本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # MFA 提示使用者 您可以使用下列步驟,判斷當員工使用者嘗試登入 AWS 存取入口網站時,提示他們進行多重要素驗證 (MFA) 的頻率。開始之前,建議您先了解 [IAM Identity Center 可用的 MFA 類型](mfa-types.md)。 **重要** 本節中的指示適用於 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它們不適用於 [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)。IAM Identity Center 使用者、群組和使用者憑證與 IAM 使用者、群組和 IAM 使用者憑證不同。如果您要尋找停用 IAM 使用者 MFA 的指示,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[停用 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)。 **注意** 如果您使用的是外部 IdP,則**多重要素驗證**區段將無法使用。您的外部 IdP 會管理 MFA 設定,而不是管理它們的 IAM Identity Center。 **設定 MFA** 1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。 1. 在左側的導覽窗格中,選擇**設定**。 1. 在**設定**頁面上,選擇**身分驗證**索引標籤。 1. 在**多重要素驗證**區段中,選擇**設定**。 1. 在**設定多重要素驗證**頁面**的提示 MFA 使用者**下,根據您的業務需求,選擇下列其中一種身分驗證模式: + **每次他們登入時 (一律開啟)** 在此模式中 (預設設定),IAM Identity Center 會要求具有已註冊 MFA 裝置的使用者在每次登入時收到提示。這是最安全的設定,並要求每次登入 AWS 存取入口網站時都使用 MFA,以確保強制執行您的組織或合規政策。例如,PCI DSS 強烈建議在每次登入期間使用 MFA,以存取支援高風險付款交易的應用程式。 + **只有當其登入內容變更時 (context-aware)** 在此模式中,IAM Identity Center 提供使用者在登入期間信任其裝置的選項。在使用者指出他們想要信任裝置之後,IAM Identity Center 會提示使用者 MFA 一次,並分析使用者後續登入的登入內容 (例如裝置、瀏覽器和位置)。對於後續登入,IAM Identity Center 會判斷使用者是否使用先前信任的內容登入。如果使用者的登入內容變更,除了其電子郵件地址和密碼登入資料之外,IAM Identity Center 還會提示使用者輸入 MFA。 此模式為經常從其工作場所登入,但相較於**永遠開啟**選項較不安全的使用者提供易於使用的功能。只有在使用者的登入內容變更時,才會提示使用者輸入 MFA。 + **從不 (已停用)** 在此模式中,所有使用者只會使用其標準使用者名稱和密碼登入。選擇此選項會停用 IAM Identity Center MFA,不建議這麼做。 為使用者停用 Identity Center 目錄的 MFA 時,您無法在其使用者詳細資訊中管理 MFA 裝置,而 Identity Center 目錄使用者無法從 AWS 存取入口網站管理 MFA 裝置。 **注意** 如果您已經搭配 使用 RADIUS MFA Directory Service,並想要繼續使用它做為預設 MFA 類型,則可以將身分驗證模式保持停用狀態,以略過 IAM Identity Center 中的 MFA 功能。從**停用**模式變更為**上下文感知**或**永遠開啟**模式會覆寫現有的 RADIUS MFA 設定。如需詳細資訊,請參閱[RADIUS MFA](mfa-types.md#about-radius)。 1. 選擇 **Save changes** (儲存變更)。 **相關主題** + [選擇 MFA 類型進行使用者身分驗證](how-to-configure-mfa-types.md) + [設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md) + [允許使用者註冊自己的 MFA 裝置](how-to-allow-user-registration.md)