Azure B2C - 添加/更新身份验证联系信息

Question

我们正在使用带有 使用 MFA 重置密码策略的 Azure B2C。 ADAL 用于身份验证和 Graph API 以创建/更新用户。

当用户调用重置密码策略（通过应用程序上的链接）时，他首先需要提供用于发送验证码的电子邮件地址。然后（因为启用了 MFA），如果用户的 Authentication Contact Info 中有电话号码，Azure 可以发送短信或拨打该号码执行第二次身份验证检查。

但是，如果用户的身份验证联系信息中没有电话号码，则 Azure 会要求用户输入电话号码以发送短信/拨打该号码。此时，用户可以输入任何数字，因此并没有真正增加安全性！

所以我有两个问题：

1. 当我通过 ADAL + Graph (C#) 创建用户时，如何将电话号码指定为身份验证联系信息（我尝试了 Mobile 或 TelephoneNumber，但显然，这些不是正确的字段）以便 Azure 不会要求我输入随机电话号码来执行 MFA？

2. 如果 1. 可行，如何在身份验证信息部分更新此电话号码（以 C# 编程方式）？

谢谢！

Answer 1

截至今天，AD Graph API 不支持以编程方式为 AAD B2C 用户添加 MFA 电话号码。因此，您可能希望在注册期间启用 MFA，以便捕获用户的电话号码并将其存储在目录中，并用于需要 MFA 的后续身份验证。

您看到的情况是用户的电话号码未在目录中注册 MFA。这可能在多种情况下发生：

1. 在注册期间，用户验证他们的电子邮件地址并提供密码，点击提交（因此在目录中创建了一个帐户），但在完成 MFA 之前退出。
2. 用户帐户是以编程方式创建的，在这种情况下，无法以编程方式添加电话号码（如您在问题中所述，可以通过管理 UI 添加）。
3. 该应用程序最初从没有 MFA 的策略开始，但后来决定在部分或所有策略中引入 MFA。

在所有这些场景中，当用户第一次尝试访问需要 MFA 的应用程序（或其任何部分）并且帐户中不存在电话号码时，Azure AD B2C 将要求用户验证并输入他们帐户上的电话号码。只有这样，应用程序才会获得令牌。

这并不特定于密码重置，而是针对我上面描述的场景的所有策略。例如，应用程序可以将 MFA 添加到登录策略中，如果记录中没有电话，则在登录过程中，将要求用户提供电话号码并进行验证。