双因素身份验证

为加强用户登录安全，M365 Security Plus 支持默认帮助台技术人员和 AD 登录帮助台技术人员的双因素身份验证。启用后，M365 Security Plus 会要求他们在每次登录时使用以下一种身份验证机制进行验证。您可以为帮助台技术人员和/或 AD 登录技术人员选择以下任一双因素身份验证方式。启用后，技术人员必须在登录过程中配置所选的双因素身份验证。

• 邮件验证
• Microsoft Authenticator
• Google Authenticator
• RSA SecurID
• Duo Security
• RADIUS 身份验证
• 备用验证码
• 自定义 TOTP 认证器
• 高级设置

设置双因素身份验证

1. 以管理员身份登录 M365 Security Plus 。
2. 导航至 委派 > 其他设置 > 登录设置.
3. 点击 双因素身份验证 选项卡。
4. 切换双因素身份验证开关至 启用.



5. 从提供的列表中选择您选择的身份验证方法。



注意：
• 如果启用了多种身份验证选项，用户在登录时将被要求选择其中之一。
• 确保通过输入所有必填信息配置所选择的身份验证选项。
6. 点击 保存.

邮件验证

选择此选项时，M365 Security Plus 会通过电子邮件向用户的邮箱发送验证码。用户必须输入验证码才能成功登录。

配置步骤：

1. 配置您的 邮件服务器设置 （如果尚未配置）。
2. 输入 邮件主题 。
3. 输入 在提供的文本框中输入 邮件内容。
4. 点击 感叹号 以根据您的需求设置优先级。
5. 点击 宏 在底部插入邮件内容宏。
6. 完成后，点击 保存.

启用后，用户在登录时将被要求输入邮箱地址以注册双因素身份验证。

Microsoft Authenticator

使用 Microsoft Authenticator 安全登录账号。启用后，用户需要输入由 Microsoft Authenticator 生成的代码以完成身份验证。

配置步骤：

1. 只需点击 启用 Microsoft Authenticator.

Google Authenticator

使用 Google Authenticator 安全登录账号。启用后，用户需要输入由 Google Authenticator 生成的六位数安全码以完成身份验证。

配置步骤：

1. 只需点击 启用 Google Authenticator.

RSA SecurID

RSA SecurID 是一种为用户执行双因素身份验证而开发的机制。用户可以使用 RSA SecurID 移动应用生成的安全码、硬件令牌或通过邮件或短信接收的令牌登录 M365 Security Plus。

配置步骤：

1. 确保以下必需的 JAR 文件存在于 <installation_directory>/lib 文件夹中。
• authapi-8.6.jar
• log4j-1.2.12rsa-1.jar
• cryptojcommon-6.1.3.3.jar
• jcmFIPS-6.1.3.3.jar
• cryptojce-6.1.3.3.jar
注意：这些 JAR 文件属于最新版本的 Java 认证代理 SDK（版本 8.6）。

如果文件不存在，请从 RSA SecurID 获取最新的 JAR 文件，并将其添加到 <installation_directory>/lib 文件夹。

2. 登录您的 RSA 管理控制台 （例如，https://RSA 机器名.域名 DNS 名称/sc）。
3. 转到 访问 选项卡。在 认证代理下，点击 添加新项.
4. 将 M365 Security Plus 服务器添加为认证代理并点击 保存.
5. 转到 访问 选项卡。在 认证代理下，点击 生成配置文件.
6. 下载 AM_Config.zip 从 ZIP 文件中解压
7. sdconf.rec 。 在 M365 Security Plus 中，转到
8. 配置，点击 RSA SecurID 浏览 并选择 文件。 。 确保必需的
9. authapi.jar 文件及其 Log4j.jar 文件存在于 <installation_directory>/lib 文件夹中。如果不存在，请从 RSA SecurID 获取最新的 文件及其最新 文件及其 文件，并将其添加到 <installation_directory>/lib 文件夹中。 文件存在于 <installation_directory>/lib 文件夹中。如果不存在，请从 RSA SecurID 获取最新的 如果您的组织使用 Duo Security 进行双因素身份验证，可以将其集成到 M365 Security Plus 以保障登录安全。用户可以通过推送通知批准或拒绝 M365 Security Plus 的登录请求，或者输入由 Duo Security 移动应用生成的六位数安全码。通过 Duo Security 的身份验证在 M365 Security Plus 中可以通过两种方式配置：Web v2 SDK 和 Web v4 SDK。
10. 点击 保存.

Duo Security

Web v2 SDK 使用传统的 Duo Security 提示，将以 iframe 方式显示在 M365 Security Plus 中；而 Web v4 SDK 使用基于 OIDC 的 Duo Security 通用提示，具有重新设计的 UI，会重定向用户到 Duo Security 进行身份验证。

：Duo Security 已逐步淘汰 Web v2 SDK，建议切换到具有新通用提示功能的 Web v4 SDK。

注意前提条件

如果用户使用旧版本 Internet Explorer，请将 API 主机名和管理控制台（例如 https://admin-325d33c0.duosecurity.com）添加为受信任站点或内部站点。

• 请遵循
• 这些步骤 在 Duo 管理面板中，将使用传统提示的 Web v2 SDK 迁移到采用新通用提示的 Web v4 SDK。 Web v4 SDK 配置步骤

：设置 Web v4 SDK 身份验证需要安全连接。请确保已启用 HTTPS 连接。

注意Duo Security 账户

1. 登录您的 （例如， https://admin-325d33c0.duosecurity.com ）或 注册 新账户并登录。 转到
2. 应用程序 并点击 保护应用程序 搜索.



3. Web SDK 保护 保护应用程序 复制.



4. 客户端 ID、客户端密钥 及API 主机名 值。 在 M365 Security Plus 中，导航至



5. 委派 > 其他设置 > 登录设置 > 双因素身份验证 > Duo Security 选中.
6. 启用 Duo Security 复选框并选择 Web v4 SDK 作为 集成类型 粘贴.



7. 客户端 ID Client ID, 客户端密钥API 主机名 值。 从 Duo 管理面板的相应字段中获取。
8. 输入在 Duo Security 中使用的相同用户名模式， 用户名模式 字段中。
9. 点击 保存.
10. 配置 Duo Security 中的 Auth API 用于验证技术人员是否已注册 Duo Security。要配置 Auth API，请登录到您的 Duo Security 账户并导航至 Applications > Protect an Application.
11. Web SDK Auth API.
12. 复制以下的值： 集成密钥 和 安全密钥.



13. 打开 M365 Security Plus 并导航至 Delegation > Other Settings > Logon Settings > Two Factor Authentication > Duo Security.
14. 选择您需要的 粘贴 保护应用程序 高级设置 以打开 Auth API 配置设置。
15. 将您从 Duo 的 Auth API 页面复制的值粘贴到 集成密钥 和 密钥 字段中。

Web v2 SDK 配置步骤

1. 登录您的 （例如， https://admin-325d33c0.duosecurity.com ）或 注册 新账户并登录。 转到
2. 应用程序 并点击 保护应用程序 搜索



3. Web SDK 保护 保护应用程序 复制.



4. 客户端 ID、客户端密钥 集成密钥，密钥API 主机名 值。 值。



5. 委派 > 其他设置 > 登录设置 > 双因素身份验证 > Duo Security 选中.
6. 启用 Duo Security 复选框并选择 Web v4 SDK Web v2 SDK 集成类型 粘贴.



7. 客户端 ID 集成密钥，密钥API 主机名 值。 从 Duo 管理面板的相应字段中获取。
8. 输入在 Duo Security 中使用的相同用户名模式， 用户名模式 字段中。
9. 点击 保存.
10. 配置 Duo Security 中的 Auth API 用于验证技术人员是否已注册 Duo Security。要配置 Auth API，请登录您的 Duo Security 账户并导航至 Applications > Protect an Application.
11. Web SDK Auth API.
12. 复制以下的值： 集成密钥 和 安全密钥.



13. 打开 M365 Security Plus 并导航至 Delegation > Other Settings > Logon Settings > Two Factor Authentication > Duo Security.
14. 选择您需要的 粘贴 保护应用程序 高级设置 以打开 Auth API 配置设置。
15. 将您从 Duo 的 Auth API 页面复制的值粘贴到 集成密钥 和 密钥 字段中。

迁移到新 Universal Prompt 的步骤

1. 在 Duo 管理面板中，选择 Web SDK 应用，这是之前为 M365 Security Plus 配置的，复制 集成密钥，密钥API 主机名 值。 值。
2. 向下滚动到 Universal Prompt 部分。 应用更新就绪 消息将显示，表示现在可以为 M365 Security Plus 启用 Universal Prompt。



3. 委派 > 其他设置 > 登录设置 > 双因素身份验证 > Duo Security 选中.
4. 点击 作为 并将 集成密钥，密钥API 主机名 值。 值粘贴到 客户端 ID，客户端密钥API 主机名 API 主机名 字段中。
5. 一旦在 M365 Security Plus 中配置了 Web v4 SDK，用户通过无框架 Duo v4 SDK 进行身份验证， 应用更新就绪 Duo 管理面板中的消息将更新， 新提示就绪 消息将显示。



6. 选择 显示新的 Universal Prompt 以激活 M365 Security Plus 的通用提示。

RADIUS 身份验证

远程身份验证拨号用户服务 (RADIUS) 是一种行业标准的客户端/服务器身份验证协议，通过防止未经授权的访问来增强网络安全。

基于 RADIUS 的双因素认证可通过两个简单步骤在 M365 Security Plus 中配置。

配置步骤

步骤 1：将 RADIUS 集成到 M365 Security Plus

1. 登录 RADIUS 服务器.
2. 导航至 clients.conf 文件 (/etc/raddb/clients.conf).
3. 在文件中添加以下片段： clients.conf 文件：
   client ProductServerName
   {
   ipaddr = xxx.xx.x.xxx
   secret = <secretCode>
   nastype = other
   }
4. 重启 RADIUS 服务器.

步骤 2：为 RADIUS 配置 M365 Security Plus

1. 选择 RADIUS 身份验证.
2. 输入 RADIUS 服务器的 IP 地址或名称。 RADIUS 认证服务器端口号。
3. 输入 从下拉列表中选择用于 RADIUS 认证的协议。 提供
4. 添加到 RADIUS 服务器 clients.conf 文件中的
5. 密钥。 设置 认证请求超时
6. 持续时间。 用户名模式.
7. ：用户名模式区分大小写。请确保选择在 RADIUS 服务器中使用的准确模式（大写或小写）。 备份验证码 备份验证码允许用户在无法访问手机或第二因素认证方法出现问题时登录。启用后，将生成总共五个代码。代码一旦使用，将失效且不可重复使用。用户还可以选择生成新的代码。
8. 点击 保存.

要启用备份验证码，请选中

备份验证码

复选框。

• 注册备份验证码 用户需要点击“管理备份验证码”链接以查看代码。 用户还可以下载代码为文本文件、打印，并发送至个人邮箱；还可以生成新代码。

使用备份验证码登录

• 登录时使用备份验证码，用户需点击第二因素认证页面上的

  

• 没有验证码？
• 登录时使用备份验证码，用户需点击第二因素认证页面上的

  

链接。

• 在备份验证码页面，输入其中一个备份验证码并点击 验证代码 以登录。

  

• 管理双因素认证用户 作为管理员，您可以查看用户选择的认证方法，并通过“管理用户”选项禁用其双因素认证。 操作步骤：

  

在

选项卡下，点击

已注册用户

• 在弹出窗口中，您可以查看已注册双因素认证的用户列表及其选择的认证方法。 双因素身份验证 要移除用户，选择该 用户.
• 并点击 用户 删除
• 图标。 个性化用户双因素认证方法 已注册双因素认证的用户可以修改首选认证方法并管理受信任浏览器，步骤如下： 点击 M365 Security Plus 右上角的 我的账户

个人资料图标。

选择

• 转到 选项。 要修改认证模式，点击
• 修改认证模式 双因素身份验证 要管理受信任浏览器，点击
• 管理受信任浏览器 自定义 TOTP 认证器功能帮助您使用双因素认证保护账户。现在可在 M365 Security Plus 中轻松配置。使用任何身份验证器（如 Google、Microsoft 或其他自定义认证器应用）安全登录账户。启用后，用户需要输入认证器生成的代码进行身份验证。.
• 选中 启用自定义 TOTP 认证器.

自定义 TOTP 认证器

认证器名称、密码长度、密码过期时间及密码哈希算法

• 选择 自定义 TOTP 认证器.
• 配置 账户名称格式.
• 输入 并上传.
• 认证器图标 您可以通过 菜单精细调整 M365 Security Plus 的 2FA 实现。这允许您为具有 Microsoft 365 认证的帮助台技术人员启用 2FA，设置信任浏览器，并为部分帮助台技术人员禁用 2FA。 访问高级设置，.
• 点击 保存.

高级设置

作为可修改双因素认证设置的技术人员。 高级设置 Delegation → Other Settings → Logon Settings

在

1. 以管理员身份登录 M365 Security Plus 下，您可以配置以下设置：
2. 导航至 Microsoft 365 技术人员的 2FA.
3. 点击 双因素身份验证 选项卡。
4. 切换双因素身份验证开关至 启用.
5. 点击 高级设置.

在技术人员使用 2FA 登录时显示“信任此浏览器”选项。 高级设置为所选帮助台技术人员排除 2FA

• Microsoft 365 技术人员的 2FA：
• 为支持单点登录，默认对使用 Microsoft 365 认证的技术人员禁用 2FA。如果启用此选项，技术人员即使通过 Microsoft 365 MFA 登录，也必须通过产品的 2FA 方式进行验证。
• 启用对使用 Microsoft 365 认证的技术人员的 2FA

在技术人员使用 2FA 登录时显示

信任此浏览器

配置步骤：

1. 选择 选项。.

当技术人员使用 2FA 登录时显示此选项 输入浏览器应被信任的天数，默认设置为 180 天。 为所选帮助台技术人员排除 2FA：

1. 选择 当技术人员使用 2FA 登录时显示此选项 输入浏览器应被信任的天数，默认设置为 180 天。 2FA 是一种安全的身份验证方法，但在某些情况下管理员可被允许绕过。例如：在低风险环境中，帮助台技术人员可灵活登录产品，或频繁登录时，绕过 2FA 可方便他们完成任务。现在您可以在 M365 Security Plus 中为部分帮助台技术人员设置排除 2FA。..
2. 为所选技术人员排除 2FA

Exclude 2FA for the selected help desk technicians:

2FA is a secure method of authentication. However, there are some scenarios where administrators can be allowed to bypass it. For example: in environments with lower risk profiles, help desk technicians can be given more flexibility on how they login to the product or when they login to the product frequently, bypassing 2FA can be convenient for them to conduct their tasks. You can now set up M365 Security Plus to exclude 2FA for a select list of help desk technicians.

配置步骤：

1. 选择 Exclude 2FA for the selected technicians.
2. 点击 图标以添加应排除2FA的技术人员。



3. 选择应排除2FA的服务台技术人员。您也可以使用 按……筛选 下拉菜单筛选技术人员列表的身份验证类型。
4. 点击 确定 以排除所选服务台技术人员的2FA。