本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置 MFA 设备实施 使用以下步骤来确定您的用户在登录 AWS 访问门户时是否必须拥有已注册的 MFA 设备。 有关 IAM 中 MFA 的更多信息,请参阅 [IAM 中的AWS 多重身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。 **如需为您的用户配置 MFA 设备实施** 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 1. 在左侧导航窗格中,选择**设置**。 1. 在**设置**页面上,选择**身份验证**选项卡。 1. 在**多重身份验证**部分,选择**配置**。 1. 在**配置多重身份验证**页面的**如果用户还没有已注册的 MFA 设备**项下,根据您的业务需求选择以下选项之一: + **要求他们在登录时注册 MFA 设备** 这是您首次为 IAM Identity Center 配置 MFA 时的默认设置。如果您希望要求尚未注册 MFA 设备的用户在成功进行密码身份验证后在登录期间自行注册设备,请使用此选项。这使您可以使用 MFA 保护组织 AWS 环境,而不必单独注册身份验证设备并将其分发给用户。在自行注册期间,您的用户可以注册您之前启用的可用 [适用于 IAM Identity Center 的可用 MFA 类型](mfa-types.md) 中的任何设备。完成注册后,用户可以选择为其新注册的 MFA 设备起一个友好名称,之后 IAM Identity Center 会将用户重定向到其原始目标。如果用户的设备丢失或被盗,您只需将该设备从其帐户中移除即可,IAM Identity Center 将要求他们在下次登录时自行注册新设备。 + **要求他们提供电子邮件发送的一次性密码才能登录** 如果您想通过电子邮件向用户发送验证码,请使用此选项。由于电子邮件未与特定设备绑定,因此此选项不符合行业标准的多重身份验证的标准。但是,与单独使用密码相比,它确实可以提高安全性。只有当用户尚未注册 MFA 设备时,才会请求电子邮件验证。如果启用了**上下文感知**身份验证方法,则用户将有机会将接收电子邮件的设备标记为信任设备。之后,用户在使用该设备、浏览器和 IP 地址组合登录时,无需再验证电子邮件代码。 **注意** 如果您使用 Active Directory 作为 IAM Identity Center 启用的身份源,则电子邮件地址将始终基于 Active Directory `email` 属性。自定义 Active Directory 属性映射不会覆盖此行为。 + **阻止他们登录** 如果您想强制每位用户在登录 AWS之前使用 MFA,请使用**阻止他们登录**选项。 **重要** 如果您的身份验证方法设置为**上下文感知**,则用户可以在登录页面上选中**这是信任设备**复选框。在这种情况下,即使您启用了**阻止他们登录**设置,也不会提示该用户完成 MFA。如果您想让这些用户收到提示,请将您的身份验证方法更改为**始终开启**。 + **允许他们登录** 使用此选项表示您的用户无需使用 MFA 设备即可登录 AWS 访问门户。选择注册 MFA 设备的用户仍会收到完成 MFA 的提示。 1. 选择**保存更改**。