本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定MFA裝置強制執行
使用下列程序來判斷您的使用者在登入 AWS 存取入口網站時是否必須擁有已註冊MFA的裝置。
如需 MFA中的詳細資訊IAM,請參閱 AWS 中的多重要素身分驗證IAM。
為使用者設定MFA裝置強制執行
-
在左側的導覽窗格中,選擇設定。
-
在設定頁面上,選擇身分驗證索引標籤。
-
在多重要素身分驗證區段中,選擇設定 。
-
在設定多重要素身分驗證頁面上,如果使用者尚未擁有已註冊MFA的裝置,請根據您的業務需求選擇下列其中一個選項:
-
要求他們在登入時註冊MFA裝置
這是您第一次MFA為 IAM Identity Center 設定 時的預設設定。當您想要要求尚未註冊MFA裝置的使用者在成功密碼身分驗證後,在登入期間自行註冊裝置時,請使用此選項。這可讓您使用 來保護組織 AWS 的環境,MFA而不必個別註冊身分驗證裝置並將其分發給使用者。在自我註冊期間,您的使用者可以從IAM Identity Center 的可用MFA類型您先前啟用的可用 註冊任何裝置。完成註冊後,使用者可以選擇為其新註冊MFA的裝置提供易記的名稱,之後 IAM Identity Center 會將使用者重新導向至其原始目的地。如果使用者的裝置遺失或遭竊,您可以從其帳戶移除該裝置,而 IAM Identity Center 會要求他們在下次登入時自行註冊新裝置。
-
要求他們提供透過電子郵件傳送的一次性密碼以登入
如果您想要透過電子郵件將驗證碼傳送給使用者,請使用此選項。由於電子郵件未繫結至特定裝置,因此此選項不符合業界標準多重要素驗證的標準。但它確實比只有密碼來提高安全性。只有在使用者尚未註冊MFA裝置時,才會請求電子郵件驗證。如果已啟用內容感知身分驗證方法,使用者將有機會將收到電子郵件的裝置標記為信任。之後,他們不需要在日後從該裝置、瀏覽器和 IP 地址組合登入時驗證電子郵件代碼。
注意
如果您使用 Active Directory 作為啟用 IAM Identity Center 的身分來源,則電子郵件地址一律會以 Active Directory
email屬性為基礎。自訂 Active Directory 屬性映射不會覆寫此行為。 -
封鎖他們的登入
當您想要強制每個使用者MFA使用 時,請在他們可以登入 之前使用封鎖其登入選項 AWS。
重要
如果您的身分驗證方法設定為感知上下文,使用者可以在登入頁面上選取這是受信任的裝置核取方塊。在這種情況下,MFA即使您已啟用封鎖其登入設定,也不會提示該使用者。如果您想要提示這些使用者,請將您的身分驗證方法變更為 Always On 。
-
允許他們登入
使用此選項表示不需要MFA裝置,您的使用者才能登入 AWS 存取入口網站。選擇註冊MFA裝置的使用者仍會收到 的提示MFA。
-
-
選擇 Save changes (儲存變更)。
