高级设置

多因素认证中的高级选项卡包含重要设置，您可以配置这些设置以进一步控制密码重置、ADSelfService Plus登录和端点登录的MFA流程的行为。

重置/解锁 MFA

• 密码重置/解锁账户的空闲时间限制
: 启用此设置将为用户完成身份验证设定时间限制。假设您将此设为5分钟，用户必须在5分钟内输入短信验证码或批准推送通知。
• 禁止用户在部分注册状态下进行密码重置/账户解锁：选择此选项时，部分完成注册过程的最终用户（例如，注册了4种身份验证方式中的2种）将不被允许重置密码和解锁账户。

ADSelfService Plus 登录多因素认证

• 启用无密码登录：此设置允许用户无需密码即可访问应用程序和自助服务门户。请参阅此页面了解更多信息。
注意：请注意，当启用无密码登录时，为避免安全漏洞，“信任此浏览器”设置将被禁用。当执行无密码登录时，用户每次尝试访问应用程序时都必须进行身份验证。
• ADSelfService Plus 登录多因素认证过程闲置时间为__：启用此设置将为用户完成多因素认证过程设定时间限制。
• 默认选中“信任此浏览器”选项：启用此选项时，在多因素认证验证屏幕中，“信任此浏览器”复选框将默认被选中。
• ___ 天后信任设备过期：启用此选项时，用户在指定天数内使用受信设备登录ADSelfService Plus时，将无需进行多因素认证。

云应用程序登录多因素认证

• 启用无密码登录：此设置允许用户无需密码即可访问应用程序和自助服务门户。请参阅此页面了解更多信息。
注意：请注意，当启用无密码登录时，为避免安全漏洞，“信任此浏览器”设置将被禁用。当执行无密码登录时，用户每次尝试访问应用程序时都必须进行身份验证。
• 支持SSO应用程序登录多因素认证过程闲置时间限制为__ ：启用此设置将为用户完成多因素认证过程设定时间限制。
• 如果用户未注册，则跳过多因素认证并继续注册：启用此设置时，用户首次登录时将无需强制进行多因素认证。相反，他们将被要求进行注册。
• 将浏览器保持信任状态___天：启用此选项时，用户在指定天数内使用受信浏览器登录ADSelfService Plus时，将无需进行多因素认证。
• 默认选中“信任此浏览器”选项：启用此选项时，在多因素认证验证屏幕中，“信任此浏览器”复选框将默认被选中。

端点设置

机器登录多因素认证

• 当ADSelfService Plus服务器关闭或无法访问时跳过多因素认证：如果您不希望用户在ADSelfService Plus服务器关闭或无法访问期间被困在Windows、macOS或Linux登录屏幕上，可以启用此选项。但是，注意启用此选项意味着在ADSelfService Plus服务器关闭或无法访问时放弃多因素认证的高级安全层，建议不要启用。为避免此类情况，部署带有高可用性或负载平衡的ADSelfService Plus。
• 将机器信任保留___天：启用此设置后，曾使用机器登录多因素认证的用户在之后的登录中可以跳过多因素认证。启用此设置将帮助用户每次锁定和解锁机器时避免重复通过多因素认证。指定天数过后，受信任机器的状态将被撤销。
• 默认选择信任此机器选项：启用此设置后，可以在多因素认证屏幕上将"信任此机器"选项框默认勾选。

VPN登录多因素认证

• 保持VPN多因素认证会话有效___分钟：启用此设置将为VPN登录的二次身份验证设置时间限制。例如, 如果您将此设置为2分钟，用户必须在2分钟内输入代码或批准通知, 具体取决于启用的身份验证方法。
注意：如果您的VPN服务器允许您配置RADIUS超时限制，请将其设置为大于您在此设置中配置的会话时间限制的值。
• 当ADSelfService Plus服务器宕机或无法访问时跳过多因素认证：如果您不希望在VPN登录时ADSelfService Plus服务器宕机或无法访问时用户被滞留在登录屏幕上，请启用此选项。
• 当用户未注册所需的认证器时跳过多因素认证：启用此选项可允许未注册VPN登录所启用的身份验证方法的用户跳过多因素认证。

问答设置

• 随机显示_题（可用的安全问题列表）：使用此选项，您可以定义向最终用户显示的问题数量。ADSelfService Plus将从安全问题与答案设置下配置的可用安全问题列表中随机选择问题。
• 随机显示_个AD安全问题（可用的AD安全问题列表）。选择此选项以指定在身份验证过程中要询问的AD安全问题数量。ADSelfService Plus将从AD安全问题设置中配置的可用安全问题列表中随机选择问题。
• 逐个显示安全问题。选中此选项将逐个显示安全问题（即，每页一个问题）。
• 显示所有安全问题。选择此选项将在一个页面上显示所有安全问题。
• 验证安全问题的答案时区分大小写。选择此选项将强制区分用户提供答案的大小写。
• 在身份验证期间隐藏安全答案。选择此选项将默认隐藏安全答案。
• 防止用户将其用户名作为答案。这将防止用户使用其用户名作为答案。
• 防止用户为多个问题提供相同答案。这将防止用户为多个问题提供相同答案。
• 防止用户在答案中使用问题中的任何词语。这将防止用户将问题中的词语作为答案。
• 强制用户只使用英文字符(a-z)、数字(0-9)和符号。这将确保用户在答案中只使用字母和数字字符及符号。
• 使用可逆加密存储安全答案。 。选择此选项将以明文方式将安全答案存储在 ADSelfService Plus 数据库中。可以通过安全问题和答案报表查看答案。
• 使用 ___ 算法存储安全答案。选择此选项可使用 MD5 或 SHA-512 算法加密并存储安全问题的答案。

验证码设置

邮件/移动属性

• 从 选择类型 下拉列表中选择您要查看的属性。
• 单击 添加属性 以添加包含用户电子邮件地址或手机号码的新属性。

次要电子邮件/手机号码

• 允许或阻止来自以下域的电子邮件地址 __ ：使用此选项来阻止或允许特定电子邮件域。如果选择阻止，用户将可以添加除列出的域外的任何域的电子邮件地址。选择允许将确保用户仅使用信任的电子邮件服务提供商接收验证码。在选择“允许”后，可以将此字段留空以允许任何域。
• 允许或阻止以下移动号码格式 __：使用此选项来阻止或允许特定的移动号码格式。如果选择阻止，用户将可以添加除列出的格式外的任何格式的手机号码。选择允许将确保用户仅输入配置的特定格式的手机号码。在选择“允许”后，可以将此字段留空以允许任何格式。
注意：如果您不希望用户注册次要电子邮件地址和手机号码，请禁用这些设置：
• 允许或阻止来自以下域的电子邮件地址 __
• 允许或阻止以下移动号码格式 __
• 选择强制执行：使用此设置来配置用户是否必须或可以选择性地添加次要电子邮件地址和手机号码。可用选项为：
• 使此注册变为可选。
• 强制用户注册电子邮件地址。
• 强制用户注册手机号码。
• 强制用户同时注册电子邮件地址和手机号码。

其他

• 将验证码长度设置为 ___ 位数字：使用此设置来设置验证码的数字位数。
• 在邮件/手机下拉列表中显示“选择电子邮件 ID/手机号码”作为默认值：启用此选项将在身份验证期间在邮件/手机下拉列表中显示“选择电子邮件 ID/手机号码”作为默认值。
• 在 MFA 页面部分隐藏电子邮件 ID/手机号码：此选项将在身份验证过程中部分隐藏用户的电子邮件地址和手机号码。



• 将管理员/经理包含在发送给用户的身份验证邮件的抄送中：使用此设置将用户的经理或管理员的电子邮件地址包含在发送给用户的验证码邮件的抄送行中。为实现此目的，
• 选中此设置旁边的框。
• 在电子邮件 ID 字段中输入管理员的电子邮件地址。
• 单击 添加经理 以包含用户的经理的电子邮件地址。

常规

• 隐藏 CAPTCHA：启用此设置以在第二因素验证页面上隐藏 CAPTCHA。
• 启用 MFA 备份验证码：选择此设置以启用生成 MFA 备份代码，允许终端用户在他们的 MFA 设备或身份验证器不可用时证明其身份。

关于备份代码

这些一次性使用的备份代码允许用户在他们的 MFA 设备无法访问或无法使用已注册的 MFA 身份验证方法时证明其身份。启用 启用 MFA 备份验证码 设置后，可以生成备份代码，终端用户可以在机器或 VPN 登录、ADSelfService Plus 门户登录或自助服务操作期间输入它们以进行身份验证。可以通过两种方式生成备份代码：

• 由用户生成：用户可以在 ADSelfService Plus 终端用户门户中生成备份代码。每次使用此选项时，共生成五个代码。每个代码只能使用一次。
• 由管理员生成：管理员还可以使用已注册用户报表为注册了 MFA 的用户生成备份代码。当用户未生成自己的备份代码且无法使用注册的 MFA 方法时，这会很有用。了解更多。