高级设置

多因素身份验证中的高级选项卡包含重要设置，您可以对这些设置进行配置，以进一步控制密码重置、ADSelfService Plus登录和终结点登录的MFA过程的行为方式。

密码重置/账户解锁

重置/解锁MFA

• 密码重置/解锁账户空闲时间限制: 启用此设置将设置用户完成身份验证的时间限制。假设设置为5分钟，用户需要在5分钟内输入短信验证码或审批推送通知。
• 拒绝用户在部分注册时执行密码重置/帐户解锁: 选择此选项后，已部分完成注册过程(例如，注册了4种身份验证方法中的2种)的最终用户将不允许重置密码和解锁帐户。

ADSelfService Plus登录MFA

• 禁用启用SSO的企业应用的MFA: 启用此选项后，通过ADSelfService Plus中SP启动的SSO流登录企业应用程序的用户将不会被强制通过MFA。
• 默认情况下，保持选中“信任此浏览器”选项: 启用此选项后，默认情况下将在多因素身份验证(MFA)验证屏幕中选中“信任此浏览器”复选框。
• 受信任设备在_天后过期: 启用此选项后，用户在使用受信任的设备登录ADSelfService Plus时，将不会被要求在指定日期内进行多因素身份验证(MFA)。

终端设置

机器登录MFA

• 当ADSelfService Plus服务器关闭或无法访问时跳过MFA: 如果不希望用户在ADSelfService Plus服务器关闭或无法访问时在MFA过程中滞留在Windows、MacOS或Linux登录屏幕上，请启用此选项。但是，请注意，启用此选项意味着在ADSelfService Plus服务器关闭或无法访问时放弃MFA的高级安全层，这是不推荐的。 要避免这种情况，请部署具有高可用性或负载平衡的ADSelfService Plus。
• 保持计算机的可信性___天: 启用此设置后，使用机器登录MFA登录过一次的用户可以在后续登录时跳过MFA身份验证。启用此设置将帮助用户避免每次锁定和解锁其计算机时都经历MFA过程。在指定天数之后，受信任计算机的状态将被吊销。
• 默认情况下，保持选中“信任此计算机”选项: 通过启用此设置，您可以在默认情况下保持MFA身份验证屏幕上的“信任此计算机”旁边的框处于选中状态。

VPN登录MFA

• 保持VPN MFA会话有效__分: 启用此设置将设置VPN登录期间第二因素身份验证的时间限制。比方说，如果设置为2分钟，用户必须在2分钟内输入密码或批准通知(根据启用的身份验证方式)。
注意:如果您的VPN服务器允许您配置RADIUS超时限制，请将其设置为大于您在此设置中配置的会话时间限制的值。
• 当ADSelfService Plus服务器关闭或无法访问时跳过MFA: 如果您不希望用户在ADSelfService Plus服务器关闭或无法访问时在VPN登录期间被困在登录屏幕上，请启用此选项。
• 当用户未注册所需的授权码时跳过MFA: 启用此选项可允许尚未注册启用VPN登录的身份验证方法的用户跳过MFA。

问题及答案设置

• 显示_ 随机的安全问题: 使用此选项，您可以定义要向最终用户显示的问题数量。问题将由ADSelfService Plus从安全问题和答案设置下配置的安全问题可用列表中随机选择。
• 显示_ 随机AD安全问题: 选择此选项以指定在身份验证过程中要询问的AD安全问题的数量。问题将由ADSelfService Plus从AD安全问题设置下配置的安全问题可用列表中随机选择。
• 逐条显示安全问题: 选中此选项将逐个显示安全问题(即每页一个问题)。
• 显示所有安全问题: 选择此选项将在单个页面上显示所有安全问题。
• 验证安全问题答案是否区分大小写: 选择此选项将强制用户提供的答案区分大小写。
• 在身份验证期间隐藏安全答案: 默认情况下，选择此选项将隐藏安全答案。
• 阻止用户提供其用户名作为答案: 这将防止用户使用其用户名作为答案。
• 防止用户对多个问题提供相同答案: 这将防止用户对多个问题提供相同的答案。
• 阻止用户在其答案中使用问题的任何字词: 这将防止用户抄袭问题中的单词作为答案。
• 强制用户仅使用英文字符(a-z)、数字(0-9)和符号: 这将确保用户在他们的答案中只使用字母数字字符和符号。
• 使用可逆加密存储安全答案: 选择此选项将以纯文本形式将安全答案存储在ADSelfService Plus数据库中。可以使用安全问答报告查看答案。
• 使用运算法则___存储安全答案: 选择此选项可使用MD5或SHA-512算法加密和存储安全问题的答案。

验证码设置

邮件/手机属性

• 从选择类型下拉列表中选择要查看的属性。
• 点击添加属性可添加包含用户邮件地址或手机号码的新属性。

邮件/手机号码格式

• 启用或强制用户指定备用邮件和手机号码: 使用此选项，用户除了可以指定他们已经注册的值之外，还可以指定他们的个人电子邮件地址和手机号码。您还可以使用下拉菜单强制他们指定备用电子邮件和/或手机号码。
• 强制用户添加以下格式的手机号码: 使用此选项可强制设置手机号码的格式。
• 强制用户添加以下域的邮件地址: 使用此选项可强制特定的邮件域。

其他

• 将验证码长度设置为___数字: 使用此设置可设置验证码长度。
• 在邮箱/手机下拉列表中显示'选择邮箱/手机号码'作为默认值: 启用此选项将显示“选择邮件ID/手机号”。作为身份验证验证时邮件/手机下拉列表中的默认值。
• 在"验证码"和"双重认证"页面，部分隐藏邮件地址/手机号码: 此选项将部分隐藏用户的邮件地址和手机号码。

常规

• 隐藏验证码: 启用此设置可在第二因素身份验证页面中隐藏验证码。
• 启用MFA备份验证码: 选择此设置可启用生成MFA备份验证码，以便最终用户在其MFA设备或验证码不可用时证明其身份。

自动备份验证码

这些一次性使用的备用码允许用户在他们的MFA设备不可达或他们无法使用他们注册的MFA认证方法的情况下证明他们的身份。启用启用MFA备份验证码设置后，即可生成备份码，最终用户可以在机器或VPN登录、ADSelfService Plus门户登录或自助操作期间输入这些码进行身份验证。备份验证码可以通过两种方式生成:

• 由用户生成: 用户可以在ADSelfService Plus最终用户门户中生成备份验证码。每次使用该选项时，总共会生成五个验证码。每个验证码不能多次使用。
• 有管理员生成: 管理员还可以使用注册用户报告为已注册MFA的用户生成备份代码。当用户没有生成自己的备份代码并且不能使用注册的MFA方法时，这一点很方便。 了解更多