终端MFA

ADSelfService Plus MFA在传统的基于用户名和密码的身份验证基础上增加了一层身份验证(例如生物特征或动态口令)，以验证用户的身份。MFA为访问请求提供高级别的身份保证。

您可以在ADSelfService Plus中为以下事件启用MFA:

• 自助密码重置和账户解锁
• 终端登录(Windows、macOS、Linux和VPN)
• 自助门户登录

启用以下事件的MFA:

• 首先，您需要配置身份验证方法。
• 然后，转到重置/解锁MFA或终端MFA标签，并为所需事件启用MFA。

有关支持的身份验证方法以及如何配置这些方法的列表，请参阅身份验证页。

与条件访问相结合，终端的MFA只需针对高风险用户启用，从而在不影响用户体验的情况下确保安全性。点击了解有关条件访问的更多信息。

注意: 在Windows、MacOS和Linux登录期间，只能为MFA启用条件访问。对VPN MFA不生效。

如何为特定用户集启用所需的身份验证方法

1. 点击配置 → 自助服务 → 策略配置，选择一个策略，然后点击编辑图标。您还可以通过添加新策略按钮创建新的自助策略。





2. 点击网页右下角的选择组织单位/组，然后选择要对其启用多因素身份验证的特定用户集。点击确定。
提示:选择不继承子OU选项可仅选择父OU。





3. 选择要为选定用户启用的密码自助功能(重置密码、解锁帐户、自我更新或更改密码)。点击保存策略。





4. 点击配置 → 自助服务 → 多重身份验证 → 身份验证设置并从选择策略下拉框中选择一个策略。
5. 配置要为选定策略启用的身份验证方法。





6. 点击保存。
提示: 您可以选择为不同的策略集配置不同的身份验证方法。例如，如果策略1强制实施YubiKey，则策略2可以强制实施一次性密码，依此类推。

如何强制用户注册特定的身份验证方法

用户必须根据启用的身份验证方法，通过提供必要的信息进行注册，才能证明其身份。例如，如果您启用了指纹验证，用户必须使用ADSelfService Plus移动应用扫描他们的指纹，之后，他们才能在密码重置或终端登录期间使用该方法。

强制用户注册特定的身份验证方法:

1. 点击配置 → 自助服务 → 多重身份验证 → 身份验证设置。
2. 选择强制用户在登录到最终用户门户选项时注册。这将防止用户在输入其注册信息之前访问自助服务门户中的其他功能。
3. 选择在注册期间强制使用这些身份验证，然后选择要设置的身份验证方法。





4. 您还可以选择在最终用户门户中为已注册用户隐藏登记注册标签。
5. 点击保存设置。

　

---

版权所有 © 2021, 卓豪（中国）技术有限公司，保留一切权利