Vorheriges Thema Nächstes Thema

Techniker

Techniker sind Endbenutzer mit spezifischen Privilegien, die ihnen erlauben, produktbezogene administrative Aufgaben durchzuführen. Um sich im ADSelfService Plus-Portal anzumelden und administrative Aufgaben auszuführen, müssen Techniker eine ADSelfService Plus-Lizenz zugewiesen bekommen. Die Techniker-Einstellungen Bericht (Konfiguration > Administrative Tools > Techniker) ermöglicht es Ihnen, die Techniker-Lizenzen im Lizenzierungs- Statusspalte zu überwachen, die den Lizenzstatus jedes Technikers anzeigt.

1. Domänenbasierte Techniker: Dies sind Techniker, die ein Konto im AD besitzen. Domänenbasierte Techniker haben nur Kontrolle über die Domäne, zu der sie gehören.
2. Produktbasierte Techniker: Diese Technikerkonten werden in ADSelfService Plus erstellt und verwenden ihre Produktkontodaten zur Authentifizierung. Produktbasierte Techniker haben die Kontrolle über alle in ADSelfService Plus konfigurierten Domänen.

Techniker können eine der folgenden Rollen zugewiesen werden:

1. Super Admin: Hat standardmäßig volle Kontrolle über die gesamte Anwendung.
2. Operator: Kann standardmäßig Operationen auditieren und Berichte in der Anwendung einsehen.

So weisen Sie Technikerrollen Berechtigungen zu

1. Gehen Sie zu Konfiguration > Administrative Tools > Techniker..
2. Klicken Sie auf Rolleneinstellungen.
3. Wählen Sie die gewünschte Rolle aus dem Dropdown-Menü aus.
4. Sie können nun wählen, ob Sie die angezeigten Berechtigungen zuweisen oder entfernen möchten.

So erstellen Sie einen Techniker

1. Gehen Sie zu Konfiguration > Administrative Tools > Techniker.
2. Klicken Sie auf die + Neuen Techniker hinzufügen Schaltfläche.
3. Wählen Sie den Technikertyp, die Rolle, die Domäne sowie Benutzer oder Gruppen aus den jeweiligen Dropdown-Menüs aus.

Wichtig: Wenn Domänenbasierter Techniker ausgewählt ist, kann sich der erstellte Techniker mithilfe seiner Windows-Anmeldedaten bei ADSelfService Plus anmelden.
4. Wenn Sie dem Techniker erlauben möchten, lokale Benutzer zu verwalten, wählen Sie die Option Verwaltung von localuser.domain delegieren aus.
5. Wenn Sie Produktbasierter Techniker im im Feld Technikertyp auswählen, müssen Sie die Anmeldedaten für diesen Techniker eingeben. Wenn

Wichtig: Wenn Produktbasierter Techniker ausgewählt ist, wird lediglich ein Konto in ADSelfService Plus erstellt. Der Techniker besitzt kein AD-Konto und muss die von Ihnen konfigurierten Anmeldedaten verwenden, um sich im Produkt anzumelden.
6. Klicken Sie auf Hinzufügen.

Erweiterten Einstellungen

Die Erweitert Option auf der Techniker-Einstellungen Seite erlaubt Ihnen die Konfiguration von MFA- und Passwortrichtlinieneinstellungen für Techniker, die Produktauthentifizierung verwenden.

Login-MFA

Sie können für Techniker spezialisierte MFA in diesem Abschnitt konfigurieren.

1. Gehen Sie zu Konfiguration > Administrative Tools > Techniker.
2. Klicken Sie auf Erweitert Klicken Sie unten rechts auf Login-MFA den Tab.

3. Aktivieren Sie MFA während der Anmeldung für Techniker, die Produktauthentifizierung verwenden: Aktivieren Sie diese Option, wenn ADSelfService Plus produktbasierte Techniker bei der Anmeldung zur Eingabe der konfigurierten MFA-Authentifikatoren für zusätzliche Sicherheit auffordern soll.

Hinweis: Diese MFA-Einstellungen werden auf alle produktbasierten Techniker angewendet, einschließlich des Standard-Administratorkontos. Dies führt dazu, dass Konten ohne Backup-Codes bei MFA-Fehler gesperrt werden. Sie können das Standard-Admin-Konto entsperren oder den Support kontaktieren , falls das Standard-Administratorkonto gesperrt ist.

Falls erforderlich, können Sie auch das Standard-Admin-Passwort mit diesen Schritten zurücksetzen.

4. Techniker müssen während der Anmeldung __ Authentifizierungsfaktor(en) erfüllen: Wählen Sie aus dem Dropdown-Menü die Anzahl der Authentifikatoren, die Techniker zur Anmeldung auffordern sollen.
5. Wählen Sie die erforderlichen Authentifikatoren aus: Wählen Sie aus dem Dropdown-Menü die Authentifikatoren aus, die Sie auf den Techniker anwenden möchten.
6. Klicken Sie auf Erweitert , um auf weitere Optionen zur Anpassung der Einstellungen für Techniker zuzugreifen.
7. CAPTCHA während des Login-MFA-Prozesses ausblenden in: Geben Sie die MFA-Seiten an, auf denen kein CAPTCHA angezeigt werden soll.
8. Leerlaufzeitlimit für den Login-MFA-Prozess beträgt __ min: Geben Sie das Leerlaufzeitlimit für den Login-MFA-Prozess an. Nach Ablauf der angegebenen Zeit muss der Techniker den MFA-Verifizierungsprozess erneut durchlaufen, wenn er die Verifikation bisher nicht abgeschlossen hat.
9. „Diesen Browser vertrauen“-Option läuft ab nach __: Wenn diese Option aktiviert ist, werden Benutzer für die angegebene Dauer nach der Anmeldung über vertrauenswürdige Browser nicht zur MFA aufgefordert. Geben Sie die Dauer des Vertrauenszeitraums in Tagen, Stunden oder Minuten an.
10. „Diesen Browser vertrauen“-Option standardmäßig auswählen: Aktivieren Sie diese Option, wenn das Kontrollkästchen „Diesen Browser vertrauen“ standardmäßig auf dem MFA-Verifizierungsbildschirm ausgewählt sein soll.
11. MFA Backup-Verifizierungscodes aktivieren: Klicken Sie auf diese Option, damit Administratoren Backup-Codes für Technikerkonten über den Bericht „MFA registrierte Benutzer“generieren können. Administratoren können die Spalte „MFA Backup-Code“ im Bericht „MFA registrierte Benutzer“ Bericht anzeigen lassen und Backup-Codes aus diesem Bericht generieren.

Passwort-Richtlinie

1. Gehen Sie zu Konfiguration > Administrative Tools > Techniker.
2. Klicken Sie auf Erweitert Klicken Sie unten rechts auf Passwort-Richtlinie den Tab.
3. Zeichenbeschränkung: Geben Sie an, wie viele Sonderzeichen, Zahlen und Unicode-Zeichen in einem Passwort verwendet werden sollen.

4. Wiederholungsbeschränkung: Begrenzen Sie die Verwendung von:
• aufeinanderfolgenden Zeichen (z. B. aaaa).
• Einer Zeichenfolge aus aufeinanderfolgenden Zeichen aus Benutzername und altem Passwort (z. B. user01).

5. Musterbeschränkung: Verhindern Sie, dass Techniker Tastatursequenzen, Wörterbuchwörter und Palindrome verwenden, oder stellen Sie sicher, dass ihre Passwörter bestimmten Kriterien entsprechen, indem Sie ein Regex-Muster erzwingen. Weitere Informationen zur Einstellung eines Regex-Musters hier.
Wichtiger Hinweis: Stellen Sie sicher, dass das Regex-Muster und andere Passwort-Richtlinienregeln nicht miteinander in Konflikt stehen. Wenn Sie eine Passwort-Richtlinie basierend auf einem Regex-Muster aktivieren, stellen Sie bitte sicher, dass der Login-Agent auf den Benutzergeräten auf Version 6.11 oder höher aktualisiert ist und die ADSelfService Plus-App auf Technikergeräten mindestens Version 1.7.2 oder 1.6.6 für Android- bzw. iOS-Geräte ist.

6. Länge einschränken: Legen Sie die maximale und minimale Passwortlänge fest.

7. Passwort-Stärken-Analyzer aktivieren: Aktivieren Sie diese Einstellung, um eine visuelle Darstellung der Passwortstärke bereitzustellen und Techniker zu komplexen Passwörtern zu ermutigen.
8. Sie können die Einstellungen auch so konfigurieren, dass alle Komplexitätsregeln außer Kraft gesetzt werden, wenn das Passwort eine vordefinierte Passwortlänge erfüllt. Sie können außerdem die Anzahl der Komplexitätsregeln angeben, die ein Passwort erfüllen muss.
9. Sichern Sie Technikerkonten, indem Sie überprüfen, ob deren Passwörter alle konfigurierten Passwort-Richtlinienregeln in ADSelfService Plus erfüllen und die Verwendung kompromittierter Passwörter durch die Have I Been Pwned-Integration bei jedem ADSelfService Plus Portal-Anmeldeversuch prüfen. Wenn die Passwörter die Anforderungen nicht erfüllen, werden die Techniker gezwungen, diese zu ändern.

Allgemein

• CAPTCHA auf der Seite zum Ändern des Passworts ausblenden: Sie können mit dieser Option wählen, das CAPTCHA auf der Seite zum Ändern des Passworts auszublenden.
• Verhindern, dass Techniker das Passwort in den Feldern zum Ändern des Passworts kopieren und einfügen: Sorgen Sie für zusätzliche Sicherheit, indem Sie verhindern, dass Techniker Passwörter in die Passwortfelder kopieren und einfügen.
• Passwort-Stärken-Analyzer aktivieren: Aktivieren Sie diese Option, um Technikern zu helfen, die Stärke ihrer Passwörter in Echtzeit zu analysieren, wenn sie ihre Passwörter zurücksetzen oder ändern.

Benutzer blockieren, die die Identitätsprüfung nicht bestehen

• Verwenden Sie die Erlaube maximal __ ungültige Versuche innerhalb von __ Minuten Option, um die maximale Anzahl fehlgeschlagener Verifizierungsversuche festzulegen, die ein Techniker innerhalb eines festgelegten Zeitintervalls hat. Techniker, die die hier angegebene Anzahl fehlgeschlagener Verifizierungsversuche überschreiten, werden blockiert.
Hinweis: Jeder fehlgeschlagene Versuch der Identitätsüberprüfung – sei es bei der Passworteingabe, der Eingabe des Backup-Codes, der OTP-Übermittlung (einschließlich während des Registrierungsprozesses) oder der MFA-Verifikation – wird auf das Maximum der möglichen Verifizierungsversuche angerechnet, bevor das Konto gesperrt wird. Gesperrte Benutzer können keine Passwörter zurücksetzen, Konten entsperren oder sich bei Anwendungen oder Endpunkten anmelden.

MFA-Fehler bei Verwendung von Duo Security oder Smart Card-Authentifizierung zählen nicht zu den fehlgeschlagenen Identitätsprüfungen, da diese Authentifizierer eigene Sperrmechanismen besitzen.



Sie können das Standard-Admin-Konto entsperren oder den Support kontaktieren , falls das Standard-Administratorkonto gesperrt ist.

Falls erforderlich, können Sie auch das Standard-Admin-Passwort mit diesen Schritten zurücksetzen.

• Mit der Benutzer für einen Zeitraum von __ Minuten blockieren-Option geben Sie folgendes an:
1. Die Anzahl der Minuten, für die der Techniker blockiert bleibt.
Beispiel: Angenommen, Sie haben maximal fünf ungültige Versuche festgelegt, das Zeitintervall auf 10 Minuten definiert und die Blockierdauer auf 30 Minuten gesetzt. Dies bedeutet, dass ein Techniker, der seine Identität fünfmal innerhalb eines Zeitraums von 10 Minuten nicht verifizieren kann, für 30 Minuten blockiert wird.
2. Wählen Sie Für immer (bis vom Administrator entsperrt) um Technikerkonten so zu konfigurieren, dass sie gesperrt bleiben, bis sie manuell vom Administrator entsperrt werden. Gesperrte Konten können vom Bericht über gesperrte Benutzer.


entsperrt werden. Techniker, die beim Zugriff auf Anwendungen oder Endpunkte oder beim Selbstzurücksetzen von Passwörtern oder dem Entsperren von Konten blockiert werden, können auf keinen Endpunkt zugreifen, der durch ADSelfService Plus geschützt ist, bis ihr Konto entsperrt wird.

Vorheriges Thema Nächstes Thema