Microsoft365DSC中AADConditionalAccessPolicy资源迁移MFA策略的技术解析

2025-07-08 06:27:13作者：董灵辛Dennis

背景概述

在Azure AD（现称Entra ID）的现代化身份验证管理中，微软逐步将传统的多因素认证(MFA)控制方式迁移到更灵活的Authentication Strength策略。Microsoft365DSC作为自动化配置管理工具，其AADConditionalAccessPolicy资源在此迁移过程中可能遇到策略更新冲突问题。

问题本质

当管理员尝试通过Microsoft365DSC将现有的条件访问策略从传统MFA控制方式(builtInControls: ['mfa'])升级为Authentication Strength模式时，系统会返回错误代码"1108: Authentication strengths cannot be used alongside the MFA built-in control"。其根本原因在于：

请求构造缺陷：DSC资源在生成Graph API请求时，虽然显式指定了BuiltInControls = @()空数组，但该参数未被包含在实际API调用中
策略冲突检测：Azure AD后端服务会强制校验新旧控制方式的互斥性，要求必须先完全移除旧式MFA控制才能启用新式认证强度策略

技术细节分析

当前行为表现

现有DSC资源配置示例：

{
    DisplayName = 'MFA TEST'
    State = 'enabled'
    ClientAppTypes = @('All')
    IncludeApplications = @('All')
    IncludeGroups = @('Azure-MFA')
    AuthenticationStrength = 'Multifactor authentication'
    BuiltInControls = @()  # 显式声明空数组
    GrantControlOperator = 'OR'
}

实际生成的Graph API请求缺失关键字段：

{
    "grantControls": {
        "authenticationStrength": {
            "id": "00000000-0000-0000-0000-000000000002"
        },
        "operator": "OR"
    }
    // 缺少 builtInControls: [] 声明
}

预期正确行为

合规的API请求应包含显式的空数组声明：

{
    "grantControls": {
        "authenticationStrength": {...},
        "builtInControls": [],  // 必须显式声明
        "operator": "OR"
    }
}

临时解决方案

目前推荐的变通方案是采用两阶段操作：

完全删除旧策略：先通过DSC或手动方式移除使用传统MFA控制的条件访问策略
创建新策略：重新部署配置为Authentication Strength的新策略

示例操作流程：

# 阶段1：移除旧策略
Remove-AADConditionalAccessPolicy -Identity "Legacy_MFA_Policy"

# 阶段2：创建新策略
New-AADConditionalAccessPolicy @{
    DisplayName = "Modern_MFA_Policy"
    AuthenticationStrength = "Multifactor authentication"
    BuiltInControls = @()  # 显式声明
    # 其他必要参数...
}