双重身份验证

为加强用户登录安全，M365 Manager Plus 支持针对默认帮助台技术人员和 AD 登录帮助台技术人员的双重身份验证。启用后，M365 Manager Plus 会要求他们在每次登录时使用以下任一身份验证机制进行身份验证。您可以为帮助台技术人员和/或 AD 登录技术人员选择以下任意双重身份验证方法。一旦启用，技术人员在登录过程中需配置所选的双重身份验证。

• 电子邮件验证
• Microsoft Authenticator
• Google Authenticator
• RSA SecurID
• Duo Security
• RADIUS 认证
• 备用验证代码
• 自定义 TOTP 身份验证器
• 高级设置

设置双重身份验证

1. 以管理员身份登录到 M365 Manager Plus 。
2. 导航至 委派 → 其他设置 → 登录设置.
3. 点击 双重身份验证 选项卡。
4. 将双重身份验证开关切换为 启用.



5. 从提供的列表中选择您希望使用的身份验证方法。



注意：

• 如果启用了多个身份验证选项，用户登录时将被要求选择其中一项。
• 确保通过输入所有必填信息来配置您选择的身份验证选项。
6. 点击 保存.

身份验证方法

电子邮件验证

选择此选项时，M365 Manager Plus 会向用户的电子邮箱发送验证码。用户需输入验证码以成功登录。

配置步骤：

1. 配置您的 邮件 服务器设置（如果尚未配置）。
2. 输入 邮件主题 。
3. 输入 在提供的框中输入 邮件内容。
4. 点击 感叹号图标 ，根据需要设置优先级。
5. 点击 使用宏 在底部插入宏到邮件内容。
6. 完成后点击 保存.

启用后，用户登录时需输入邮箱地址进行双重身份验证注册。

Microsoft Authenticator

使用 Microsoft Authenticator 安全登录您的账户。启用后，用户需输入 Microsoft Authenticator 生成的验证码以验证身份。

配置步骤：

1. 只需点击 启用 Microsoft Authenticator.

Google Authenticator

使用 Google Authenticator 安全登录您的账户。启用后，用户需输入 Google Authenticator 生成的六位安全码以验证身份。

配置步骤：

1. 只需点击 启用 Google Authenticator.

RSA SecurID

RSA SecurID 是一种用于用户双重身份验证的机制。用户可使用 RSA SecurID 移动应用生成的安全码、硬件令牌或通过电子邮件或短信接收的令牌登录 M365 Manager Plus。

配置步骤：

1. 确保以下所列所需的 JAR 文件存在于 <installation_directory>/lib 文件夹中。
• authapi-8.6.jar
• log4j-1.2.12rsa-1.jar
• cryptojcommon-6.1.3.3.jar
• jcmFIPS-6.1.3.3.jar
• cryptojce-6.1.3.3.jar
注意：这些 JAR 文件对应最新版本的 Java 版身份验证代理 SDK（版本 8.6）。

若文件不存在，请从 RSA SecurID 获取最新 JAR 文件并添加至 <installation_directory>/lib 文件夹。

2. 登录您的 RSA 管理控制台 （例如：https://RSA 机器名.域 DNS 名/sc）。
3. 转到 访问 选项卡。在 身份验证代理下，点击 添加新项.
4. 将 M365 Manager Plus 服务器添加为身份验证代理并点击 保存.
5. 转到 访问 选项卡。在 身份验证代理下，点击 生成配置文件.
6. 下载 AM_Config.zip （身份验证管理器配置）文件。
7. 从 ZIP 文件中解压 sdconf.rec 。
8. 在 M365 Manager Plus 的 RSA SecurID 配置页面，点击 浏览 并选择 sdconf.rec 文件。
9. 确保所需的 authapi.jar 文件及 Log4j.jar 文件存在于 <installation_directory>/lib 文件夹中。若不存在，请从 RSA SecurID 获取最新文件并添加至该文件夹。 authapi.jar 如果您的组织使用 Duo Security 进行双重身份验证，可将其集成到 M365 Manager Plus 以保障登录安全。用户可使用 Duo Security 提供的任意身份验证方法（如推送通知或 Duo Security 应用生成的六位安全码）批准 M365 Manager Plus 登录请求。M365 Manager Plus 中可以通过两种方式配置 Duo Security 身份验证： Log4j.jar Web v2 SDK
10. 点击 保存.

Duo Security

和 Web v4 SDK。 Web v2 SDK 使用传统的 Duo Security 提示窗口，显示在 M365 Manager Plus 的 iframe 中，而 Web v4 SDK 使用 Duo Security 基于 OIDC 的通用提示窗口，拥有重新设计的 UI，用户将被重定向至 Duo Security 进行身份验证。 ：Duo Security 已逐步淘汰 Web v2 SDK，建议切换到具有新通用提示的 Web v4 SDK。

先决条件

注意如果用户使用旧版本的 Internet Explorer，请将 API 主机名和管理控制台（例如 https://admin-325d33c0.duosecurity.com）添加为受信任站点或内联网站点。

请按照

• 这些步骤
• 在 Duo 管理面板中，将使用传统提示的 Web v2 SDK 迁移至采用新通用提示的 Web v4 SDK。 Web v4 SDK 配置步骤 ：设置 Web v4 SDK 身份验证时需要安全连接，请确保已启用 HTTPS 连接。

Duo Security 账户

注意（例如，

1. 登录您的 https://admin-325d33c0.duosecurity.com ）或 注册 新账户并登录。 转到 应用程序
2. 并点击 保护应用程序 搜索 Web SDK.



3. 保护 复制 搜索 客户端 ID、客户端密钥.



4. 和 API 主机名的值。 在 M365 Manager Plus 中，导航至 委派 > 其他设置 > 登录设置 > 双重身份验证 > Duo Security



5. 勾选 启用 Duo Security.
6. 复选框并选择 Web v4 SDK 用于 Web v4 SDK for 集成类型.



7. 粘贴 客户端 ID, 客户端密钥的值。 API 从 Duo 管理面板获取后填写到相应字段。
8. 输入与 Duo Security 中使用的相同用户名模式，填写到 用户名模式 字段。
9. 点击 保存.
10. 在 Duo Security 中配置 Auth API 用于验证技术人员是否已注册 Duo Security。要配置 AuthAPI，请登录您的 Duo Security 账户并导航至 应用程序 > 保护应用程序.
11. 保护 Auth API.
12. 复制以下的值 集成密钥 Web v2 SDK 使用传统的 Duo Security 提示窗口，显示在 M365 Manager Plus 的 iframe 中，而 Web v4 SDK 使用 Duo Security 基于 OIDC 的通用提示窗口，拥有重新设计的 UI，用户将被重定向至 Duo Security 进行身份验证。 安全密钥.



13. 打开 M365 Manager Plus 并导航至 委派 > 其他设置 > 登录设置 > 双因素认证 > Duo Security.
14. 选择所需的 集成类型 搜索 高级设置 以打开 Auth API 配置设置。
15. 将从 Duo 页面复制的值粘贴到 Auth API 集成 密钥 Web v2 SDK 使用传统的 Duo Security 提示窗口，显示在 M365 Manager Plus 的 iframe 中，而 Web v4 SDK 使用 Duo Security 基于 OIDC 的通用提示窗口，拥有重新设计的 UI，用户将被重定向至 Duo Security 进行身份验证。 密钥 字段中。

Web v2 SDK 配置步骤

1. 登录您的 https://admin-325d33c0.duosecurity.com ）或 注册 新账户并登录。 转到 应用程序
2. 并点击 保护应用程序 搜索 Web SDK



3. 保护 复制 搜索 客户端 ID、客户端密钥.



4. 和 集成密钥，密钥的值。 在 M365 Manager Plus 中，导航至 的值。



5. 勾选 启用 Duo Security.
6. 复选框并选择 Web v4 SDK 用于 Web v4 SDK。 for 集成类型.



7. 粘贴 集成密钥，密钥的值。 在 M365 Manager Plus 中，导航至 从 Duo 管理面板获取后填写到相应字段。
8. 输入与 Duo Security 中使用的相同用户名模式，填写到 用户名模式 字段。
9. 点击 保存.
10. 在 Duo Security 中配置 Auth API 用于验证技术人员是否已注册 Duo Security。要配置 AuthAPI，请登录您的 Duo Security 账户并导航至 应用程序 > 保护应用程序.
11. 保护 Auth API.
12. 复制以下的值 集成密钥 Web v2 SDK 使用传统的 Duo Security 提示窗口，显示在 M365 Manager Plus 的 iframe 中，而 Web v4 SDK 使用 Duo Security 基于 OIDC 的通用提示窗口，拥有重新设计的 UI，用户将被重定向至 Duo Security 进行身份验证。 安全密钥.



13. 打开 M365 Manager Plus 并导航至 委派 > 其他设置 > 登录设置 > 双因素认证 > Duo Security.
14. 选择所需的 集成类型 搜索 高级设置 以打开 Auth API 配置设置。
15. 将从 Duo 的 Auth API 页面复制的值粘贴到 集成密钥 Web v2 SDK 使用传统的 Duo Security 提示窗口，显示在 M365 Manager Plus 的 iframe 中，而 Web v4 SDK 使用 Duo Security 基于 OIDC 的通用提示窗口，拥有重新设计的 UI，用户将被重定向至 Duo Security 进行身份验证。 密钥 字段中。

迁移到新的通用提示的步骤

1. 在 Duo 管理面板中，选择 Web SDK 应用程序，该应用程序之前已经为 M365 Manager Plus 配置过，复制 集成密钥，密钥的值。 在 M365 Manager Plus 中，导航至 的值。
2. 向下滚动到 通用提示 部分。 应用程序更新就绪 消息将会显示，表示现在可以为 M365 Manager Plus 启用通用提示。



3. 勾选 启用 Duo Security.
4. 点击 Web v4 SDK 并将 集成密钥，密钥的值。 在 M365 Manager Plus 中，导航至 值粘贴到 客户端 ID、客户端密钥的值。 API 主机名 字段中。
5. 一旦 Web v4 SDK 在 M365 Manager Plus 中配置完成，且用户通过无框架的 Duo v4 SDK 进行身份验证， 应用程序更新就绪 Duo 管理面板中的消息将会更新， 新提示就绪 消息将会显示。



6. 选择 显示新的通用提示 以激活 M365 Manager Plus 的通用提示。

RADIUS 认证

远程身份验证拨号用户服务（RADIUS）是一种行业标准的客户端/服务器身份验证协议，通过防止未经授权访问来增强网络安全性。

M365 Manager Plus 的基于 RADIUS 的双因素身份验证可以通过两个简单步骤进行配置。

配置步骤

第一步：将 RADIUS 集成到 M365 Manager Plus

1. 登录到 RADIUS 服务器.
2. 导航到 clients.conf 文件（/etc/raddb/clients.conf).
3. 在文件中添加以下内容： clients.conf client ProductServerName
   ipaddr = xxx.xx.x.xxx
   {
   secret = <secretCode>
   nastype = other
   重启
   }
4. 第二步：配置 M365 Manager Plus 支持 RADIUS RADIUS 服务器.

输入

1. 选择 RADIUS 认证.
2. RADIUS 服务器的 IP 地址或名称。 服务器端口号，用于 RADIUS 认证。 从下拉列表中选择用于 RADIUS 认证的协议。
3. RADIUS 服务器的 IP 地址或名称。 提供 添加到 RADIUS 服务器 clients.conf 文件中的
4. 密钥。
5. 设置 设置认证 请求超时时长。
6. ：用户名模式区分大小写。请确保您选择的模式与 RADIUS 服务器中使用的完全一致（大写或小写）。 用户名模式.
7. 备用验证码 备用验证码允许用户在无法访问手机或遇到二次身份验证方法问题时登录。启用后，将生成共五个验证码。验证码一旦使用将失效，无法重复使用。用户也可以选择生成新的验证码。 启用备用验证码选项
8. 点击 保存.

备用验证码

复选框。

注册备用验证码

• 用户需要点击 管理备用验证码 链接以查看验证码。 用户还可以将验证码下载为文本文件、打印，发送到个人电子邮箱，还可以生成新的验证码。 使用备用验证码登录

登录时使用备用验证码，用户需要点击

• 没有验证码？

  

• 链接，位于二次身份验证页面。
• 没有验证码？

  

在备用验证码页面，输入其中一个备用验证码，然后点击

• 验证验证码 进行登录。 管理用户的双因素认证

  

• 作为管理员，您可以查看用户选择了哪种身份验证方式，并可通过 管理用户 选项禁用其双因素认证。 操作步骤如下： 在

  

标签下，点击

已注册用户

在弹出窗口中，您可以查看已注册双因素认证的用户列表及其选择的认证方式。

• 若要移除用户，选择该 双重身份验证 用户 并点击.
• 图标。 并点击 为用户个性化双因素认证方式
• 已注册双因素认证的用户可以修改其偏好的认证方式并管理受信任的浏览器，操作步骤如下： 点击 M365 Manager Plus 右上角的 我的账户 图标。

选择

选项。

• 转到 若要修改认证方式，点击 修改认证方式
• 若要管理受信任的浏览器，点击 双重身份验证 管理受信任的浏览器
• 自定义 TOTP 认证器功能帮助您通过双因素认证（2FA）保护账户安全。在 M365 Manager Plus 中可轻松配置以启用 2FA。可使用 Google Authenticator、Microsoft Authenticator 及其他自定义认证器应用安全登录 M365 Manager Plus。启用后，用户需输入认证器生成的验证码以进行身份验证。 配置自定义 TOTP 认证器的步骤.
• 勾选 启用自定义 TOTP 认证器.

自定义 TOTP 身份验证器

认证器名称，验证码长度，验证码过期时间

验证码哈希算法

• 选择 自定义 TOTP 身份验证器.
• 配置 账户名称格式.
• RADIUS 服务器的 IP 地址或名称。 并上传的值。 认证器.
• 图标 您可以通过 高级 设置菜单微调 M365 Manager Plus 的 2FA 实施。此功能允许您为使用 Microsoft 365 身份验证的技术人员启用 2FA，设置浏览器信任，并为指定技术人员禁用 2FA。.
• 点击 保存.

  

高级设置

要访问高级设置， 以具有修改双因素认证设置权限的技术人员身份登录。 委派 → 其他设置 → 登录设置

在

1. 以管理员身份登录到 M365 Manager Plus 下，您可以配置以下设置：
2. 导航至 Microsoft 365 技术人员的 2FA.
3. 点击 双重身份验证 选项卡。
4. 将双重身份验证开关切换为 启用.
5. 点击 高级设置.

技术人员使用 2FA 登录时显示“信任此浏览器”选项。 高级设置为选定技术人员排除 2FA

• Microsoft 365 技术人员的 2FA：
• 为允许默认 SSO，使用 Microsoft 365 身份验证的技术人员默认禁用 2FA。启用此选项后，尽管已通过 Microsoft 365 MFA 登录，技术人员仍需通过产品的 2FA 方式。
• 为使用 Microsoft 365 身份验证的技术人员启用 2FA

显示

信任此浏览器

配置步骤：

1. 选择 Enable 2FA for technicians who use Microsoft 365 authentication.

Display Trust this browser 技术员使用2FA登录时的选项。

现在，您可以设置M365 Manager Plus，允许帮助台技术员从其受信任的浏览器绕过2FA，持续指定的天数。

配置步骤：

1. 选择 Display Trust this browser 技术员使用2FA登录时的选项..
2. 输入浏览器应被信任的天数。该选项默认设置为180天。

为选定的技术员排除2FA：

2FA是一种安全的身份验证方法。但是，在某些情况下，管理员可以被允许绕过它。例如，在风险较低的环境中，可以为帮助台技术员提供更多登录产品的灵活性，或者当他们频繁登录产品时，绕过2FA可以方便他们执行任务。现在，您可以设置M365 Manager Plus，为特定的帮助台技术员列表排除2FA。

配置步骤：

1. 选择 为使用 Microsoft 365 身份验证的技术人员启用 2FA.
2. 点击 图标以添加应排除2FA的技术员。



3. 选择应排除2FA的帮助台技术员。您还可以使用 按以下条件筛选（Filter By） 下拉菜单筛选技术员列表。
4. 点击 确定 以排除选定帮助台技术员的2FA。