MFA-Gerätedurchsetzung konfigurieren

So konfigurieren Sie die MFA-Gerätedurchsetzung für Ihre Benutzer

1. Öffnen Sie die IAM Identity Center-Konsole.

2. Wählen Sie im linken Navigationsbereich die Option Settings (Einstellungen) aus.

3. Wählen Sie auf der Seite Einstellungen die Registerkarte Authentifizierung.

4. Wählen Sie im Abschnitt Multi-Faktor-Authentifizierung die Option Konfigurieren aus.

5. Wählen Sie auf der Seite Multi-Faktor-Authentifizierung konfigurieren unter Falls ein Benutzer noch kein registriertes MFA-Gerät besitzt, je nach Ihren Geschäftsanforderungen eine der folgenden Optionen aus:

   • Fordere sie auf, bei der Anmeldung ein MFA-Gerät zu registrieren

     Dies ist die Standardeinstellung, wenn Sie MFA für IAM Identity Center zum ersten Mal konfigurieren. Verwenden Sie diese Option, wenn Sie festlegen möchten, dass Benutzer, die noch kein registriertes MFA-Gerät haben, ein Gerät bei der Anmeldung nach erfolgreicher Passwortauthentifizierung selbst registrieren müssen. Auf diese Weise können Sie die AWS Umgebungen Ihres Unternehmens mit MFA schützen, ohne Authentifizierungsgeräte einzeln registrieren und an Ihre Benutzer verteilen zu müssen. Während der Selbstregistrierung können Ihre Benutzer jedes Gerät aus den verfügbaren Verfügbare MFA-Typen für IAM Identity Center Geräten registrieren, die Sie zuvor aktiviert haben. Nach Abschluss der Registrierung haben Benutzer die Möglichkeit, ihrem neu registrierten MFA-Gerät einen benutzerfreundlichen Namen zu geben. Danach leitet IAM Identity Center den Benutzer zu seinem ursprünglichen Ziel weiter. Wenn das Gerät des Benutzers verloren geht oder gestohlen wird, können Sie dieses Gerät einfach aus seinem Konto entfernen. IAM Identity Center fordert ihn dann auf, ein neues Gerät bei der nächsten Anmeldung selbst zu registrieren.

   • Fordere sie auf, ein Einmalpasswort per E-Mail einzugeben, um sich anzumelden

     Verwenden Sie diese Option, wenn Sie Benutzern Bestätigungscodes per E-Mail zusenden möchten. Da E-Mails nicht an ein bestimmtes Gerät gebunden sind, erfüllt diese Option nicht die Anforderungen für die branchenübliche Multi-Faktor-Authentifizierung. Sie verbessert jedoch die Sicherheit gegenüber der alleinigen Verwendung eines Kennworts. Eine E-Mail-Bestätigung wird nur angefordert, wenn ein Benutzer kein MFA-Gerät registriert hat. Wenn die kontextsensitive Authentifizierungsmethode aktiviert wurde, hat der Benutzer die Möglichkeit, das Gerät, auf dem er die E-Mail erhält, als vertrauenswürdig zu markieren. Danach müssen sie bei future Anmeldungen von dieser Kombination aus Gerät, Browser und IP-Adresse keinen E-Mail-Code mehr verifizieren.

     Anmerkung

     Wenn Sie Active Directory als Ihre IAM Identity Center-fähige Identitätsquelle verwenden, basiert die E-Mail-Adresse immer auf dem Active Directory-Attribut. email Durch benutzerdefinierte Active Directory-Attributzuordnungen wird dieses Verhalten nicht außer Kraft gesetzt.

   • Blockieren Sie ihre Anmeldung

     Verwenden Sie die Option „Ihre Anmeldung blockieren“, wenn Sie die Verwendung von MFA durch alle Benutzer erzwingen möchten, bevor sie sich anmelden können. AWS

     Wichtig

     Wenn Ihre Authentifizierungsmethode auf Kontextsensitiv eingestellt ist, kann ein Benutzer auf der Anmeldeseite das Kontrollkästchen Dies ist ein vertrauenswürdiges Gerät aktivieren. In diesem Fall wird dieser Benutzer nicht zur Eingabe von MFA aufgefordert, auch wenn Sie die Einstellung Anmeldung blockieren aktiviert haben. Wenn Sie möchten, dass diese Benutzer dazu aufgefordert werden, ändern Sie Ihre Authentifizierungsmethode auf Immer aktiviert.

   • Erlauben Sie ihnen, sich anzumelden

     Verwenden Sie diese Option, um anzugeben, dass keine MFA-Geräte erforderlich sind, damit sich Ihre Benutzer beim AWS Access Portal anmelden können. Benutzer, die sich für die Registrierung von MFA-Geräten entschieden haben, werden weiterhin zur Eingabe von MFA aufgefordert.

6. Wählen Sie Änderungen speichern aus.