制全局2FA.

2FA，也就是二步验证、双重验证，一般是短信验证码、邮箱验证码、密码器（比如谷歌和微软的）

但是这玩意大多数情况下只会恶心到自己，本文介绍下怎么关闭。

参考文档和相关网站

工作或学校帐户的双步验证常见问题

MS ADMIN

Portal AZURE

Azure AD 中的安全默认值

关闭指引

注意，个人账户（登陆域名 live.com）的可以直接关闭。工作和学校，也就是For Business的只能管理员关闭

初步设置

需要做的是首先在AZ控制台禁用安全默认值，需要用管理员邮箱登陆

1. 以安全管理员、条件访问管理员或全局管理员身份登录到 Azure 门户。
2. 浏览到“Azure Active Directory”>“属性” 。
3. 选择“管理安全默认值”。
4. 将“启用安全默认值”切换键设置为“否”。
5. 选择“保存”。

然后去MS ADMIN控制面板，找到用户->打开用户详情->账户（底部的）->多重身份验证（管理多重身份验证）进去看看是不是都禁用了。（可以尝试启用再禁用）

二阶设置

【如果你出现下面的现象则很有可能你的安全默认值没关闭成功】

然后去 https://mysignins.microsoft.com/security-info 【这个页面必须有2FA才能进】

把登陆方法都删除。

之后登陆会显示

不要丢失帐户的访问权限!
为了确保你能够重置你的密码，我们需要收集某些信息以便能够验证你的身份。我们不会使用此信息向你发送垃圾邮件 - 只是为了使你的帐户更安全。 您至少要设置以下选项中的 1 项。

身份验证电话 未配置。 立即设置

身份验证电子邮件 未配置。 立即设置

但是可以直接“看上去不错”跳过这个设置。（但是只能暂时跳过14天）

三阶设置

https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1

其他安全验证
在使用密码登录时，你还需要通过注册的设备进行响应。这将使黑客更难以仅凭借窃取的密码登录。 观看视频以了解如何保护帐户
你的首选选项是什么?默认情况下，我们将使用此验证选项。
你希望如何响应?请设置一个或多个选项。 了解更多信息
为了帐户安全性，将仅使用你的电话号码。将收取标准的电话费用和短信费用。

https://portal.azure.com/

https://portal.azure.com/

https://portal.azure.com/

受信任的 ip【这个是白名单】
跳过多重身份验证以适用于我的 Intranet 上的联盟用户发出的请求
跳过多重身份验证以适用于来自以下 IP 地址子网范围的请求

验证选项
可供用户使用的方法:
调用电话
向电话发送的文本信息
通过移动应用发送的通知
移动应用或硬件标志提供的验证码

在受信任的设备上记住多重身份验证
允许用户在他们信任(1 - 365 天)的设备上记住多重身份验证
用户可以信任设备的天数

https://portal.azure.com/#view/Microsoft_AAD_IAM/FeatureSettingsBlade
从 2022 年 9 月 30 日开始，将为所有租户启用 多重身份验证和 SSPR 的合并注册体验。
用户可以使用“我的应用”的预览功能
用户可以使用合并的安全信息注册体验
管理员可以访问“我的员工”