多重身份验证:

ADSelfService Plus MFA在传统的基于用户名和密码的身份验证基础上增加了一层身份验证(例如生物特征或动态口令)，以验证用户的身份。MFA为访问请求提供高级别的身份保证。

您可以在ADSelfService Plus中为以下事件启用MFA:

• 自助密码重置和解锁账户
• 终端登录(Windows、macOS、Linux和VPN)
• 自助门户登录

启用这些事件的双重身份验证:

• 首先，您需要配置身份验证方法。
• 然后，点击重置/解锁MFA或终端MFA，并启用所需事件的MFA。

请参考身份验证页面中支持的验证方式，并查看如何配置这个方式。

与条件访问相结合，终端的MFA只能针对高风险用户启用，从而在不影响用户体验的情况下确保安全性。点击了解更多条件访问的信息。

注意: 在Windows、MacOS和Linux登录期间，只能为MFA启用条件访问。对VPN MFA不生效。

如何为一组特定用户启用所需的身份验证方法

1. 点击配置 → 自助服务 → 策略配置，选择策略，并点击编辑图标。您也可以点击新添策略按钮创建新的策略。





2. 点击选择OU/组选择要对其启用多因素身份验证的特定用户集。点击确定。
提示:选择不继承子OU选项以仅选择父OU。





3. S选择要为选定用户启用的密码自助功能(重置密码、解锁帐户、自我更新或更改密码)。点击保存策略。





4. 点击配置 → 自助服务 → 多重身份验证 → 身份验证设置，从选择策略下拉列表中选择一条策略。
5. 配置要为选定策略启用的身份验证方法。





6. 点击保存。
提示: 您可以选择为不同的策略集配置不同的身份验证方法。例如，如果策略1强制实施YubiKey，则策略2可以强制实施一次性密码，依此类推。

如何强制用户注册特定的身份验证方法

用户必须根据启用的身份验证方法，通过提供必要的信息进行注册，才能证明其身份。例如，如果您启用了指纹验证，用户必须使用ADSelfService Plus移动应用程序扫描他们的指纹，之后，他们才能在密码重置或终端登录期间使用该方法。

强制用户注册特定的身份验证方法:

1. 点击配置 → 自助服务 → 多重身份验证 → MFA登记。
2. 选择强制用户在登录终端用户门户时注册选项。这将防止用户在输入注册信息之前访问自助服务门户中的其他功能。
3. 选择在注册期间强制使用这些验证方式，然后选择要设置为强制的验证方式。





4. 您还可以选择在终端用户门户中为已注册用户隐藏登记标签。
5. 点击保存设置。

---

版权所有 © 2021, 卓豪（中国）技术有限公司，保留一切权利