使用MFA登录Azure CLI

Question

安装在Windows (和Linux?)上的Azure CLI操作系统显然使用设备代码授权流程来登录用户。假设这样的用户可能需要使用多因子( MFA )身份验证来执行管理任务，那么如何使用Azure AD作为身份提供者来针对此用例实现MFA (CLI登录，强制执行MFA)？

我的理解是，Azure登录到CLI的实现使用浏览器进行初始身份验证-这样做的目的是为了用户不会在CLI中键入登录密码。

Answer 1

我的理解是，Azure登录到命令行界面的实现使用浏览器进行初始身份验证-这样做的目的是为了用户不会在命令行界面中输入登录密码。

是的，默认情况下，在Azure中，当你试图通过cli登录时，它会启动一个浏览器会话来输入你的凭据，并进行进一步的日志记录。

如果您希望在使用CLI登录门户时启用MFA，则必须在active directory中启用每个用户的MFA，如下所示。

​

​

如果你想确保每个试图通过Azure CLI登录的用户都必须使用多因素身份验证，那么你可以通过创建一个conditional access policy来实现。

我们已经在我们的环境中测试了这一点，通过在AAD中创建一个用户并启用MFA-per user它工作得很好。

您可以参考以下示例输出作为参考：

​

​