Dlaczego jedno logowanie pokazuje MFA, a drugie „Single Factor”?
| Typ urządzenia | Windows Hello | Raport Entra ID | Znaczenie |
|---|---|---|---|
| Entra Registered | Windows Hello | Multi-factor authentication | Traktowane jako silne uwierzytelnianie |
| Entra Joined / Hybrid | Windows Hello for Business | Single-factor authentication | Urządzenie jest już zaufane |
Urządzenie nie jest w pełni zaufane.
Windows Hello działa jak niezależna silna metoda MFA.
Urządzenie jest w pełni zaufane przez Entra ID.
Przy logowaniu dostaje Primary Refresh Token (PRT) z wbudowanym MFA.
Efekt jest taki: Jeśli użytkownik loguje się do urządzenia (zarówno Entra Registered, jak i Entra Joined za pomocą Windows Hello, to w wielu scenariuszach dodatkowe MFA nie będzie wymagane przy dostępie do aplikacji, ponieważ uwierzytelnianie zostało już spełnione wcześniej.
Ciekawe pytanie – atak Device Code Flow:
Na urządzeniach Entra Joined silne uwierzytelnienie jest powiązane z Primary Refresh Token (PRT), który może zawierać informację o spełnionym MFA. W praktyce oznacza to, że w niektórych scenariuszach (np. Device Code Flow) dodatkowe MFA może nie zostać ponownie wymuszone, jeśli warunki uznają je za już spełnione.
Na urządzeniach Entra Registered sytuacja jest inna (brak pełnego PRT), ale Windows Hello nadal może być traktowane jako metoda MFA, w zależności od kontekstu logowania i polityk.