使用脱机 MFA确保远程员工的安全

远程工作支持的优势

• 未更改的企业访问：远程工作支持开辟了访问企业网络和资源以及其中保存的数据的替代方法。应采取必要措施，确保它们保持完整，不受远程破坏企图的影响。
• 提高工作效率：理想情况下，远程工作支持可提高用户的工作效率，用户工作流和对资源的访问不受干扰。
• 降低成本：组织资源的消耗和相关成本减少了，如果启用远程工作未按计划进行，组织可能会面临大量帮助台工单，其成本可能会增加。

什么是脱机 MFA，为什么需要它

通常，要使 MFA 正常运行，用户的设备必须连接到互联网或与 MFA 服务器相同的网络才能传达身份验证信息。但是，由于不可预见的情况，有时可能会断开与 MFA 服务器的连接，从而使用户脱机。在这种情况下，绕过 MFA 或阻止访问都是不明智的选择。

脱机 MFA 弥合了差距，允许管理员为用户强制实施 MFA，即使他们无法访问 MFA 服务器也是如此。这样，用户的脱机状态就不必限制组织的网络安全。

Windows 登录的脱机 MFA

ADSelfService Plus 支持用于 Windows 机器登录的离线 MFA，管理员可以配置一个或多个 MFA 因素供用户进行身份验证。用户需要在联机时在各自的身份验证器中注册自己，以便在脱机时可以执行 MFA。

脱机 MFA 在以下两种情况下都有效：

• 用户具有互联网连接，但未连接到 MFA 服务器。
• 用户未连接到互联网或 MFA 服务器。

适用于 Windows 登录的脱机 MFA 的工作原理

• 启用脱机 MFA 最初会提示用户注册其管理员配置的身份验证器，这发生在用户连接到 ADSelfService Plus 服务器时（即，当他们在线时）执行的计算机登录尝试期间。
• 管理员可以让用户选择在特定设备上注册脱机 MFA 身份验证器，或者，管理员可以在用户登录时强制用户注册。注意：选择跳过 MFA 注册的用户将无法在登录期间通过 MFA 证明其身份，根据启用管理员的配置，将绕过他们的 MFA，或者他们无法访问其计算机。
• 用户成功注册脱机 MFA 后，验证其身份所需的身份验证数据将存储在该特定设备上的本地。
• 当用户在未连接到 ADSelfService Plus 服务器时尝试计算机登录时，他们将能够使用注册的身份验证器验证其身份并访问计算机。
• 如果不希望用户长时间通过离线 MFA 登录，管理员可以限制离线 MFA 尝试的次数，一旦达到限制，用户必须连接到ADSelfService Plus并至少验证一次其身份。

脱机 MFA 支持的身份验证器

ADSelfService Plus 支持以下用于脱机 MFA 的身份验证器：

• 谷歌身份验证器
• Microsoft身份验证器
• Zoho OneAuth的TOTP身份验证器
• 自定义 TOTP 身份验证器

脱机 MFA 的优势

• 确保远程和出差员工的安全：无论用户是远程工作还是遇到连接问题，用户的计算机都受到 MFA 的保护。
• 使用预定义的报告跟踪注册：生成已注册离线 MFA 的用户的可读合并报告以及时间戳，并在必要时取消注册用户。
• 注册多个设备：允许用户在多台设备上注册脱机 MFA。

ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。