离线MFA多因素身份验证- ManageEngine ADSelfService Plus

什么是离线MFA，你为什么需要它？

通常，要使MFA运行，用户的设备必须连接到互联网或与MFA服务器相同的网络，以通信身份验证信息。但是，由于不可预见的情况，有时可能会断开与MFA服务器的连接，使用户脱机。在这种情况下，绕过MFA或阻止访问都是不明智的选择。

离线MFA弥合了差距，允许您为用户强制执行MFA，即使他们无法访问MFA服务器。这样，您的用户的离线状态就不必限制您组织的网络安全。

ManageEngine ADSelfService Plus支持Windows机器登录的离线MFA。管理员可以配置一个或多个MFA因素供用户进行身份验证。用户在线时需要注册各自的身份验证器，以便在离线时执行MFA。

身份验证器

决定您是否要在组织中启用离线MFA，并选择要使用的身份验证因素。

离线MFA将在以下两种情况下工作：

启用离线MFA最初会提示用户注册其管理员配置的身份验证器。这发生在用户连接到ADSelfService Plus服务器（即他们在线时）时进行的机器登录尝试期间。
管理员可以让用户选择在特定设备上注册离线MFA身份验证器。或者，管理员可以在用户登录时强制注册。
注意：选择跳过MFA注册的用户将无法在登录期间通过MFA证明其身份。根据启用管理员的配置，要么MFA将被绕过，要么他们将无法访问他们的机器。
一旦用户成功注册了离线MFA，验证其身份所需的身份验证数据将存储在本地特定设备上。
现在，当用户在未连接到ADSelfService Plus服务器时尝试机器登录时，他们将能够与注册的身份验证器验证身份并访问机器。
如果您不希望用户长时间通过离线MFA登录，您可以限制离线MFA尝试的次数。一旦达到限制，用户必须连接到ADSelfService Plus，并至少验证一次身份。

在线和离线

ADSelfService Plus支持以下离线MFA身份验证器：