Azure Error AADSTS50079: The User Is Required To Use Multi-factor Authentication

พอลองทำ LAB เกี่ยวกับ M365 / Entra Id ตอน Run Command สำหรับ Force Sync

Get-ADSyncScheduler

จะเจอ Error ตามนี้ครับ

Get-ADSyncScheduler : System.InvalidOperationException: There was an issue obtaining cloud sync intervals --->
Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your
administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access
'00000002-0000-0000-c000-000000000000'. Trace ID: 363cad9a-90a3-42f0-9fdb-efdc9d1e6a00 Correlation ID:
3088943f-d66e-4962-ac86-c5d42eac4590 Timestamp: 2024-12-23 05:42:42Z
   at Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService
azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode,
String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   at Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(

ที่นี้ผมเลยต้องลองตรวจดู Entra Connect Health จะพบว่า เจอ Warning

จากนั้นลองแวะมาเครื่องที่ Run ตัว Azure AD Connect / Microsoft Entra Connect โดยการไปที่ตัว Synchronization Service พบว่าช่วง 11:33 มี log ทำงาน แต่หลังจากน้้นหายไปเลย

ช่วง 11:33 มี log ทำงาน แต่หลังจากน้้นหายไปเลย ส่วน Highlight เหลือ อันนี้หลังแก้แล้วครับ

หรือ ถ้ามี Activity อื่นๆ เช่น มีการลองเปลี่ยน Password จาก On-Premises อาจจะเจอ The server encountered an unexpected error while processing a password change notification ได้

นอกจากการตรวจสอบ Exception แล้ว ถ้าใช้ windows ที On-Premises เรายังสามารถตรวจสอบจากตัว Event Viewer ได้ครับ โดยจะมีตัว

Event Id 906 - Directory Synchronization (MFA Accidently Enabled)
Event Id 6900 - The ADSync service is not allowed to interact with the desktop to authenticate .. มันไม่มีปุ่มให้กดนะ)

และมีลองถาม Copilot เพิ่มว่าอะไรที่มันตอบมาตามนี้ครับ