基于设备或基于机器的MFA意味着MFA流程是根据用户登录的设备启动的,而不是基于他们的用户帐户属性和策略设置。这为用户提供了额外的安全性、身份验证、设备信任和RDP登录优势。
通常的Windows机器MFA的工作原理是,当他们尝试登录到特定设备时,会根据用户帐户提示第二个身份验证因素。相应用户的策略设置和注册状态决定了Windows登录MFA过程的启动。这意味着,如果用户没有应用任何策略设置,则在登录到其他注册用户需要完成MFA的同一设备时,将跳过MFA过程。
当用户尝试登录业务关键型设备(例如服务器机器)时,未启用MFA是一个巨大的缺点。在这种情况下,应平等地为所有用户规定MFA。
ManageEngine ADSelfService Plus提供基于设备或基于计算机的MFA,其中MFA是根据设备的策略设置而不是登录期间的用户帐户触发的。启用此功能后,所有登录到特定机器的用户都必须使用MFA证明其身份,无论其注册状态、自助服务策略会员资格或ADSelfService Plus服务器连接如何。提示给用户的身份验证器将类似于在ADSelfService Plus的Windows登录MFA设置中配置的身份验证器。
当对特定机器强制执行基于设备的MFA时,任何试图访问它的用户将被要求使用MFA来证明他们的身份以成功登录机器。提示给用户的MFA身份验证器将基于机器登录MFA中为他们配置的身份验证器。
用户可以选择为基于计算机的MFA启用设备信任选项。完成后,在初始身份验证后,他们将被允许在指定时间内不执行MFA的情况下登录机器。
ADSelfService Plus支持以下内容:
确保业务关键型服务器和机器在所有登录期间的MFA保护,无论用户帐户如何。
通过从ADSefService Plus的各种身份验证选项中进行选择,提供基于设备的MFA。
在通过受信任设备选项进行初始身份验证后,允许用户在没有MFA的情况下在指定时间内快速登录其机器。
使用MFA保护从其他机器到特定关键设备的远程桌面登录。
免费版