安全管理：

为了保护组织的终端机器（Windows、macOS 和 Linux 机器），您可以启用终端 MFA 功能。此功能为现有的 Active Directory 域身份验证添加了一层 MFA。因此，即使攻击者盗用了域用户的凭据，他们仍需完成后续的身份验证步骤才能访问用户的机器。终端 MFA 还在远程访问期间保护终端设备。点击这里了解如何配置该功能。

密码被泄露时，会给组织带来巨大的安全风险。创建强密码是保护组织资源的必要步骤。您可以使用 ADSelfService Plus 的 密码策略执行器 设置高级密码策略控制。使用此功能，可以为组织创建自定义密码策略，用户必须严格遵守，从而防止他们设置可能危及组织安全的弱密码。这些密码策略也会在使用 密码同步 和 单点登录 功能集成的所有本地和云企业应用程序中强制执行。

提供多种复杂性规则，例如最少特殊和数字字符的数量，禁止使用字典单词，禁止回文等。一旦配置，系统将呈现一个交互式用户界面，以确保新创建的密码符合配置的密码策略。

为了真正保护组织的终端，使用该功能创建的密码策略可以通过 Windows GINA/CP（Ctrl+Alt+Del）屏幕和 Active Directory 用户和计算机（ADUC）控制台密码重置来强制执行密码更改。这可以通过安装 ADSelfService Plus 登录代理和密码同步代理来实现。要了解如何配置密码策略执行器，点击这里。

通过配置密码到期时间，AD 域用户被鼓励定期更改密码，从而防止对组织终端的安全攻击。不幸的是，用户有时可能会忘记在密码到期之前更改密码，从而导致他们失去对机器的访问权限。通过 ADSelfService Plus 的 密码到期通知 功能，用户可以收到电子邮件、短信和推送通知，以提醒他们密码和账户即将到期。这确保用户提前更改密码，从而始终保持对其域账户的访问。点击这里了解有关密码到期通知的更多信息。