本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 MFA 裝置強制執行 使用下列程序來判斷您的使用者在登入 AWS 存取入口網站時是否必須擁有已註冊的 MFA 裝置。 如需 IAM 中 MFA 的詳細資訊,請參閱 [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。 **為您的使用者設定 MFA 裝置強制執行** 1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。 1. 在左側的導覽窗格中,選擇**設定**。 1. 在**設定**頁面上,選擇**身分驗證**索引標籤。 1. 在**多重要素驗證**區段中,選擇**設定**。 1. 在**設定多重要素驗證**頁面上,**如果使用者還沒有已註冊的 MFA 裝置,**請根據您的業務需求選擇下列其中一個選項: + **要求他們在登入時註冊 MFA 裝置** 這是您第一次為 IAM Identity Center 設定 MFA 時的預設設定。當您想要要求尚未註冊 MFA 裝置的使用者在成功密碼身分驗證後,在登入期間自行註冊裝置時,請使用此選項。這可讓您使用 MFA 保護組織 AWS 的環境,而不必個別註冊身分驗證裝置並將其分發給使用者。在自我註冊期間,您的使用者可以從[IAM Identity Center 可用的 MFA 類型](mfa-types.md)先前啟用的可用 註冊任何裝置。完成註冊後,使用者可以選擇為其新註冊的 MFA 裝置提供易記名稱,之後 IAM Identity Center 會將使用者重新導向至其原始目的地。如果使用者的裝置遺失或遭竊,您可以從其帳戶移除該裝置,IAM Identity Center 會要求他們在下次登入時自行註冊新裝置。 + **要求他們提供透過電子郵件傳送的一次性密碼來登入** 如果您想要透過電子郵件將驗證碼傳送給使用者,請使用此選項。由於電子郵件未繫結至特定裝置,此選項不符合業界標準多重要素驗證的 標準。但它確實比單獨使用密碼來提高安全性。只有在使用者尚未註冊 MFA 裝置時,才會請求電子郵件驗證。如果已啟用**內容感知**身分驗證方法,使用者將有機會將收到電子郵件的裝置標記為信任。之後,他們不需要在未來從該裝置、瀏覽器和 IP 地址組合登入時驗證電子郵件代碼。 **注意** 如果您使用 Active Directory 做為已啟用 IAM Identity Center 的身分來源,則電子郵件地址一律會以 Active Directory `email` 屬性為基礎。自訂 Active Directory 屬性映射不會覆寫此行為。 + **封鎖他們的登入** 當您想要強制每個使用者使用 MFA 時,請在他們可以登入 之前,使用**封鎖他們的登入**選項 AWS。 **重要** 如果您的身分驗證方法設定為**了解內容**,使用者可以在登入頁面上選取**這是信任的裝置**核取方塊。在這種情況下,即使您已啟用**封鎖其登入**設定,也不會提示該使用者輸入 MFA。如果您希望系統提示這些使用者,請將您的身分驗證方法變更為 **Always On**。 + **允許他們登入** 使用此選項表示不需要 MFA 裝置,您的使用者才能登入 AWS 存取入口網站。選擇註冊 MFA 裝置的使用者仍會收到 MFA 提示。 1. 選擇**儲存變更**。