251 的魔法实验室

所以，我们究竟能用它来做什么？

0x01 前言

在大部分人眼里，包含 Microsoft 365 E5 的 Developer Program 就是一个便捷获取不含邮箱服务的 Office 在线套件 + OneDrive 的好去处。但是，它还提供了别的东西——例如 Azure Active Directory。昨天晚上突然对这个感兴趣起来，虽然 Azure AD 是可以随便注册的，但是我还是申请了一个 E5 订阅。

0x02 申请之后

申请的过程很简单，验证一下不是机器人就完成了。之后就可以去 Azure 的控制台里看到你的 Azure Active Directory 啦！

不过描述的话我也没有官方清楚，就在这里简要的说一下坑吧。

关闭 2FA 里的短信验证

我注册的时候，发现 License 给的是 Azure AD Premium P2，也就是说可以很方便的关闭二步验证里面的短信验证。

找到 Properties，然后点击最下面的 Manage Security defaults，将其关掉，这样整个 2FA 就被关掉了。但是，完整关闭 2FA 显然不是一个好的方法——所以我们还需要开启基于 App 的 2FA（即 RFC 6238）。

找到 Security –> Conditional Access，创建一个 Policy。我这里起名叫「2FA App Only」。User and groups 选择 All users，Cloud apps or actions 选择 All cloud apps，Conditions 只选择 Client apps 里的 Browser 和 Mobile apps and desktop clients，Grant 选择 Grant access 里的 Require multi-factor authentication。然后就可以啦！

保存之后，退回到主页面，选择 Password Reset –> Authentication methods。

如果出现错误的话，等待一段时间吧，或者尝试登出/开启浏览器隐身模式。如果可以加载的话，勾选 Mobile app code 即可。在这里你也可以开启 Email 或者 Security questions。

大功告成！不过记得用户在使用 Mobile app code 时，一定要提醒用户选择 I want to use a different authenticator app，不然的话就变成了只能使用微软的身份验证器的一种在线验证方式，而不是我们所熟悉的「六位数」。

下发云端配置

虽然 Microsoft 365 E5 的 Developer Program 也包含了 Intune，但是和真的 Intune 有点差别。不过肯定是能用的。

首先，去 Azure Active Directory 的主页面选择 Mobility (MDM and MAM)，然后将 Microsoft Intune 和 Microsoft Intune Enrollment 里的 user scope 全部开启。因为如果直接在 Windows 上 Join this device to Azure Active Directory 的话，登录的只是 Azure AD（即只能在 Azure 控制台内看到），而并不会在新版 Microsoft Endpoint Manager admin center 里显示。

然后，打开 Windows 的设置，选择 Accounts –> Access work or school。在这里，选择 Enroll only in device management link 并登录。

接着，打开 Microsoft Endpoint Manager admin center，找到 Devices，在 By platform 里找到 Windows，是不是就能看到设备了？

在这个控制台里，我们可以对设备进行开关机，扫描病毒，甚至能重置该电脑。还可以看到 App 信息（我这里显示空）和设备硬件信息。

返回上一层，在 Policy 里我们可以找到 Configuration profiles，这个就是策略下发啦，自定义你想下发的策略，并选择发送到哪些设备和用户，最后保存即可。

P.S. 这个下发也太慢了吧……等了快一天了还是没生效。

使用自定义域名登录

是不是觉得 example.onmicrosoft.com 太长了？没问题，我们可以更改，前提是你有自己的域名哦！

去 Azure 控制台里面的 Azure Active Directory，找到 Custom domain names。在这里添加自己的域名并按照要求设置解析即可。成功后，会显示 Verified。

然后，去 Office 的管理后台，找到 Setup。可以发现 Get your custom domain set up 是未完成的状态，点击它并按照要求设计解析即可。成功后，会显示 Completed。

接下来，就可以去 Users 里点击任一用户，选择 Manage username，就可以从自己的域名与 onmicrosoft.com 之间选择啦！两者只能同时选择一个，而另一个登录时就不会生效了。这个更改是及时生效的。

P.S. 添加了自己的域名依然是无法使用邮件系统的，因为这个订阅没有带邮件系统。

0x03 后记

想起什么或者捣鼓了什么再写下来吧，如果不是体验的话，记得要保持活跃开发以续期哦！

0x04 参考资料

• https://docs.microsoft.com/en-us/windows/client-management/mdm/mdm-enrollment-of-windows-devices
• https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-custom-domain

---

如果喜欢本文，欢迎点击下方的「鼓掌」按钮！

如果上面没有加载出任何东西，可以点击这里。

---

如果喜欢本文，欢迎点击下方的「鼓掌」按钮！

如果上面没有加载出任何东西，可以点击这里。