本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 IAM Identity Center 中設定 MFA
使用 IAM Identity Center 的身分存放區或 AD Connector 設定身分來源時 AWS Managed Microsoft AD,您可以在 IAM Identity Center 中設定多重要素驗證 (MFA) 功能。IAM Identity Center 中的 MFA 目前不支援[外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。
以下是一般 MFA 建議,取決於您的 IAM Identity Center 設定和組織偏好設定。
+ 建議使用者為所有啟用的 MFA 類型註冊多個備份驗證器。如果 MFA 裝置損壞或放置錯誤,此做法可以防止存取遺失。
+ 如果您的使用者必須登入 AWS 存取入口網站才能存取其電子郵件,請勿選擇**需要他們提供透過電子郵件傳送的一次性密碼**選項。例如,您的使用者可能會在 AWS 存取入口網站Microsoft 365中使用 來讀取其電子郵件。在此情況下,使用者將無法擷取驗證碼,也無法登入 AWS 存取入口網站。如需詳細資訊,請參閱[設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)。
+ 如果您已使用您設定的 RADIUS MFA Directory Service,則不需要在 IAM Identity Center 中啟用 MFA。IAM Identity Center 中的 MFA 是 IAM Identity Center Microsoft Active Directory使用者的 RADIUS MFA 替代方案。如需詳細資訊,請參閱[RADIUS MFA](mfa-types.md#about-radius)。
+ 下列 YouTube 影片提供 MFA 和 IAM Identity Center 的概觀:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR)
**Topics**
+ [
# MFA 提示使用者
](mfa-getting-started.md)
+ [
# 選擇 MFA 類型進行使用者身分驗證
](how-to-configure-mfa-types.md)
+ [
# 設定 MFA 裝置強制執行
](how-to-configure-mfa-device-enforcement.md)
+ [
# 允許使用者註冊自己的 MFA 裝置
](how-to-allow-user-registration.md)
# MFA 提示使用者
您可以使用下列步驟,判斷當員工使用者嘗試登入 AWS 存取入口網站時,提示他們進行多重要素驗證 (MFA) 的頻率。開始之前,建議您先了解 [IAM Identity Center 可用的 MFA 類型](mfa-types.md)。
**重要**
本節中的指示適用於 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)。它們不適用於 [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)。IAM Identity Center 使用者、群組和使用者憑證與 IAM 使用者、群組和 IAM 使用者憑證不同。如果您要尋找停用 IAM 使用者 MFA 的指示,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[停用 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)。
**注意**
如果您使用的是外部 IdP,則**多重要素驗證**區段將無法使用。您的外部 IdP 會管理 MFA 設定,而不是管理它們的 IAM Identity Center。
**設定 MFA**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面**的提示 MFA 使用者**下,根據您的業務需求,選擇下列其中一種身分驗證模式:
+ **每次他們登入時 (一律開啟)**
在此模式中 (預設設定),IAM Identity Center 會要求具有已註冊 MFA 裝置的使用者在每次登入時收到提示。這是最安全的設定,並要求每次登入 AWS 存取入口網站時都使用 MFA,以確保強制執行您的組織或合規政策。例如,PCI DSS 強烈建議在每次登入期間使用 MFA,以存取支援高風險付款交易的應用程式。
+ **只有當其登入內容變更時 (context-aware)**
在此模式中,IAM Identity Center 提供使用者在登入期間信任其裝置的選項。在使用者指出他們想要信任裝置之後,IAM Identity Center 會提示使用者 MFA 一次,並分析使用者後續登入的登入內容 (例如裝置、瀏覽器和位置)。對於後續登入,IAM Identity Center 會判斷使用者是否使用先前信任的內容登入。如果使用者的登入內容變更,除了其電子郵件地址和密碼登入資料之外,IAM Identity Center 還會提示使用者輸入 MFA。
此模式為經常從其工作場所登入,但相較於**永遠開啟**選項較不安全的使用者提供易於使用的功能。只有在使用者的登入內容變更時,才會提示使用者輸入 MFA。
+ **從不 (已停用)**
在此模式中,所有使用者只會使用其標準使用者名稱和密碼登入。選擇此選項會停用 IAM Identity Center MFA,不建議這麼做。
為使用者停用 Identity Center 目錄的 MFA 時,您無法在其使用者詳細資訊中管理 MFA 裝置,而 Identity Center 目錄使用者無法從 AWS 存取入口網站管理 MFA 裝置。
**注意**
如果您已經搭配 使用 RADIUS MFA Directory Service,並想要繼續使用它做為預設 MFA 類型,則可以將身分驗證模式保持停用狀態,以略過 IAM Identity Center 中的 MFA 功能。從**停用**模式變更為**上下文感知**或**永遠開啟**模式會覆寫現有的 RADIUS MFA 設定。如需詳細資訊,請參閱[RADIUS MFA](mfa-types.md#about-radius)。
1. 選擇 **Save changes** (儲存變更)。
**相關主題**
+ [選擇 MFA 類型進行使用者身分驗證](how-to-configure-mfa-types.md)
+ [設定 MFA 裝置強制執行](how-to-configure-mfa-device-enforcement.md)
+ [允許使用者註冊自己的 MFA 裝置](how-to-allow-user-registration.md)
# 選擇 MFA 類型進行使用者身分驗證
使用下列程序,選擇使用者在 AWS 存取入口網站中提示進行多重要素驗證 (MFA) 時,可以驗證的裝置類型。
**為您的使用者設定 MFA 類型**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面上,**使用者可以使用這些 MFA 類型進行身分驗證**,根據您的業務需求選擇下列其中一個 MFA 類型。如需詳細資訊,請參閱[IAM Identity Center 可用的 MFA 類型](mfa-types.md)。
+ **安全金鑰和內建驗證器**
+ **驗證器應用程式**
1. 選擇**儲存變更**。
# 設定 MFA 裝置強制執行
使用下列程序來判斷您的使用者在登入 AWS 存取入口網站時是否必須擁有已註冊的 MFA 裝置。
如需 IAM 中 MFA 的詳細資訊,請參閱 [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
**為您的使用者設定 MFA 裝置強制執行**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面上,**如果使用者還沒有已註冊的 MFA 裝置,**請根據您的業務需求選擇下列其中一個選項:
+ **要求他們在登入時註冊 MFA 裝置**
這是您第一次為 IAM Identity Center 設定 MFA 時的預設設定。當您想要要求尚未註冊 MFA 裝置的使用者在成功密碼身分驗證後,在登入期間自行註冊裝置時,請使用此選項。這可讓您使用 MFA 保護組織 AWS 的環境,而不必個別註冊身分驗證裝置並將其分發給使用者。在自我註冊期間,您的使用者可以從[IAM Identity Center 可用的 MFA 類型](mfa-types.md)先前啟用的可用 註冊任何裝置。完成註冊後,使用者可以選擇為其新註冊的 MFA 裝置提供易記名稱,之後 IAM Identity Center 會將使用者重新導向至其原始目的地。如果使用者的裝置遺失或遭竊,您可以從其帳戶移除該裝置,IAM Identity Center 會要求他們在下次登入時自行註冊新裝置。
+ **要求他們提供透過電子郵件傳送的一次性密碼來登入**
如果您想要透過電子郵件將驗證碼傳送給使用者,請使用此選項。由於電子郵件未繫結至特定裝置,此選項不符合業界標準多重要素驗證的 標準。但它確實比單獨使用密碼來提高安全性。只有在使用者尚未註冊 MFA 裝置時,才會請求電子郵件驗證。如果已啟用**內容感知**身分驗證方法,使用者將有機會將收到電子郵件的裝置標記為信任。之後,他們不需要在未來從該裝置、瀏覽器和 IP 地址組合登入時驗證電子郵件代碼。
**注意**
如果您使用 Active Directory 做為已啟用 IAM Identity Center 的身分來源,則電子郵件地址一律會以 Active Directory `email` 屬性為基礎。自訂 Active Directory 屬性映射不會覆寫此行為。
+ **封鎖他們的登入**
當您想要強制每個使用者使用 MFA 時,請在他們可以登入 之前,使用**封鎖他們的登入**選項 AWS。
**重要**
如果您的身分驗證方法設定為**了解內容**,使用者可以在登入頁面上選取**這是信任的裝置**核取方塊。在這種情況下,即使您已啟用**封鎖其登入**設定,也不會提示該使用者輸入 MFA。如果您希望系統提示這些使用者,請將您的身分驗證方法變更為 **Always On**。
+ **允許他們登入**
使用此選項表示不需要 MFA 裝置,您的使用者才能登入 AWS 存取入口網站。選擇註冊 MFA 裝置的使用者仍會收到 MFA 提示。
1. 選擇**儲存變更**。
# 允許使用者註冊自己的 MFA 裝置
IAM Identity Center 管理員可以允許使用者自行註冊自己的 MFA 裝置。
**允許使用者註冊自己的 MFA 裝置**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**多重要素驗證**區段中,選擇**設定**。
1. 在**設定多重要素驗證**頁面的**誰可以管理 MFA 裝置**下,選擇**使用者可以新增和管理自己的 MFA 裝置**。
1. 選擇**儲存變更**。
**注意**
為使用者設定自我註冊後,建議您將程序 的連結傳送給他們[為您的裝置註冊 MFA開始之前](user-device-registration.md)。本主題說明如何設定自己的 MFA 裝置。