HOWTO: 允许 Microsoft 365 用户使用临时访问密码

[ 2022/11/27 06:22 | by gOxiA ]

m365

HOWTO: 允许 Microsoft 365 用户使用临时访问密码

        用户需要使用一个临时密码来登录自己账号访问资源,或执行某些操作,这种应用场景其实是存在的,在某些特定场景下也是合规的。如果按照以前的做法,重新修改用户账户密码使用完毕后再重新改回,显然不够妥当。但借助 Azure 身份验证方法中提供的临时访问密码就可以实现我们的需求,它允许 Microsoft 365 管理员为账户创建一个临时访问密码,在特定的时间开始生效,在一定时长后失效,并且可设置为是否为一次性使用。该项安全技术同样适用于 Windows 10/11 的 OOBE 阶段。

        要为 Microsoft 365 用户账号启用和配置临时访问密码,可访问 Endpoint Manager Center,定位至“用户”,找到用户为其配置“身份验证方法”,添加“临时访问密码”。

TAP-1

        配置成功后,会给出临时访问密码,以及安全注册信息。

TAP-3

        接下来可以访问 http://aka.ms/mysecurityinfo 来注册用户的凭据,或在其他场景中使用。

TAP-login

TAP-OOBE

        如果无法为用户账户添加临时密码访问,则需要对 Azure AD 进行配置,为此请登录 Azure Portal,在 AAD 安全组中找到身份验证方法,并添加临时访问密码。全局设置中可以为特定的用户/组启用,也可以配置最短生存周期,最长生存周期,以及默认生存期,并可强制为一次性使用。

TAP-0

参考文档:

https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass

注意:临时访问密码一次仅能设置一个,如果重复设置将替换之前的配置。

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(4232)

[Intune] HOWTO: 解决关联账号发生 0x80180002 错误问题

[ 2022/11/07 20:15 | by gOxiA ]

logo_intune

HOWTO: 解决关联账号发生 0x80180002 错误问题

        Windows 客户端设备以本机或 MSA 账号配置登录,之前关联在其他组织中,现已退出,并重新通过“登录工作或学校账户” 以 BYOD 形式关联一个新组织 M365 账号,完成登录验证进行注册时发生错误提示“你的账户未在此设备上设置,因为无法启用设备管理。此设备可能无法访问某些资源,如 Wi-Fi、VPN或电子邮件。”

        错误代码:80180002,属于未知错误代码。如下图所示:

Intune_0x80100002


        完全没有排查头绪,换其他账号是可以正常注册的,查看事件日志 DeviceManagement-Enterprise-Diagnostics-Provider 线索不多,但可看到从服务器端返回了 FailedAuthentication,难道是用户名密码问题,测试后未发现异常。

Intune DMEDP_ID52

Intune_DMEDP_ID11


        翻阅 Microsoft Learn (PS:Microsoft Docs 已经正式更名并纳入到 Microsoft Learn 体系) 找到一篇文档:80180002b error during Windows 10 Group Policy-based auto-enrollment to Intune | Microsoft Learn,按照其建议进行了排查确认,并未发现异常,设备属于 Workplace joined,也已经正常退出,80180002与80180002b还是有区别的!只能从账号创建的过程再逐个排查。

        最终找到问题所在,账户创建人员仅为当前用户分配了 Office E3 的 License,并未分配 Enterprise Mobility + Security E5,随即问题解决。

Intune_License

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(5241)

HOWTO: 使用 Intune CSP 禁用 OOBE 阶段的首次登录动画

[ 2022/10/01 09:46 | by gOxiA ]

Windows_logo_horiz_blue_rgb

HOWTO: 使用 Intune CSP 禁用 OOBE 阶段的首次登录动画

        当我们在准备批量自动化部署 Windows 前都会制作参考映像,并对其进行定制,以及预置一些应用程序,或加载一些自动化配置。但在实际部署时会发现 Windows OOBE 的自动化配置过程是实现了,但在“首次运行动画”这个阶段等待了漫长的时间,曾有网友遇到该时间长达近半个小时。

image

        那么我们是否有办法加快或禁用这段动画吗?对于传统部署模式,虽然在 Windows 应答文件中没有预设的配置选项,但是可以通过组策略或脚本进行配置。

1. 组策略,定位到“计算机配置-管理模板-系统-登录”,禁用“显示首次登录动画”。

gpo_showfirstanimation

gpo_showfirstanimation-1

2. 如果需要在 Windows 应答文件中实现,则需要添加执行脚本,参考如下:

<RunSynchronousCommand wcm:action="add">

    <Description>disable FirstLogonAnimation</Description>

    <Order>1</Order>

    <Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableFirstLogonAnimation /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

<RunSynchronousCommand wcm:action="add">

<Description>disable animation</Description>

<Order>2</Order>

<Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DelayedDesktopSwitchTimeout /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

        如果正在使用现代部署模式,如 Intune 这类的 MDM 平台,则可以直接使用 CSP 进行预配。

范围:Device

版本:Pro、Ent、Edu、SE

系统:1903及以上

./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

格式:int

值:0 -> Disabled

参考信息:

https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-windowslogon#enablefirstlogonanimation

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(2596)
分页: 9/23 第一页 上页 4 5 6 7 8 9 10 11 12 13 下页 最后页 [ 显示模式: 摘要 | 列表 ]