Multi-Faktor-Authentifizierung

Hinweis: Multi-Faktor-Authentifizierung (MFA) für Endpunkte, VPNs und SSO erfordert die Professional Edition von ADSelfService Plus mit Endpoint MFA. Siehe die Preisseite für weitere Details.

Die MFA von ADSelfService Plus ergänzt die herkömmliche Benutzername- und Passwort-basierte Authentifizierung mit einer zusätzlichen Sicherheitsebene (z. B. Biometrie, TOTP-Codes oder FIDO Passkeys), um die Identität eines Benutzers zu überprüfen. MFA bietet ein hohes Maß an Identitätsbestätigung für Zugriffsanfragen.

Sie können MFA in ADSelfService Plus aktivieren, um den Zugriff über folgende Wege zu sichern:

Endpoint MFA für Windows, macOS und Linux, einschließlich Offline-MFA für Windows- und macOS-Geräte
SSO für Unternehmensanwendungen
MFA für VPNs und alle Endpunkte, die RADIUS-Authentifizierung unterstützen, wie Citrix Gateway, VMWare Horizon und Microsoft Remote Desktop Gateway
MFA für Outlook im Web und das Exchange Admin Center (EAC)
Selbstständige Passwortzurücksetzungen und Kontosperren-Aufhebungen sowie Anmeldungen im ADSelfService Plus-Portal

Um MFA für diese Vorgänge zu aktivieren, führen Sie folgende Schritte aus:

Konfigurieren Sie die Authentifizierungsmethoden, die Sie für MFA verwenden möchten.
Aktivieren Sie die konfigurierten MFA-Methoden für die benötigten Ressourcen.

Bitte beachten Sie die Authentifikatoren-Seite für eine Liste unterstützter Authentifizierungsmethoden und deren Konfiguration.

In Kombination mit Conditional Access kann MFA für Endpunkte nur für High-Risk-Benutzer aktiviert werden, um sicherzustellen, dass risikoreiche Aktionen geschützt sind und gleichzeitig die Auswirkungen auf die Benutzererfahrung minimal bleiben. Mehr Informationen zu Conditional Access finden Sie unter hier klicken.

MFA für bestimmte Benutzergruppen aktivieren

ADSelfService Plus ermöglicht es, MFA für zwei Benutzergruppen zu konfigurieren:

Domänenbenutzer
Lokale Benutzer

Domänenbenutzer

Domänenbenutzer sind Teil einer AD-Domäne und werden typischerweise über den AD Synchronizer, der während der Domänenkonfiguration eingerichtet wurde, in ADSelfService Plus importiert..

Um MFA für Domänenbenutzer zu konfigurieren, weisen Sie diese zuerst einer Richtlinie zu. Sie können dann MFA-Einstellungen für diese Richtlinie anwenden und alle Benutzer in dieser Richtlinie erhalten MFA.

Gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration, wählen Sie eine Richtlinie aus und klicken Sie auf das Bearbeiten Symbol. Sie können auch eine neue Richtlinie erstellen, indem Sie auf Neue Richtlinie hinzufügen klicken.

Richtlinienkonfiguration in ADSelfService Plus.

Klicken Sie auf die Schaltfläche OUs/Gruppen auswählen und wählen Sie die spezifische Benutzergruppe aus, für die Sie MFA aktivieren möchten. Klicken Sie auf OK.

Tipp:Wählen Sie die Option Kind-OUs nicht erben aus, um nur die übergeordneten OUs auszuwählen.

Konfiguration bestimmter OUs für Richtlinien in ADSelfService Plus.

Wählen Sie die Passwort-Self-Service-Funktionen aus (Passwort zurücksetzen, Konto entsperren, Selbstaktualisierungoder Passwort ändern), die Sie für die ausgewählten Benutzer aktivieren möchten. Klicken Sie auf Richtlinie speichern.

Konfigurierte Richtlinien in ADSelfService Plus.

Gehen Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > Authentifikator Einrichten und wählen Sie eine Richtlinie aus dem Richtlinie auswählen Dropdown-Menü.
Konfigurieren Sie die Authentifizierungsmethoden, die für die ausgewählte Richtlinie aktiviert werden sollen.

Authentifikatoren in ADSelfService Plus.

Klicken Sie auf Speichern.

Tipp: Sie können unterschiedliche Authentifizierungsmethoden für verschiedene Richtliniengruppen konfigurieren. Beispielsweise kann Richtlinie 1 YubiKey-Authentifizierung erzwingen, während Richtlinie 2 SAML-Authentifizierung erzwingt usw.

Wie man die Registrierung für bestimmte Authentifizierungsmethoden erzwingt

Domänenbenutzer müssen sich selbst registrieren, indem sie die notwendigen Informationen entsprechend der aktivierten Authentifizierungsmethoden bereitstellen, um ihre Identität nachzuweisen. Wenn z. B. die biometrische Authentifizierung aktiviert ist, müssen Benutzer ihren Fingerabdruck oder ihr Gesicht mit der ADSelfService Plus Mobil-App scannen, bevor sie biometrische Daten für Passwortzurücksetzungen oder Endpunktanmeldungen verwenden können.

Um die Registrierung für bestimmte Authentifizierungsmethoden zu erzwingen:

Gehen Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > MFA Registrierung.
Wählen Sie die Option Benutzer müssen sich bei der Anmeldung am Endbenutzerportal registrieren . Dadurch wird verhindert, dass Benutzer andere Funktionen im Self-Service-Portal nutzen können, bevor sie ihre Registrierungsdaten eingegeben haben.
Wählen Sie die Option Erzwingen Sie diese Authentifikatoren während der Registrierung und wählen Sie die Authentifikatoren aus, die verpflichtend sein sollen.

MFA-Registrierung in ADSelfService Plus.

Sie können auch die Registrierungs-Registerkarte im Endbenutzerportal für registrierte Benutzer ausblenden.
Klicken Sie auf Einstellungen speichern.

Lokale Benutzer

Hinweis: Lokale Benutzer-MFA wird nur auf Windows-Geräten unterstützt und erfordert die Professional Edition von ADSelfService Plus mit Endpoint MFA.

Lokale Benutzer sind Konten, die direkt auf einem bestimmten Computer erstellt werden und nur auf diesem Gerät existieren. Sie werden nicht über eine Netzwerkdomäne verwaltet und authentifizieren sich mit lokal gespeicherten Anmeldedaten. Lokale Benutzer können sowohl auf eigenständigen als auch auf domänengebundenen Rechnern vorhanden sein und werden typischerweise für Administratorzugänge oder für die Anmeldung an Arbeitsgruppen- oder Offline-Systemen genutzt, die nicht auf ein zentrales Verzeichnis wie AD angewiesen sind. Hier klicken, um mehr zu erfahren.

Authentifikatoren und Funktionen, die von den verschiedenen MFA-Typen unterstützt werden

Diese Tabelle bietet detaillierte Informationen zu jedem MFA-Typ, einschließlich der unterstützten Authentifikatoren sowie der verfügbaren Einstellungen und Optionen zur Verbesserung der Funktionalität und Sicherheit des Authentifizierungsprozesses.

MFA-Typ	Unterstützte Authentifizierungsmethoden	Passwortloser Login	Backup-Wiederherstellungscodes	CAPTCHA
MFA für Self-Service-Aktionen über das Webportal	Alle von ADSelfService Plus unterstützten Authentifikatoren	Nicht anwendbar	Unterstützt	Unterstützt
Self-Service Aktionen vom GUI-Anmeldebildschirm für Windows-, macOS- und Linux-Geräte	Alle von ADSelfService Plus unterstützten Authentifikatoren. Smart-Card-Authentifizierung wird für macOS- und Linux-Geräte nicht unterstützt	Nicht anwendbar	Unterstützt	Unterstützt
MFA für Domänenbenutzeranmeldungen an Windows-, macOS- und Linux-Geräten	Alle von ADSelfService Plus unterstützten Authentifikatoren. Smart-Card-Authentifizierung wird für macOS- und Linux-Geräte nicht unterstützt	Nicht unterstützt	Unterstützt	Unterstützt
MFA für lokale Benutzeranmeldungen an Windows-Geräten^*	Sicherheitsfragen und -antworten E-Mail-Verifizierung SMS-Verifizierung Google Authenticator Microsoft Authenticator Duo Security RSA SecurID Zoho OneAuth TOTP Benutzerdefinierter TOTP Authentifikator	Nicht unterstützt	Unterstützt	Unterstützt
Offline MFA für Windows- und macOS-Anmeldungen	Google Authenticator Microsoft Authenticator Benutzerdefinierter TOTP Authentifikator Zoho OneAuth TOTP Authentifikator FIDO2 Passkeys	Nicht anwendbar	Nicht unterstützt	Nicht unterstützt
MFA für OWA und das EAC	Alle von ADSelfService Plus unterstützten Authentifikatoren	Nicht anwendbar	Unterstützt	Unterstützt
MFA für RADIUS-basierte VPNs, RDP und andere Endpunkte über die VPN Client-Verifizierungsoption	Einweg-Authentifikatoren Push-Benachrichtigung Biometrische Authentifizierung Herausforderungsbasierte Authentifikatoren ADSelfService Plus (TOTP) Authentifizierung Google Authenticator Microsoft Authenticator Yubico OTP (Hardware-Schlüssel-Authentifizierung) Zoho OneAuth TOTP Benutzerdefinierte TOTP Authentifizierung SMS- und E-Mail-basierte Verifizierungscodes	Nicht anwendbar	Unterstützt* (Backup-Codes können nur für herausforderungsbasierte Authentifikatoren verwendet werden)	Nicht anwendbar
MFA für RADIUS-basierte VPNs, RDP und andere Endpunkte über die Option „Über sichere Browserverbindung verifizieren“	Alle von ADSelfService Plus unterstützten Authentifikatoren	Nicht anwendbar	Unterstützt	Unterstützt
MFA für Cloud-Anwendungen	Alle von ADSelfService Plus unterstützten Authentifikatoren	Unterstützt	Unterstützt	Unterstützt
MFA für ADSelfService Plus-Anmeldungen	Alle von ADSelfService Plus unterstützten Authentifikatoren	Unterstützt	Unterstützt	Unterstützt

^*Lokale Benutzer-MFA sichert Anmeldungen und Peripheriezugriff auf eigenständigen und domänengebundenen Windows-Geräten, kann jedoch nicht für Self-Service-Aktionen, Cloud-Anwendungen oder andere domänenspezifische Endpunkte verwendet werden.

Die folgende Tabelle beschreibt die Fähigkeiten und Einschränkungen der einzelnen unterstützten MFA-Typen in ADSelfService Plus. Sie zeigt, ob Leerlaufzeitbegrenzungen und vertrauenswürdige Geräteoptionen verfügbar sind, und erklärt, wie das Produkt den Benutzerzugang handhabt, wenn die MFA-Registrierung unvollständig ist. Verwenden Sie dies als Referenz für die Konfiguration von MFA-Richtlinien basierend auf den Sicherheits- und Usability-Anforderungen Ihrer Organisation.

MFA-Typ	Kann eine Leerlaufzeitbegrenzung eingestellt werden?	Kann der Browser oder das Gerät als vertrauenswürdig eingestuft werden, sodass MFA für einen bestimmten Zeitraum nicht erforderlich ist?	Benutzeranmeldungen und Self-Service-Aktionen für nicht registrierte Benutzer einschränken:
MFA für Self-Service-Aktionen	Ja	Nein	Zugriff auf Self-Service-Aktionen verweigern, wenn Benutzer nicht registriert sind. Teilweise registrierte Benutzer können gezwungen werden, sich für die verbleibenden Authentifikatoren zu registrieren und mit Self-Service-Aktionen fortfahren.
MFA für Domänenbenutzeranmeldungen an Windows-, macOS- und Linux-Geräten	Ja	Ja	Maschienenanmeldungen für nicht registrierte Benutzer verweigern oder erlauben oder während des Anmeldeversuchs eine Registrierung erzwingen.
MFA für lokale Anmeldungen an Windows-Maschinen^*	Ja. Unterstützt nur Windows-Anmeldungen.	Ja. Unterstützt nur Windows-Anmeldungen.	Maschienenanmeldungen für nicht registrierte Benutzer verweigern oder erlauben.
MFA für Outlook im Web und EAC	Ja	Ja	Zugriff auf OWA und Exchange-Anmeldungen wird für nicht registrierte Benutzer standardmäßig verweigert.
MFA für RADIUS-basierte VPNs, RDP und andere Endpunkte über die VPN Client-Verifizierungsoption	Ja* (Eine Sitzungslimitierung ist festgelegt, um Benutzer dazu zu zwingen, die Authentifizierung innerhalb der angegebenen Zeit abzuschließen.)	Nein	Anmeldungen für nicht registrierte Benutzer verweigern oder erlauben.
MFA für RADIUS-basierte VPNs, RDP und andere Endpunkte über die Option Secure Link Email Verification	Ja* (Eine Inaktivitätszeitbegrenzung ist festgelegt, damit Benutzer die Authentifizierung innerhalb der angegebenen Zeit abschließen, und diese darf nicht länger als die Gültigkeitsdauer des sicheren Links sein.)	Nein	Anmeldungen für nicht registrierte Benutzer verweigern oder erlauben.
MFA für Cloud-Anwendungen	Ja	Ja	Cloud-Anwendungsanmeldungen für nicht registrierte Benutzer verweigern oder erlauben.
MFA für ADSelfService Plus-Anmeldungen	Ja	Ja	ADSelfService Plus-Anmeldungen für nicht registrierte Benutzer verweigern oder erlauben.

* Benutzer müssen sich für diese Methoden nicht registrieren, da sie bei der ersten Anmeldung automatisch registriert werden.

+ Diese Authentifikatoren sind nativ in der mobilen App und können im mobilen Browserportal nicht verwendet werden.

^*Lokales Benutzer-MFA kann konfiguriert werden, um Anmeldungen und Peripherieverbindungen von eigenständigen (Arbeitsgruppen-) und Domänen-gebundenen Windows-Maschinen zu sichern. Es kann nicht für Self-Service-Aktionen, Cloud-Anwendungen und andere Endpunkte konfiguriert werden, die für Domänenbenutzer gesichert werden können..

Von der ADSelfService Plus mobilen App und dem mobilen Browserportal unterstützte Authentifikatoren

ADSelfService Plus bietet 21 Arten von Authentifikatoren. Von diesen sind acht Basis-Authentifikatoren in jeder Edition von ADSelfService Plus verfügbar. Die anderen 13 sind erweiterte Authentifikatoren, die nur in der Professional Edition von ADSelfService Plus verfügbar sind..

Diese Tabelle bietet detaillierte Informationen zu den Basis- und erweiterten Authentifikatoren, die für MFA in der ADSelfService Plus mobilen App und dem mobilen Browserportal unterstützt werden, sowie zu den Möglichkeiten der Authentifikatorregistrierung in den beiden Konsolen.

Hinweis: Diese Informationen beziehen sich nur auf Domänenbenutzer. Lokale Benutzer können sich nicht im ADSelfService Plus mobilen Portal oder in der App anmelden.

Authentifikator	Authentifikatortyp	Mobiles Browserportal			Mobile App
Authentifikator	Authentifikatortyp	Können Benutzer den Authentifikator im mobilen Browserportal registrieren?	Wird der Authentifikator für MFA bei ADSelfService Plus-Anmeldungen unterstützt?	Wird der Authentifikator für MFA bei Self-Service-Aktionen unterstützt?	Können Benutzer den Authentifikator in der mobilen App registrieren?	Wird der Authentifikator für MFA bei Anmeldungen an die ADSelfService Plus Mobile App unterstützt?	Wird der Authentifikator für MFA bei Self-Service-Aktionen unterstützt?
Sicherheitsfragen und -antworten	Basis	Ja	Ja	Ja	Ja	Ja	Ja
E-Mail-Verifizierung	Basis	Ja	Ja	Ja	Ja	Ja	Ja
SMS-Verifizierung	Basis	Ja	Ja	Ja	Ja	Ja	Ja
Google Authenticator	Basis	Ja	Ja	Ja	Ja	Ja	Ja
Microsoft Authenticator	Basis	Ja	Ja	Ja	Ja	Ja	Ja
Duo Security	Erweiterter Authentifikator	Ja	Ja	Ja	Ja	Ja	Ja
Radius-Authentifizierung	Erweiterter Authentifikator	Nein*	Ja	Ja	Nein*	Ja	Ja
Push-Benachrichtigung	Erweiterter Authentifikator	Nein+	Nein+	Nein+	Ja	Nein	Nein
QR-Code-basierte Authentifizierung	Erweiterter Authentifikator	Nein+	Nein+	Nein+	Ja	Nein	Nein
Biometrische Authentifizierung	Erweiterter Authentifikator	Nein+	Nein+	Nein+	Ja	Ja	Ja
TOTP-Authentifizierung (mithilfe der ADSelfService Plus Mobile App)	Erweiterter Authentifikator	Nein+	Nein+	Nein+	Ja	Nein	Nein
AD-Sicherheitsfragen	Basis	Nein*	Ja	Ja	Nein*	Ja	Ja
Zoho OneAuth TOTP	Basis	Ja	Ja	Ja	Ja	Ja	Ja
Benutzerdefinierter TOTP-Authentifikator (Hardware-Token)	Basis	Ja	Ja	Ja	Ja	Ja	Ja
Benutzerdefinierter TOTP-Authentifikator (Software-Token)	Erweiterter Authentifikator	Ja	Ja	Ja	Ja	Ja	Ja
Smartcard-Authentifizierung	Erweiterter Authentifikator	Nein*	Nein	Nein	Nein*	Nein	Nein
SAML-Authentifizierung	Erweiterter Authentifikator	Nein*	Ja	Ja	Nein*	Ja	Ja
YubiKey-Authentifikator	Erweiterter Authentifikator	Ja	Ja	Ja	Ja	Ja	Ja
Azure AD MFA	Erweiterter Authentifikator	Nein*	Ja	Ja	Nein*	Ja	Ja
RSA SecurID	Erweiterter Authentifikator	Nein*	Ja	Ja	Nein*	Ja	Ja
FIDO-Passkeys	Erweiterter Authentifikator	Ja	Ja	Ja	Ja	Nein	Nein

* Benutzer müssen sich für diese Methoden nicht registrieren, da sie bei der ersten Anmeldung automatisch registriert werden.

+ Diese Authentifikatoren sind nativ in der mobilen App und können im mobilen Browserportal nicht verwendet werden.

Vorheriges Thema Nächstes Thema

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Ihnen so schnell wie möglich helfen.

Benötigen Sie technische Unterstützung?

Geben Sie Ihre E-Mail-ID ein
Experten kontaktieren

Finden Sie nicht, was Sie suchen?

Besuchen Sie unsere Community

Stellen Sie Ihre Fragen im Forum.
Zusätzliche Ressourcen anfordern

Senden Sie uns Ihre Anforderungen.
Benötigen Sie Implementierungshilfe?

Probieren Sie OnboardPro