多因素认证 (MFA)

ADSelfService Plus 多因素认证通过增加额外的认证层（例如生物识别或一次性密码）来增强传统的用户名和密码认证，以验证用户身份。MFA 为访问请求提供高水平的身份保证。

您可以在 ADSelfService Plus 中为以下事件启用 MFA：

• 自助密码重置和账户解锁
• 终端登录（Windows、macOS、Linux 和 VPN）
• 自助服务门户登录

要为这些事件启用 MFA：

• 首先，您需要配置身份验证方法。
• 然后，转到“重置/解锁的 MFA”或“端点的 MFA”选项卡，为所需的事件启用 MFA。

请参阅验证器页面以获取支持的身份验证方法列表以及如何配置它们。

结合条件访问，端点的 MFA 仅能为高风险用户启用，从而在不影响用户体验的情况下确保安全。点击这里了解更多关于条件访问的信息。

注意：条件访问只能为 Windows、macOS 和 Linux 登录时的 MFA 启用。对于 VPN MFA 将不会生效。

如何为特定用户群组启用所需的身份验证方法

1. 转到配置 → 自助服务 → 策略配置，选择一个您选择的策略，然后点击编辑图标。您还可以通过点击添加新策略按钮来创建新策略。





2. 点击网页右下角的选择 OU/组，选择您希望启用多因素身份验证的特定用户群组。点击确定。
提示：选择不继承子 OU选项以仅选择父 OU。





3. 选择您希望为选定用户启用的密码自助服务功能(重置密码、解锁帐户、自我更新或更改密码)。点击保存策略。





4. 转到配置 → 自助服务 → 多因素身份验证 → 验证器设置并从选择策略下拉菜单中选择一个策略。
5. 配置您希望为选定策略启用的身份验证方法。





6. 点击保存。
提示：您可以选择为不同的策略组配置不同的身份验证方法。例如，如果策略 1 强制使用 YubiKey，策略 2 则可以强制使用一次性密码等。

如何强制用户注册特定的身份验证方法

用户必须通过提供必要的信息，根据启用的身份验证方法来证明他们的身份。例如，如果您启用了指纹验证，用户必须通过 ADSelfService Plus 移动应用扫描他们的指纹，只有这样他们才能在重置密码或端点登录时使用该方法。

强制用户注册特定身份验证方法：

1. 转到配置 → 自助服务 → 多因素身份验证 → MFA 注册。
2. 选择强制用户在登录终端用户门户时注册。
，这将阻止用户在输入其注册信息之前访问自助门户中的其他功能。
3. 选择在注册时强制使用以下验证器并选择要设置为必选的验证器。





4. 您还可以选择在终端用户门户中对已注册用户隐藏注册选项卡
5. 点击保存设置。


谢谢!

您的请求已提交至ADSelfService Plus技术支持团队。我们的技术支持人员会尽快协助您。

 

需要技术支持吗?

• 输入您的电子邮件ID
• 与专家交流

•  
•  
  点击“咨询专家”即表示您同意根据隐私政策处理个人数据。