员工 MFA（多因素身份验证）推广的最佳实践

MFA 的推广看起来像是一个安全项目，但大部分的痛点其实在于人员和运营。为一个小型工程团队开启 MFA 是一回事，而为销售人员、仓库平板电脑、共享前台机器、承包商、高管以及经常出差的人员开启 MFA 则是另一项完全不同的工作。 我见过的一个错误是将"发布公告"等同于"制定计划"。邮件发出，截止日期临近，随后支持团队就会被各种问题淹没：用户被锁定、旧手机无法使用、备份代码丢失，以及经理们因为某人在出差而要求豁免。安全目标是合理的，但推广过程却让人感到抵触，因为工作流程没有经过真实员工的测试。 我倾向于从一个小群体开始，并特意包含那些"棘手"的案例，而不仅仅是 IT 人员。挑选几名远程办公人员、几名时薪员工、几名在轮班期间手机使用受限的员工，以及一名负责审批他人访问权限的经理。这个试点项目将揭示哪些说明不够清晰，同时也能验证服务台是否能在不将每个工单都变成手动身份核查的情况下重置 MFA…