企业如何解决员工采用中遇到的双因素认证问题？

虽然双因素认证 (MFA) 对大多数用户来说并不是什么新技术，但用户对这一工具的看法两极分化。对于已经拥有多个启用双因素认证账号的用户来说，多一个也不算多。这类用户往往是新技术的早期采用者，而且适应得也更快。其他用户可能不太熟悉或者不愿意用新技术，即便在工作中采用了这项技术大概率也会遇到问题。

和大多数新技术一样，双因素认证在企业中也有拥护者和抵制者，因此让用户做好充足准备对于双因素认证的部署成功至关重要。本文中从员工在采用双因素认证时面临的用户层面问题入手，探讨 IT 管理员应如何解决这些问题，为此需要采取哪些措施。

1. MFA 的用户端问题和采用阻碍

了解员工采用双因素认证时遇到的常见问题是正确制定部署策略的关键。一般来说，部署难点包括以下几个方面：

• 设备不兼容：双因素认证通常需要在员工个人设备上部署。因此部署前需要先明确哪些操作系统和版本可以实施，并为不支持的操作系统和版本准备替代方案。
• 配置问题：每个人的学习方式都不同，所以配置教程也应该有不同形式，比如模拟部署或说明文档。此外，由于用户使用的设备不同，配置教程需要针对不同类型设备说明相应的步骤，当然也包括不同的操作系统。
• 使用方法不明：双因素认证部署最常见的问题可能是可用性。双因素认证厂商很少会向终端用户提供相关培训，很多用户只能自己钻研。另外由于远程办公，员工无法向同事求助，IT 人员也很难提供帮助。

正是由于上述3个常见问题，企业在筛选厂商时，应该把是否提供用户培训作为一大考虑因素。使用培训可以有效减少部署时间，改善用户体验，还能解决因工具滥用或不用而造成的安全漏洞。

• 缺乏支持：如果用户不了解使用某个工具的目的和理由，很快会放弃使用或避免使用，最终导致严重的安全风险。为此企业需要明确告知员工采用双因素认证的原因以及这一工具是如何保护企业数据安全和员工信息安全。

注：虽然 IT 管理员对于传统密码的风险再清楚不过了，但普通用户还是一头雾水。大多数用户（也包括 IT 管理员）还是会把密码作为日常生活中唯一的安全手段。因此，企业可以尝试先解释传统密码的问题再说明双因素认证的的安全优势。

• 用户体验差：双因素认证的部署已经面临不少问题，如果用户体验又差就是雪上加霜。

2. 如何解决双因素认证的部署问题

为确保双因素认证的顺利实施，以及用户的充分支持，IT 管理员应确保在三个不同阶段支持用户： 推出前：考虑到用户采用双因素认证有早晚，管理员需要给用户足够的时间做准备，包括在不同渠道多次提醒用户，确保每个人都能看到消息。消息的具体内容可以包括：

• 预期变化。让用户知道采用双因素认证后，哪些环节会发生哪些变化，是否需要使用个人设备，以及用户体验的大致情况，让用户有心理准备。
• 部署理由。如果用户能了解双因素认证的重要性，就更有可能支持部署。
• 准备工作。如果用户需要先完成应用下载、设备注册等准备工作，管理员应尽早告知详情，这也有助于加快部署。
• 所需资源。这可能包括支持文档、课程、模拟、演示等。考虑将这些设为可选；有些用户可能不需要额外的帮助，有些用户可能会非常感激。本着优先考虑用户体验的精神，让用户以最适合他们的方式学习，避免强迫他们消耗过多的学习材料。

实施：双因素认证的实施应从用户培训开始。如果厂商提供培训、演示或其他材料，可以直接分发给员工。如果厂商没有这项服务，企业应考虑举办内部培训，确保用户正确采用和配置双因素认证工具。

企业应给用户至少几周的时间来熟悉新工具。在此期间，应确保员工可访问培训材料，IT部门也要准备解决员工的问题和帮助请求，因为培训材料再完善也会有员工需要额外帮助或故障排除支持。

运维：部署完成后，IT 管理员仍需要密切关注双因素认证工具的采用情况，关注账号锁定、禁用双因素认证的用户或设备、可疑的历史登录等问题。理想情况下，IT 管理员能够通过统一的控制平台管理审计双因素认证工具。

3. 基于云的双因素认证如何解决部署问题

为应对业务上云趋势，企业对云双因素认证（MFA）的需求增加，基于云的双因素认证支持 VPN、虚拟化桌面、堡垒机等场景的身份认证，并支持企业根据场景需求灵活选择动态令牌认证形式，如手机 APP 令牌、推送认证等。云双因素认证以SaaS 订阅模式提供服务，让企业能够按需购买，即开即用，免安装运维，确保登录过程的流畅和便捷，主要通过以下方式提供出色的用户体验：

1）人性化设计

可在安卓、iOS 等不同系统运行，设置简单，用户只需下载手机 APP 绑定激活后就可获取动态密码。 此外，用户也可以选择推送认证的方式，只需点击个人手机或设备上出现的推送通知上的确认按钮即可完成登录认证。推送通知可用于单点登录（SSO）门户，访问办公所需资源，这也是用户最常使用双因素认证的场景。除了这些，用户在进行身份验证时（登录 Windows、Mac、Linux 设备或 RADIUS 服务器、修改密码等场景）都会用到动态密码（OTP）。

2）易于管理和故障排除

管理员可集中管理双因素认证工具，利用条件访问策略进行细粒度控制，基于某些特定条件的用户或设备才能启用双因素认证，例如仅为远程办公人员启用双因素认证。这样一来，管理员启用或禁用双因素认证就像控制开关一样简单。