Zurück zur vorherigenVorheriges Thema Nächstes Thema Weiter zur nächsten

Erweiterte Einstellungen

Der Erweiterte Tab unter Konfiguration > Multi-Faktor-Authentifizierung enthält wichtige Einstellungen, die Sie konfigurieren können, um das Verhalten des MFA-Prozesses für Passwortzurücksetzungen, ADSelfService Plus-Anmeldungen und Endpunktanmeldungen weiter zu steuern.

Domänenbenutzerrichtlinieneinstellungen
Lokale Benutzerrichtlinieneinstellungen

Allgemein

Über Backup-Codes

CAPTCHA-Einstellungen

CAPTCHA ausblenden in: Blenden Sie das CAPTCHA auf Seiten zur Zwei-Faktor-Authentifizierung aus, indem Sie es aus dem Dropdown-Menü auswählen.

MFA-Wiederherstellung

Aktivieren Sie MFA Backup-Verifizierungscodes: Wählen Sie diese Einstellung, um die Generierung der MFA-Backup-Codes zu aktivieren, mit denen Endbenutzer ihre Identität nachweisen können, wenn ihr MFA-Gerät oder Authentifikator nicht verfügbar ist.

Über Backup-Codes

Diese Einmalkodus-Backup-Codes ermöglichen es Benutzern, ihre Identität nachzuweisen, falls ihr MFA-Gerät nicht erreichbar ist oder sie ihre registrierten MFA-Authentifizierungsmethoden nicht verwenden können. Sobald die Aktivieren Sie MFA Backup-Verifizierungscodes Einstellung aktiviert ist, können die Backup-Codes generiert werden, und Endbenutzer können diese eingeben, um sich während der Anmeldung am Gerät oder VPN, beim Login im ADSelfService Plus-Portal oder bei Self-Service-Aktionen zu authentifizieren. Backup-Codes können auf zwei Arten generiert werden:

  • Vom Benutzer: Benutzer können Backup-Codes im Endbenutzerportal von ADSelfService Plus erzeugen. Jedes Mal werden fünf Codes generiert. Jeder Code kann nur einmal verwendet werden.
  • Vom Administrator: Administratoren können Backup-Codes auch für Benutzer generieren, die sich für MFA über den Bericht der registrierten Benutzer angemeldet haben. Dies ist hilfreich, wenn Benutzer keine eigenen Backup-Codes generiert haben und die registrierten MFA-Methoden nicht verwenden können. Mehr erfahren.
Hinweis:
  • Benutzer können Backup-Codes bei VPN-Anmeldungen nur verwenden, wenn authentifizierungsbasierte RADIUS-Challenge-Response-Methoden für VPN MFA-Login.
  • verwendet werden.
  • Während des VPN-MFA kann der generierte Backup-Code im Feld für Einmal-Passcodes am VPN-Client eingegeben werden. Wird die Identitätsprüfung mithilfe von Backup-Codes durchgeführt, werden die Diesem Browser vertrauen und Dieses Gerät vertrauen

Optionen nicht berücksichtigt.

Über Backup-Codes

MFA zurücksetzen/entsperren
  • MFA bei Passwortzurücksetzungen Begrenzen Sie die MFA-Leerlaufzeit während Passwortzurücksetzungen auf <text_box> Minute(n):
  • Durch Aktivieren Verweigern Sie Benutzern das Zurücksetzen von Passwörtern bei teilweiser Registrierung:
    Wenn diese OptionHinweis:
  • Benutzer zwingen, sich nach erfolgreicher Wenn diese Einstellung aktiviert ist, müssen Benutzer sich mit allen erforderlichen Authentifikatoren registrieren, nicht nur für Passwortzurücksetzungen, sondern auch für Anmeldungen an Endpunkten wie Geräten, VPNs, OWA und Anwendungen. Die Registrierung wird auch für Authentifikatoren erzwungen, die im MFA MFA-Registrierung
MFA bei Kontoentsperrungen
  • Begrenzen Sie die MFA-Leerlaufzeit während Kontoentsperrungen auf <text_box> Minute(n): Durch Aktivieren
  • Verweigern Sie Benutzern die Entsperrung von Konten bei teilweiser Registrierung: Wenn diese Option aktiviert ist, dürfen Endbenutzer, die den Registrierungsprozess nur teilweise abgeschlossen haben (z. B. zwei von vier Authentifizierungsmethoden), ihre Konten nicht entsperren, bis sie die Registrierung abgeschlossen haben. Wenn diese Option deaktiviert ist, müssen teilweise registrierte Benutzer die Registrierung nach der Authentifizierung abschließen.
    Hinweis: ADSelfService Plus Mobile-App-basierte Authentifikatoren werden bei Kontoentsperrungen nicht unterstützt.
  • Erzwinge Registrierung nach erfolgreicher MFA für Authentifikatoren, die für andere Endpunkte ausgewählt wurden: Wenn diese Einstellung aktiviert ist, müssen Benutzer sich mit allen erforderlichen Authentifikatoren registrieren, nicht nur für Kontoentsperrungen, sondern auch für Anmeldungen an Endpunkten wie Geräten, VPNs, OWA und Anwendungen. Die Registrierung wird auch für Authentifikatoren erzwungen, die im MFA-Registrierungs-Tab MFA-Registrierung

Endpunkt MFA

Maschinenanmelde-MFA

Hinweis: MFA für Maschinenanmeldungen erfordert die Professional mit Endpunkt MFA.

Diese sind richtlinienbasierte Einstellungen und werden durchgesetzt, wenn ein Benutzer, dem die Richtlinie zugewiesen ist, versucht, sich an einer maschinenbasierte.

Der Maschinenanmelde-MFA Der Abschnitt bietet Administratoren eine granulare Steuerung von MFA-Eingabeaufforderungen für Maschinen im

Über Backup-Codes

  • MFA für <Drop-down> aktivieren: Diese Einstellung erlaubt es Ihnen, MFA für interaktive

    Über Backup-Codes

    • Interaktive Anmeldung: Wenn aktiviert, ist MFA bei interaktiven oder GUI-basierten
    • User Account Control: Wenn diese Einstellung aktiviert ist, wird MFA für alle User
    • Maschinenentsperrungen: Durch Aktivieren dieser Einstellung wird MFA bei der Entsperrung von Windows
    Hinweis: Der MFA für die User Account Control aktivieren Option ist nur für Windows UAC

    MFA für Windows Maschinenentsperrungen erfordert die Professional mit Endpoint MFA.
  • MFA für Remote Desktop-Zugang während: aktivieren Mit dieser Einstellung kann der Administrator MFA so konfigurieren, dass es bei Verbindungen mit Maschinen über RDP erforderlich ist, um RDP-Verbindungen zu Maschinen mit einer zusätzlichen Authentifizierungsebene abzusichern.

    Über Backup-Codes

  • MFA kann auf zwei Arten für Remote Desktop-Zugänge konfiguriert werden:
    • RDP-Server-Authentifizierung: Wenn diese Einstellung aktiviert ist, werden alle eingehenden Remote Desktop-Verbindungen zu Windows-Maschinen, auf denen der ADSelfService Plus-Login-Agent installiert ist, per MFA authentifiziert und geschützt.
    • RDP-Client-Authentifizierung: Diese Einstellung kann aktiviert werden, um MFA für alle ausgehenden Remote Desktop-Verbindungen über die Windows Remote Desktop-Anwendung (mstsc.exe) auf Maschinen zu verlangen, auf denen der ADSelfService Plus-Login-Agent installiert ist. Unterstützt wird diese Einstellung ab Version 5.10 des ADSelfService Plus Windows-Login-Agenten. Sie gilt für Windows 7 und höher sowie Windows Server 2008 R2 und höher.

      Um MFA für die RDP-Client-Authentifizierung zu aktivieren, müssen die folgenden Voraussetzungen erfüllt sein:

      • Netzwerkebenen-Authentifizierung muss aktiviert sein. Sie können die Netzwerkebenen-Authentifizierung über Gruppenrichtlinien aktivieren, indem Sie zu Windows-Komponenten > Remote.
      • Um MFA bei Remote Desktop-Verbindungen in einer Multi-Forest-AD-Umgebung zu verlangen, dieses.
      • Hinweis: Wenn beide Optionen aktiviert sind, kann dies zu doppelter MFA-Verifizierung führen,

      Mit der RDP-Client-Authentifizierung können Sie den Remotezugriff mittels MFA nur für Benutzer schützen, bedingten Zugriff..
  • Der Ablauf der MFA bei Maschinenanmeldung kann __ Min inaktiv sein: Durch Aktivieren dieser Einstellung wird eine Zeitbegrenzung festgelegt, innerhalb der Benutzer den MFA-Prozess zur Anmeldung an ihren Maschinen abschließen müssen.
  • Skippen von MFA, wenn der ADSelfService Plus-Server nicht erreichbar oder ausgefallen ist: Diese Option stellt sicher, dass Benutzer sich nicht auf dem Anmeldebildschirm ihrer Maschine blockieren, wenn der ADSelfService Plus-Server nicht erreichbar ist oder ausgefallen ist. Dies bedeutet jedoch auch den Verzicht auf die erweiterte Sicherheitsebene von MFA, was nicht empfohlen wird. Zur Vermeidung solcher Situationen sollte Offline-MFA eingesetzt werden. Diese Einstellung ist nicht anwendbar, wenn:
    • Offline-MFA konfiguriert ist und der Benutzer bei Offline-MFA auf seinem Gerät registriert ist.
    • Maschinenbasierte MFA im Gerät erzwungen wird.
  • Maschinen als vertrauenswürdig für __ Tag(e) speichern: Wenn diese Einstellung aktiviert ist, können Benutzer, die sich einmal erfolgreich mit MFA an der Maschine angemeldet haben, bei weiteren Anmeldungen den MFA Prozess überspringen. Dadurch wird vermieden, dass Benutzer jedes Mal MFA durchlaufen müssen, wenn sie ihre Maschine sperren und entsperren. Der Status des vertrauenswürdigen Geräts wird nach der angegebenen Anzahl von Tagen aufgehoben.
  • Die Option „Dieses Gerät vertrauen“ standardmäßig ausgewählt lassen: Diese Einstellung sorgt dafür, dass auf dem MFA-Authentifizierungsbildschirm standardmäßig das Kontrollkästchen für „Dieses Gerät vertrauen“ aktiviert ist.
  • __ wenn der Benutzer nicht für MFA registriert ist: Diese Einstellung legt den Authentifizierungsablauf für den Benutzer fest, wenn er für keine der Authentifikatoren für die Maschinenanmelde-MFA registriert ist. Der Administrator kann eine der folgenden Aktionen konfigurieren:
    • Anmeldungen erlauben: Der Benutzer darf die Maschinenanmelde-MFA umgehen und Zugriff auf die Maschine erhalten.
    • Anmeldungen verweigern: Der Benutzer wird vom Zugriff ausgeschlossen.
    • Registrierung erzwingen:
      • Der Benutzer wird gezwungen, sich nach erfolgreicher primärer Authentifizierung für die Authentifikatoren für Online- und Offline-MFA zu registrieren.
      • Diese Option gilt nur für Windows- und macOS-Maschinen. Wenn ein Benutzer nicht registriert ist und diese Option aktiviert ist, wird ihm der Zugriff auf seine Linux-Maschine verweigert.
      • Wichtig:
      • Authentifikatoren, die sowohl für Online als auch Offline MFA benötigt werden, werden gemeinsam betrachtet. Wenn ein Benutzer für keine der benötigten Authentifikatoren für Online- und Offline-MFA registriert ist, gilt er als nicht registriert. Alternativ gilt er als teilweise registriert, wenn er für mindestens einen erforderlichen Authentifikator einer der beiden Anmeldemethoden registriert ist.
      • Diese Einstellung gilt nur für nicht registrierte Benutzer. Sie gilt nicht für teilweise registrierte Benutzer; diese werden stattdessen nach dem Bestehen der MFA mit den registrierten Authentifikatoren gezwungen, sich für die restlichen Authentifikatoren zu registrieren.
      • Wenn Authentifikatoren ausgewählt sind, für die Benutzer sich nicht selbst registrieren können – wie z. B. benutzerdefinierte Hardware-TOTP-Token und AD-Sicherheitsfragen – wird ihnen trotz aktivierter erzwingender Registrierung der Zugriff verweigert, da nur der Administrator sie registrieren kann.
      • Wenn maschinenbasierte Benutzern das Ausführen von Offline-MFA nach _ Tagen/Versuchen verbieten:
  • Wenn diese Einstellung aktiviert ist, ist Offline-MFA auf eine bestimmte Anzahl von Tagen oder Versuchen beschränkt, und Benutzer müssen sich bei Erreichen des Limits mit ADSelfService Plus verbinden. Offline-MFA erfordert die
    Hinweis: Es wird empfohlen, einen für Ihre organisatorischen Anforderungen geeigneten Wert einzustellen. Niedrigere Werte können dazu führen, dass Benutzer keinen Zugriff mehr auf die Maschine erhalten. Professional mit Endpoint MFA.
    • Es wird empfohlen, diese Einstellung zu aktivieren, da alle Änderungen an der Self-Service-Richtlinie, MFA-Konfigurationen, erweiterten Einstellungen und Modifikationen bezüglich der Offline-MFA-Registrierung erst wirksam werden, nachdem angemeldete Benutzer MFA online durchlaufen haben.
    • Dieses Limit wird zurückgesetzt, wenn der jeweilige Benutzer sich auf der betreffenden Maschine online authentifiziert.
    • Benutzer zwingen, ihr Gerät nach erfolgreicher Online-Authentifizierung für Offline-MFA zu registrieren:
  • Wenn diese Einstellung aktiviert ist, wird das Gerät nach erfolgreichem Bestehen der Online-MFA auf einer Maschine automatisch für Offline-MFA registriert, ohne dass der Benutzer benachrichtigt wird. Ist die Einstellung nicht aktiviert, kann der Benutzer wählen, ob er sein Gerät für Offline-MFA registriert oder diesen Schritt überspringt. When this setting is enabled, once a user completes online MFA in a machine, it is automatically enrolled for offline MFA without notifying the user. If not enabled, the user can choose to enroll their machine for offline MFA or skip it.

OWA Login MFA

Hinweis: MFA für OWA-Anmeldungen erfordert die Professional mit Endpoint MFA.

Über Backup-Codes

  • Begrenzen Sie die inaktive MFA-Zeit während OWA-Anmeldungen auf <text_field> Min: Wenn diese Einstellung aktiviert ist, läuft die Benutzersitzung ab, wenn der Benutzer für das angegebene Zeitintervall inaktiv ist.
  • Skippen von MFA, wenn der ADSelfService Plus-Server nicht erreichbar oder ausgefallen ist: Aktivieren Sie diese Option, wenn Sie Situationen vermeiden möchten, in denen Benutzer keinen Zugriff auf OWA oder das Exchange-Administrationscenter haben, wenn der ADSelfService Plus-Server ausgefallen oder nicht erreichbar ist. Beachten Sie jedoch, dass durch Aktivierung dieser Option auf die erweiterte Sicherheitsebene der MFA verzichtet wird, wenn der ADSelfService Plus-Server ausgefallen oder nicht erreichbar ist, was nicht empfohlen wird. Um solche Umstände zu vermeiden, sollten Sie ADSelfService Plus mit Hochverfügbarkeit oder Lastenausgleich bereitstellen.
    Hinweis: Beim Aktivieren oder Deaktivieren des Überspringen der MFA, wenn der ADSelfService Plus-Server ausgefallen oder nicht erreichbar ist Options für OWA MFA müssen Sie auch den entsprechenden Registrierungsschlüssel auf dem Computer ändern, auf dem der ADSelfService Plus OWA Connector installiert ist, damit die Einstellungen wirksam werden.

    So gehen Sie vor:

    Schritt 1: Öffnen Sie den Registrierungseditor (geben Sie regedit in das Ausführen-Dialogfeld ein) auf dem

    Computer, auf dem der OWA Connector installiert ist. Schritt 2:

    Navigieren Sie zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus IIS MFA Module. Schritt 3: Setzen Sie die Eigenschaft

    BypassMFAOnConnectionError

  • auf TRUE oder FALSE, je nachdem, ob Sie möchten, dass die MFA umgangen wird, wenn während der Authentifizierung Verbindungsprobleme bestehen. Es wird empfohlen, vor der Bearbeitung eine Sicherung des Registrierungsschlüssels anzulegen. Nur Mitglieder der integrierten lokalen Administratorgruppe auf dem Computer haben das Recht, diesen Schlüssel zu bearbeiten.
  • Vertrauen für einen Browser nach __ Tagen ablaufen lassen: Wenn diese Einstellung aktiviert ist, können Benutzer, die sich einmal mit MFA für OWA angemeldet haben, bei nachfolgenden Anmeldungen die MFA-Authentifizierung überspringen. Durch das Aktivieren dieser Einstellung wird es den Benutzern erleichtert, bei jeder Anmeldung an OWA oder dem Exchange-Administrationscenter nicht jedes Mal den MFA-Prozess durchlaufen zu müssen. Der Status des vertrauenswürdigen Browsers wird nach der angegebenen Anzahl von Tagen widerrufen.
  • Die Option "Diesem Browser vertrauen" standardmäßig aktiviert lassen: Durch Aktivieren dieser Einstellung können Sie das Kontrollkästchen neben "Diesem Browser vertrauen" auf dem MFA-Authentifizierungsbildschirm standardmäßig aktivieren.

    MFA überspringen, wenn der Benutzer nicht für die erforderlichen Authentifikatoren registriert ist:

Wenn diese Option deaktiviert ist, können sich nicht registrierte Benutzer nicht in ihrem OWA-Portal anmelden. Teilweise registrierte Benutzer gelten als nicht registriert. Ist diese Option aktiviert, wird die MFA für nicht registrierte Benutzer übersprungen. Bei teilweise registrierten Benutzern ist eine MFA-Verifizierung mit den von ihnen registrierten Authentifikatoren erforderlich, wonach sie zur vollständigen Registrierung der Authentifikatoren gezwungen werden, die für die MFA bei OWA-Anmeldungen verwendet werden.

Hinweis: Aktivieren Sie diese Option, wenn Sie Situationen vermeiden möchten, in denen Benutzer keinen Zugriff auf OWA oder das Exchange-Administrationscenter haben, wenn der Benutzer nicht für die erforderlichen Authentifikatoren registriert ist. Beachten Sie jedoch, dass durch Aktivierung dieser Option Anmeldungen ohne Erfüllung der in der Richtlinie festgelegten Authentifikatoren möglich sind. Deshalb wird empfohlen, diese Option zu deaktivieren, sobald alle Benutzer in dieser Richtlinie für MFA registriert sind. VPN Login MFA mit Endpoint MFA.

  • MFA für VPN-Anmeldungen erfordert die Professional Edition von ADSelfService Plus

    Über Backup-Codes

    Hinweis: VPN-MFA-Sitzung für <number> Minuten gültig halten:
  • Durch Aktivieren dieser Einstellung wird eine Zeitbegrenzung für den zweiten Authentifizierungsfaktor während der VPN-Anmeldung festgelegt. Wenn Sie z. B. zwei Minuten einstellen, müssen Benutzer den Code eingeben oder die Benachrichtigung genehmigen, je nach aktiviertem Authentifizierungsverfahren, innerhalb von zwei Minuten. Wenn Ihr VPN-Server die Konfiguration des RADIUS-Timeout-Limits zulässt, stellen Sie es auf einen Wert ein, der größer ist als die von Ihnen in dieser Einstellung konfigurierte Sitzungszeit.

    Über Backup-Codes

  • Skippen von MFA, wenn der ADSelfService Plus-Server nicht erreichbar oder ausgefallen ist: Der VPN-Login-MFA-Prozess kann für <number> Minuten inaktiv sein:
    Hinweis: Diese Inaktivitätszeit darf nicht größer sein als die Ablaufzeit der sicheren Verbindung, die standardmäßig 30 Minuten beträgt. Aktivieren Sie diese Option, wenn Sie nicht möchten, dass Benutzer während der VPN-Anmeldung am Anmeldebildschirm hängen bleiben, wenn der ADSelfService Plus-Server offline oder nicht erreichbar ist. Diese Konfiguration gilt für alle Richtlinien. Beim Aktivieren oder Deaktivieren der

    So gehen Sie vor:

    Schritt 1: Öffnen Sie den Registrierungseditor (geben Sie regedit Option "MFA überspringen, wenn der ADSelfService Plus-Server ausgefallen oder nicht erreichbar ist"

    Computer, auf dem der OWA Connector installiert ist. für VPN MFA müssen Sie auch den entsprechenden Registrierungsschlüssel auf dem Computer ändern, auf dem die ADSelfService Plus NPS Extension installiert ist, damit die Einstellungen wirksam werden.

    Navigieren Sie zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus IIS MFA Module. Schritt 3: Setzen Sie die Eigenschaft

    BypassMFAOnConnectionError

  • Die Option "Diesem Browser vertrauen" standardmäßig aktiviert lassen:

    im Ausführen-Dialogfeld) auf dem

    • Computer, auf dem die NPS Extension installiert ist.
    • Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS
    Hinweis: Extension.

    VPN-Client-Überprüfung:

    • Wenn diese Option aktiviert ist, wird MFA für nicht registrierte Benutzer übersprungen. Wenn diese Option deaktiviert ist, können sich nicht registrierte Benutzer nicht bei ihrem VPN anmelden..
      • Hinweis: Teilweise registrierte Benutzer gelten als nicht registriert und dürfen die MFA überspringen.

      SecureLink-E-Mail-Verifizierung:

    • Wenn diese Option aktiviert ist, wird MFA für nicht registrierte Benutzer übersprungen. Ist der Benutzer teilweise registriert, ist eine MFA-Verifizierung mit den vom Benutzer registrierten Authentifikatoren erforderlich und nach erfolgreicher MFA-Verifizierung mit dem/dem registrierten Authentifikator(en) wird der Benutzer gezwungen, die Registrierung der Authentifikatoren abzuschließen, die für die MFA per
    • SecureLink-E-Mail-Verifizierung

  • verwendet werden sollen. Ein Benutzer mit einer gültigen primären oder sekundären E-Mail-Adresse gilt automatisch als teilweise für MFA via SecureLink-E-Mail-Verifizierung registriert.
    Hinweis: Ein Benutzer ohne gültige primäre oder sekundäre E-Mail-Adresse gilt als nicht registriert.

Aktivieren Sie diese Option, wenn Sie Situationen vermeiden möchten, in denen Benutzer keinen Zugriff auf ihr VPN haben, wenn der Benutzer nicht für die erforderlichen Authentifikatoren registriert ist. Beachten Sie jedoch, dass durch Aktivierung dieser Option Anmeldungen ohne Erfüllung der in der Richtlinie festgelegten Authentifikatoren möglich sind. Es wird empfohlen, diese Option zu deaktivieren, sobald alle Benutzer in dieser Richtlinie für MFA registriert sind.

  1. Wenn diese Option deaktiviert ist, können sich nicht registrierte Benutzer nicht bei ihrem VPN anmelden. Teilweise registrierte Benutzer gelten als nicht registriert. Zusätzliche Attribute als Antwort an den VPN-Server nach erfolgreicher MFA senden:Aktivieren Sie diese Option, wenn Sie zusätzliche Attribute an den VPN-Server oder andere RADIUS-Endpunkte senden möchten. Diese Attribute werden nur nach erfolgreicher MFA an den VPN-Anbieter gesendet und vom VPN-Server zur Bestimmung des Zugriffslevels der einzelnen Benutzer für weitere Zwecke verwendet. Die vollständige Liste der unterstützten Attribute finden Sie in der Dokumentation Ihres VPN-Anbieters. Bitte aktualisieren Sie die NPS Extension auf Version 2.3 oder höher, um diese Funktion nutzen zu können.
  2. Zusätzliche Attribute konfigurieren Wenn Sie versuchen, diese Funktion zu aktivieren, bevor Sie die Attribute konfiguriert haben, wird ein Pop-up-Fenster zum Konfigurieren angezeigt. Klicken Sie OK . Sie können auch auf den Attribute konfigurieren

    MFA für OWA-Login

  3. Link klicken. Sie können die Standard- oder [ oder Anbieter-spezifischen
  4. Attribute und die entsprechenden Werte konfigurieren, die an die VPN-Anbieter (andere RADIUS-Endpunkte) gesendet werden sollen. Geben Sie die Anbieter-ID durch Klicken auf die, Bearbeiten]-Schaltfläche ein. Die Anbieter-ID ist die eindeutige Nummer, die Ihren VPN-Anbieter kennzeichnet. Beispielsweise ist die Anbieter-ID bei Fortigate 12356. Wählen Sie den Typ

    des Attributs und geben Sie die Attributnummer, Format und Wert in den angezeigten Feldern ein..

    Für Attribute im String- Format sollten die Werte aus Zeichen bestehen, und für die Attribute im in den angezeigten Feldern ein.int- Format sollten die Werte aus Ganzzahlen bestehen. Für Wählen Sie den enum-

    Attribute, die mehrere vordefinierte Werte enthalten, geben Sie den gewünschten Wert in Bezug auf deren zugeordnete Wählen Sie den enum-

    ein. Zum Beispiel, wenn Sie 10.1.1.1Login als.

  5. service-type- Zusätzliche Attribute als Antwort an den VPN-Server nach erfolgreicher MFA senden: Attribut verwenden möchten, geben Sie 1 in das
  6. Feld ein. Falls Attribute im IPv4- oder IPv6-Adressformat vorliegen, geben Sie bitte eine gültige IP-Adresse in ein.

Zum Beispiel sieht Ihre IPv4-Adresse so aus:

Andere Backup-Codes

  • , und Ihre IPv6-Adresse kann so aussehen: 2001:0db8:85a3::8a2e:0370:7334
    Hinweis: Klicken Sie auf Professional mit Endpoint MFA.

    , nachdem Sie alle erforderlichen Attribute konfiguriert haben. Wird die Identitätsprüfung mithilfe von Backup-Codes durchgeführt, werden die Nach erfolgreicher Konfiguration wird die

  • Einstellung "Zusätzliche Attribute als Antwort an den VPN-Server nach erfolgreichem Abschluss der MFA senden" aktiviert.
  • Cloud-Anwendungen Login MFA Passwortlose Anmeldungen aktivieren:
  • Erzwinge Registrierung nach erfolgreicher MFA für Authentifikatoren, die für andere Endpunkte ausgewählt wurden: Diese Einstellung ermöglicht es Benutzern, auf Anwendungen und das
  • Self-Service-Portal ohne Passwort zuzugreifen. Bitte verweisen Sie auf diese Seite für weitere Informationen. Passwortlose Anmeldungen für Cloud-Anwendungen erfordern die
  • Bitte beachten Sie, dass die Einstellung für Benutzer deaktiviert wird, für die die passwortlose Anmeldung aktiviert ist, um Sicherheitsschwachstellen zu vermeiden. Wenn passwortlose Anmeldungen erzwungen werden, muss sich der Benutzer jedes Mal authentifizieren, wenn er versucht, auf die Anwendung zuzugreifen.

Begrenzen Sie die inaktive MFA-Zeit während der Anmeldung bei Cloud-Apps auf <text_field> Min:

Durch Aktivierung dieser Einstellung wird eine Zeitbegrenzung für die Benutzer gesetzt, um den MFA-Prozess abzuschließen.

Über Backup-Codes

  • , und Ihre IPv6-Adresse kann so aussehen: Erzwingen Sie die Registrierung für nicht registrierte Benutzer nach erfolgreicher Kennwortverifizierung: Wenn diese Einstellung aktiviert ist, werden Benutzer beim ersten Anmelden nicht gezwungen, den MFA-Prozess zu durchlaufen. Stattdessen werden sie nach erfolgreicher Kennwortverifizierung aufgefordert, sich zu registrieren. Durch Aktivierung dieser Einstellung stellen Sie sicher, dass sich Benutzer mit allen erforderlichen Authentifikatoren registrieren, nicht nur für Cloud-Anmeldezugänge, sondern auch für MFA bei Passwortzurücksetzung und Kontoentsperrung sowie bei Maschinen-, VPN-, OWA- und ADSelfService Plus-Anmeldungen. Die Registrierung wird auch für Authentifikatoren erzwungen, die im MFA-Registrierungstab als obligatorisch festgelegt sind.
    Hinweis: , nachdem Sie alle erforderlichen Attribute konfiguriert haben. Wird die Identitätsprüfung mithilfe von Backup-Codes durchgeführt, werden die Lassen Sie die Option 'Diesem Browser vertrauen' standardmäßig aktiviert:
  • Wenn diese Option aktiviert ist, ist das Kontrollkästchen "Diesem Browser vertrauen" standardmäßig im MFA-Verifizierungsbildschirm ausgewählt. Diese Einstellung ist nicht anwendbar, wenn passwortlose Anmeldungen aktiviert sind. Lassen Sie das Vertrauen für einen Browser nach ___ Tag(en) ablaufen:
  • Cloud-Anwendungen Login MFA Passwortlose Anmeldungen aktivieren:
  • Erzwinge Registrierung nach erfolgreicher MFA für Authentifikatoren, die für andere Endpunkte ausgewählt wurden: Wenn diese Option aktiviert ist, müssen Benutzer für die angegebene Anzahl von Tagen keine MFA durchführen, wenn sie sich mit vertrauenswürdigen Browsern bei ADSelfService Plus anmelden. Diese Einstellung gilt nicht bei aktiviertem Passwortlos-Login.
  • Self-Service-Portal ohne Passwort zuzugreifen. Bitte verweisen Sie auf diese Seite für weitere Informationen. Applications MFA
  • auf TRUE oder FALSE, je nachdem, ob Sie möchten, dass die MFA umgangen wird, wenn während der Authentifizierung Verbindungsprobleme bestehen. ADSelfService Plus Login MFA

Diese Einstellung ermöglicht es Benutzern, auf Anwendungen und das

Self-Service-Portal ohne Passwort zuzugreifen. Bitte verweisen Sie auf

Andere Backup-Codes

  • diese Seite für weitere Informationen.
  • Die Einstellung wird für Benutzer deaktiviert, für die passwortloses Login aktiviert ist, um Sicherheitslücken zu vermeiden. Wenn passwortloses Login erzwungen wird, muss sich der Benutzer jedes Mal authentifizieren, wenn er versucht, auf die Anwendung zuzugreifen. Begrenzen Sie die inaktive MFA-Zeit während der ADSelfService Plus-Portal-Anmeldungen auf __ Min: Durch Aktivieren dieser Einstellung wird eine Zeitbegrenzung gesetzt, um den MFA-Prozess abzuschließen. (Durch Aktivierung dieser Einstellung wird sichergestellt, dass sich Benutzer mit allen erforderlichen Authentifikatoren registrieren, nicht nur für ADSelfService Plus-Anmeldungen, sondern auch für MFA bei Passwortzurücksetzung und Kontoentsperrung sowie bei Maschinen-, VPN-, OWA- und Cloud-Anwendungsanmeldungen. Die Registrierung wird auch für Authentifikatoren erzwungen, die im MFA-Registrierungstab als obligatorisch festgelegt sind.).
  • Wenn diese Option aktiviert ist, ist das Kontrollkästchen "Diesem Browser vertrauen" im MFA-Verifizierungsbildschirm standardmäßig aktiviert. Wenn diese Option aktiviert ist, müssen Benutzer für die angegebenen Tage keine MFA durchführen, wenn sie sich mit vertrauenswürdigen Geräten bei ADSelfService Plus anmelden.
  • Q&A-Einstellungen Frageeinstellungen

Zeigen Sie __ Sicherheitsfragen von <no_of_available_questions> zufällig an:

  • Mit dieser Option können Sie die Anzahl der Fragen definieren, die dem Endbenutzer angezeigt werden. Die Fragen werden von ADSelfService Plus zufällig aus der verfügbaren Liste der Sicherheitsfragen ausgewählt, die unter den Sicherheit Frage- und Antwort-Einstellungen konfiguriert sind. Zeigen Sie __ AD-Sicherheitsfragen von <no_of_available_questions> zufällig an:
  • Wählen Sie diese Option, um die Anzahl der AD-Sicherheitsfragen festzulegen, die während des Identitätsprüfungsprozesses gestellt werden sollen. Die Fragen werden von ADSelfService Plus zufällig aus der verfügbaren Liste der Sicherheitsfragen ausgewählt, die unter AD-Sicherheit Fragen

Konfiguration

Andere Backup-Codes

  • > Mehrfaktor-Authentifizierung > Authentifikatoren-Einrichtung > AD-Sicherheitsfragen konfiguriert sind.
  • Sicherheitsfragen nacheinander anzeigen: Dies verhindert, dass Benutzer dieselbe Antwort auf mehrere Fragen geben.
  • Verhindern Sie, dass Benutzer ein Wort aus der Sicherheitsfrage in ihren Antworten verwenden: Dadurch wird verhindert, dass Benutzer Wörter aus den Fragen als Antworten kopieren.
  • Erzwingen Sie, dass Benutzer nur englische Zeichen (a-z), Zahlen (0-9) und Symbole verwenden: Dies stellt sicher, dass Benutzer nur alphanumerische Zeichen und Symbole in ihren Antworten verwenden.
  • Sicherheitsantworten mit reversibler Verschlüsselung speichern: Wenn diese Option aktiviert ist, werden die Sicherheitsantworten als Klartext in der ADSelfService Plus-Datenbank gespeichert. Die Antworten können im Bericht Sicherheitsfragen und -antworten angezeigt werden.
  • Sicherheitsantworten mit dem Algorithmus ___ speichern: Wählen Sie diese Option, um die Antworten auf Sicherheitsfragen mit dem MD5- oder SHA-512-Algorithmus zu verschlüsseln und zu speichern.

Einstellungen für den Verifizierungscode

Mail-/Mobil-Attribute

Andere Backup-Codes

  • Wählen Sie den Typ des Attributs (Mail OK Mobil) den Sie aus der Typ auswählen Drop-down-Liste anzeigen möchten.
  • service-type- Attribut hinzufügen um ein neues Attribut hinzuzufügen, das die E-Mail-Adressen oder Mobilnummern der Benutzer enthält.

Sekundäre E-Mail/Mobilnummer

Andere Backup-Codes

  • Verhindern, dass bereits eingeschriebene <drop-down> erneut eingeschrieben werden: Verwenden Sie diese Option, um zu verhindern, dass mehrere Benutzer sich mit derselben sekundären E-Mail-Adresse und/oder Mobilnummer im Produkt anmelden.
  • Zulassen OK E-Mail-Adressen aus den folgenden Domains blockieren <domain_dropdown>: Verwenden Sie diese Option, um bestimmte E-Mail-Domains zu blockieren oder zuzulassen. Wenn Sie Blockieren wählen, können Benutzer E-Mail-Adressen von jeder Domain außer der aufgelisteten Domain(en) hinzufügen. Wenn Sie Zulassen wählen, wird sichergestellt, dass Benutzer nur vertrauenswürdige E-Mail-Diensteanbieter zur Empfangnahme von Verifizierungscodes nutzen. Sie können dieses Feld leer lassen, um nach Auswahl von Zulassen jede Domain zu erlauben.
  • Zulassen OK Folgende Mobilnummernformate blockieren __: Verwenden Sie diese Option, um bestimmte Mobilnummernformate zu blockieren oder zuzulassen. Wenn Sie Blockieren wählen, können Benutzer Mobilnummern in jedem Format außer den aufgelisteten Formaten hinzufügen. Die Auswahl Zulassen stellt sicher, dass Benutzer Mobilnummern nur in den konfigurierten Formaten eingeben. Sie können dieses Feld leer lassen, um nach Auswahl von Zulassen jedes Format zu erlauben.
    Hinweis: Wenn Sie nicht möchten, dass Benutzer sekundäre E-Mail-Adressen oder Mobilnummern registrieren, deaktivieren Sie diese Einstellungen:
    • Zulassen oder Blockieren von E-Mail-Adressen aus den folgenden Domains __
    • Zulassen oder Blockieren der folgenden Mobilnummernformate __
  • Wählen Sie die Durchsetzung: Verwenden Sie diese Einstellung, um zu konfigurieren, ob die Hinzufügung sekundärer E-Mail-Adressen und Mobilnummern für Benutzer obligatorisch oder optional ist. Die verfügbaren Optionen sind:
    • Diese Registrierung optional machen.
    • Benutzer zwingen, eine E-Mail-Adresse zu registrieren.
    • Benutzer zwingen, eine Mobilnummer zu registrieren.
    • Benutzer zwingen, sowohl eine E-Mail-Adresse als auch eine Mobilnummer zu registrieren.
  • Maximale Anzahl der sekundären E-Mail-Anmeldungen auf __ begrenzen: Verwenden Sie diese Einstellung, um die maximale Anzahl sekundärer E-Mail-Adressen pro Benutzer festzulegen. Sie können zwischen einer und zehn sekundären E-Mail-Adressen erlauben.
  • Maximale Anzahl der sekundären Mobilnummernanmeldungen auf __ begrenzen: Verwenden Sie diese Einstellung, um die maximale Anzahl sekundärer Mobilnummern pro Benutzer festzulegen. Sie können zwischen einer und zehn sekundären Mobilnummern erlauben.

Sonstiges

Andere Backup-Codes

  • Länge des Verifizierungscodes auf ___ Stellen setzen: Verwenden Sie diese Einstellung, um die Anzahl der Ziffern im Verifizierungscode festzulegen.
  • ‘E-Mail-ID/Mobilnummer auswählen’ als Standardwert in der Mail/Mobil-Dropdown-Liste anzeigen: Wenn diese Option aktiviert ist, wird E-Mail-ID/Mobilnummer auswählenals Standardwert in der E-Mail/Mobil-Dropdown-Liste während der Identitätsprüfung angezeigt.
  • Teilweise E-Mail-ID und Mobilnummer auf MFA-Seiten ausblenden: Diese Option blendet während des Identitätsprüfungsprozesses teilweise die E-Mail-Adresse und Mobilnummer des Benutzers aus.
  • Schritt ‘E-Mail-Adresse/Mobilnummer auswählen’ überspringen und Verifizierungscode automatisch auslösen: In einigen Fällen hat sich der Benutzer mit mehreren E-Mail-Adressen oder Mobilnummern in ADSelfService Plus angemeldet. Standardmäßig zeigt das Produkt dem Benutzer eine Dropdown-Liste, um die E-Mail-Adresse oder Mobilnummer auszuwählen, an die der Verifizierungscode gesendet wird. Ist die Option Schritt ‘E-Mail-Adresse/Mobilnummer auswählen’ überspringen und Verifizierungscode automatisch auslösen aktiviert, wird diese Dropdown-Liste nicht angezeigt und der Code wird direkt an die primäre E-Mail-Adresse des Benutzers gesendet, die basierend auf Folgendem ermittelt wird:
    • E-Mail-Adresse oder Mobilnummer, die vom Endbenutzer während der Selbstregistrierung oder vom Administrator während der automatischen Registrierung via CSV oder externen Datenbanken angegeben wurde (je nachdem, was aktueller ist).
    • E-Mail-Adressen oder Mobilnummern, die mit dem Active Directory-Benutzerobjekt verknüpft sind. Administratoren können die zu verwendenden Mail- oder Mobil-Attribute für die Richtlinie im Erweiterte Abschnitt der MFA-Einstellungen wie im Screenshot unten gezeigt konfigurieren. Um diese Einstellungen in der Produkt-GUI zu finden, melden Sie sich am ADSelfService Plus Admin-Portal an und navigieren Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung (MFA) > Erweitert > Verifizierungscode > Mail/Mobil-Attribute.

    Konfiguration

  • Admin/Manager in der Identitätsprüfungs-E-Mail, die an Benutzer gesendet wird, in CC setzen: Verwenden Sie diese Einstellung, um die E-Mail-Adresse des Managers oder Admins des Benutzers in die CC-Zeile der Verifizierungscode-E-Mail aufzunehmen, die an den Benutzer gesendet wird. So geht’s:
    • Aktivieren Sie das Kontrollkästchen neben dieser Einstellung.
    • Link klicken. E-Mail-Adresse des Admins im E-Mail-ID enum-
    • service-type- Manager hinzufügen um die E-Mail-Adresse des Managers des Benutzers hinzuzufügen.

Allgemein

Übersicht der allgemeinen lokalen Benutzer-MFA-Erweiterte Konfigurationseinstellungen

CAPTCHA-Einstellungen

CAPTCHA ausblenden in: Blenden Sie das CAPTCHA auf Seiten zur Zwei-Faktor-Authentifizierung aus, indem Sie es aus dem Dropdown-Menü auswählen.

MFA-Wiederherstellung

MFA-Backup-Verifizierungscodes aktivieren: Wählen Sie diese Einstellung, um lokalen Benutzern zu ermöglichen, ihre Identität mit einem Backup-Code zu bestätigen, wenn ihr MFA-Gerät oder Authenticator nicht verfügbar ist. Lokale Benutzer müssen ihren Admin für einen Backup-Code kontaktieren, der aus dem Bericht MFA-eingeschriebene Benutzer.

Über Backup-Codes

generiert werden kann. Diese einmalig verwendbaren Backup-Codes ermöglichen es Benutzern, ihre Identität zu verifizieren, falls ihr MFA-Gerät nicht erreichbar ist oder sie ihre registrierten MFA-Methoden nicht nutzen können. Sobald die Option MFA-Backup-Verifizierungscodes aktivieren aktiviert ist, können die Backup-Codes vom Administrator aus dem Bericht MFA-eingeschriebene Benutzergeneriert werden, und Endbenutzer können diese bei der Authentifizierung während der Geräteanmeldung und Windows-Anmeldeaktionen eingeben.

Hinweis: Während des VPN-MFA kann der generierte Backup-Code im Feld für Einmal-Passcodes am VPN-Client eingegeben werden. und Optionen werden nicht berücksichtigt. Backup-Codes für lokale Benutzer können nicht von ihnen selbst generiert werden und müssen vom Administrator bereitgestellt werden.

Benutzer sperren, die die Identitätsprüfung nicht bestehen

  1. Geben Sie im Benutzer sperren, die die Identitätsprüfung nicht bestehen Abschnitt die maximale Anzahl ungültiger MFA-Versuche innerhalb eines festgelegten Zeitraums an. Verwenden Sie die Maximal __ ungültige Versuche innerhalb von __ Min zulassen Option, um das Limit zu definieren, nach dessen Überschreitung der Benutzer gesperrt wird.

    Wenn diese Option: Jeder Fehlschlag bei der Identitätsprüfung, sei es bei der Passworteingabe, der Eingabe eines Backup-Codes, der OTP-Abgabe oder MFA-Verifizierung, zählt zum maximalen Verifizierungsversuchslimit, bevor das Konto gesperrt wird. Gesperrte Benutzer können sich nicht an Endgeräte anmelden.

    MFA-Fehler bei Verwendung von Duo Security werden nicht als Identitätsprüfungsfehler gezählt, da Duo über einen eigenen Sperrmechanismus verfügt.

  2. Verwenden Sie die Benutzer für eine Dauer von __ Min sperren Option, um Folgendes anzugeben:
    • Die Anzahl der Minuten, für die der Benutzer gesperrt bleibt.
      • Beispiel: Wenn Sie z. B. maximale ungültige Versuche auf fünf, das Zeitintervall auf 10 Minuten und die Sperrdauer auf 30 Minuten festlegen, bedeutet das, dass Benutzer beim fünften Fehlschlag der Identitätsprüfung innerhalb 10 Minuten für 30 Minuten gesperrt werden.
    • Wählen Sie Für immer (bis von Admin entsperrt) um Benutzerkonten so zu konfigurieren, dass sie blockiert bleiben, bis ein Administrator sie manuell entsperrt.

Ein lokaler Windows-Benutzer, der beim Zugriff auf einen geschützten maschinellen Endpunkt gesperrt wird, wird am Zugriff auf alle anderen von ADSelfService Plus geschützten Endpunkte blockiert, bis sein Konto entsperrt wird.

Endpunkt MFA

Maschinenanmelde-MFA

Hinweis: MFA für Maschinenanmeldungen erfordert die Professionelle Edition von ADSelfService Plus mit Endpoint MFA.

Dies sind richtlinienbasierte Einstellungen, die angewandt werden, wenn sich ein lokaler Benutzer, der dieser Richtlinie unterliegt, an einer Arbeitsgruppen- oder Domänen-Maschine anmeldet. Je nach Konfiguration kann MFA auf Maschinen umgangen werden, wenn der Benutzer nicht registriert ist. Um MFA auf Maschinen unabhängig vom Registrierungsstatus durchzusetzen, konfigurieren Sie bitte maschinenbasierte MFA.

Der Maschinenanmelde-MFA Abschnitt bietet Administratoren eine granularere Steuerung der MFA-Aufforderungen auf lokalen Maschinen.

Übersicht der Endpoint-MFA lokalen Benutzer-MFA-Erweiterte Konfigurationseinstellungen

  • MFA für <drop-down> aktivieren: Mit dieser Einstellung können Sie MFA für interaktive Anmeldungen, User Account Control (UAC) und Maschinenentsperrungen aktivieren.

    • Übersicht der über ADSelfService Plus geschützten Maschinenendpunkte für lokale Benutzer

    • Interaktive Anmeldung: Wenn aktiviert, wird MFA bei interaktiven oder GUI-basierten Anmeldungen auf Windows-Maschinen benötigt. Benutzer können nach erfolgreicher Identitätsprüfung weitere Aktionen ausführen.
    • User Account Control: Wenn diese Einstellung aktiviert ist, wird MFA für alle User Account Control (UAC)-Anmeldeaufforderungen benötigt, und die gewünschte Aktion kann nur nach erfolgreicher Identitätsprüfung durchgeführt werden. Diese Einstellung ist kompatibel mit Windows 7 und höher sowie Windows Server 2008 und höher. Unterstützt in Version 6.12 und höher des ADSelfService Plus Windows-Anmeldeagents.

      • Hinweis: Der MFA für die User Account Control aktivieren Option nur für Windows-UAC-Aufforderungen verfügbar, die Benutzeranmeldeinformationen erfordern.

    • Maschinenentsperrungen: Diese Einstellung erzwingt MFA beim Entsperren von Windows-Maschinen.
  • MFA für Remote Desktop-Zugriff bei RDP-Serverauthentifizierung aktivieren: Wenn diese Einstellung aktiviert ist, werden alle eingehenden Remote Desktop-Verbindungen zu Windows-Maschinen mit installiertem ADSelfService Plus-Anmeldeagent mit MFA authentifiziert und geschützt.
  • Der Ablauf der MFA bei Maschinenanmeldung kann __ Min inaktiv sein: Durch Aktivieren dieser Einstellung wird eine zeitliche Begrenzung festgelegt, innerhalb derer Benutzer den MFA-Prozess für die Anmeldung an ihren Maschinen abschließen müssen.
  • Skippen von MFA, wenn der ADSelfService Plus-Server nicht erreichbar oder ausgefallen ist: Diese Option verhindert, dass Benutzer während des MFA-Prozesses auf dem Anmeldebildschirm ihrer Maschinen hängen bleiben, wenn der ADSelfService Plus-Server nicht erreichbar ist. Dies bedeutet jedoch auch den Verzicht auf die erweiterte Sicherheitsstufe von MFA, was nicht empfohlen wird. Um solche Umstände zu vermeiden, implementieren Sie Offline-MFA. Diese Einstellung ist nicht anwendbar, wenn:
    • Offline-MFA konfiguriert ist und der Benutzer für Offline-MFA auf seinem Gerät registriert ist.
    • Maschinenbasierte MFA im Gerät erzwungen wird.
  • Maschinen als vertrauenswürdig für __ Tag(e) speichern: Wenn diese Einstellung aktiviert ist, können Benutzer, die sich einmal mit MFA für die Maschinenanmeldung angemeldet haben, bei nachfolgenden Anmeldungen die MFA-Authentifizierung überspringen. Diese Einstellung hilft Benutzern, den MFA-Prozess nicht bei jeder Sperrung und Entsperrung ihrer Maschinen durchlaufen zu müssen. Der Status der vertrauenswürdigen Maschine wird nach der angegebenen Anzahl von Tagen widerrufen.
  • Die Option „Dieses Gerät vertrauen“ standardmäßig ausgewählt lassen: Durch Aktivierung dieser Einstellung kann das Kontrollkästchen neben Diesen Computer vertrauen auf dem MFA-Authentifizierungsbildschirm standardmäßig aktiviert bleiben.
  • __ wenn der Benutzer nicht für MFA registriert ist: Diese Einstellung bestimmt den Authentifizierungsablauf für Benutzer, die sich nicht bei einem Authenticator für Machine login MFA registriert haben. Der Administrator kann festlegen, dass eine der folgenden Aktionen ausgeführt wird:
    • Anmeldungen erlauben: Dem Benutzer wird erlaubt, die Machine login MFA zu umgehen und Zugriff auf die Maschine zu erhalten.
    • Anmeldungen verweigern: Der Benutzer wird vom Zugriff ausgeschlossen.
    • Registrierung erzwingen:
      • Der Benutzer wird gezwungen, sich mit den Authenticatoren für Online-MFA und Offline-MFA erst nach erfolgreicher primärer Authentifizierung zu registrieren.
      • Diese Option gilt nur für Windows- und macOS-Maschinen. Wenn ein Benutzer nicht registriert ist und diese Option gewählt wird, wird ihm der Zugriff auf seine Linux-Maschine verweigert.
    Hinweis:
    • Für Online- und Offline-MFA erforderliche Authenticatoren werden gemeinsam betrachtet, sodass ein Benutzer, der für keinen der Authenticatoren registriert ist, als nicht registriert gilt. Wenn er für mindestens einen Authenticator registriert ist, gilt er als teilweise registriert.
    • Diese Einstellung gilt nur für nicht registrierte Benutzer. Teilweise registrierte Benutzer werden stattdessen gezwungen, sich nach Abschluss der MFA mit den registrierten Authenticatoren für die restlichen Authenticatoren zu registrieren.
    • Wenn Authenticatoren ausgewählt sind, die Benutzer nicht selbst registrieren können – wie benutzerdefinierte Hardware-TOTP-Token und AD-Sicherheitsfragen –, wird der Zugriff auch bei erzwungener Registrierung verweigert, da nur der Administrator eine Registrierung durchführen kann.
    • Wenn maschinenbasierte MFA Wird erzwungene Registrierung aktiviert, wird diese Einstellung außer Kraft gesetzt, und Benutzer, die für keinen Authenticator registriert sind, werden den Zugriff verweigert; teilweise registrierte Benutzer werden gezwungen, sich für die verbleibenden erforderlichen Authenticatoren zu registrieren.
  • Wenn diese Einstellung aktiviert ist, ist Offline-MFA auf eine bestimmte Anzahl von Tagen oder Versuchen beschränkt, und Benutzer müssen sich bei Erreichen des Limits mit ADSelfService Plus verbinden. Wenn diese Einstellung aktiviert ist, ist Offline-MFA auf eine bestimmte Anzahl von Tagen oder Versuchen beschränkt, und Benutzer müssen sich nach Erreichen dieses Limits erneut mit ADSelfService Plus verbinden.
    • Es wird empfohlen, einen Wert entsprechend den Anforderungen Ihrer Organisation festzulegen. Zu niedrige Werte könnten Benutzer ohne Zugriff auf die Maschine zurücklassen.
    • Es wird empfohlen, diese Einstellung zu aktivieren, da alle Änderungen an der Self-Service-Richtlinie, MFA-Konfigurationen, erweiterten Einstellungen und Offline-MFA-Anmeldungsänderungen nur dann auf den Maschinen der registrierten Benutzer wirksam werden, wenn sie MFA online abgeschlossen haben.
    • Dieses Limit wird zurückgesetzt, wenn der Benutzer die Online-Authentifizierung auf der jeweiligen Maschine durchführt.
  • Gerät des Benutzers automatisch für Offline-MFA nach erfolgreicher Online-Authentifizierung registrieren: Wenn diese Einstellung aktiviert ist, wird ein Benutzergerät automatisch für Offline-MFA registriert, sobald der Benutzer MFA online auf der Maschine abgeschlossen hat, ohne dass der Benutzer benachrichtigt wird. Ist es nicht aktiviert, wird die Maschine für Offline-MFA übersprungen.

Q&A-Einstellungen

Self-Service-Portal ohne Passwort zuzugreifen. Bitte verweisen Sie auf

Übersicht der erweiterten Frage- und Antwort-Einstellungen in ADSelfService Plus

  • diese Seite Mit dieser Option können Sie die Anzahl der dem Endbenutzer anzuzeigenden Fragen definieren. Die Fragen werden von ADSelfService Plus zufällig aus der verfügbaren Liste der unter Sicherheitsfrage- und Antwort-Einstellungen konfigurierten Sicherheitsfragen ausgewählt.
  • Wenn diese Option aktiviert ist, ist das Kontrollkästchen "Diesem Browser vertrauen" im MFA-Verifizierungsbildschirm standardmäßig aktiviert. Durch Aktivieren dieser Option werden die Sicherheitsfragen nacheinander (d. h. eine Frage pro Seite) angezeigt.
  • Alle Sicherheitsfragen anzeigen: Wenn Sie diese Option wählen, werden alle Sicherheitsfragen gleichzeitig auf einer einzelnen Seite angezeigt.

Zeigen Sie __ Sicherheitsfragen von <no_of_available_questions> zufällig an:

  • Mit dieser Option können Sie die Anzahl der Fragen definieren, die dem Endbenutzer angezeigt werden. Die Fragen werden von ADSelfService Plus zufällig aus der verfügbaren Liste der Sicherheitsfragen ausgewählt, die unter den Sicherheit Frage- und Antwort-Einstellungen konfiguriert sind. Diese Option erzwingt Groß- und Kleinschreibung bei den Antworten der Benutzer.
  • Wählen Sie diese Option, um die Anzahl der AD-Sicherheitsfragen festzulegen, die während des Identitätsprüfungsprozesses gestellt werden sollen. Die Fragen werden von ADSelfService Plus zufällig aus der verfügbaren Liste der Sicherheitsfragen ausgewählt, die unter Diese Option blendet Sicherheitsantworten standardmäßig aus.

Konfiguration

Übersicht der Antwortverstärker in ADSelfService Plus

  • > Mehrfaktor-Authentifizierung > Authentifikatoren-Einrichtung > AD-Sicherheitsfragen Dies verhindert, dass Benutzer ihren Benutzernamen als Antwort verwenden.
  • Sicherheitsfragen nacheinander anzeigen: Dies verhindert, dass Benutzer dieselbe Antwort auf mehrere Fragen geben.
  • Verhindern Sie, dass Benutzer ein Wort aus der Sicherheitsfrage in ihren Antworten verwenden: Dies verhindert, dass Benutzer Wörter aus den Fragen als Antworten kopieren.
  • Erzwingen Sie, dass Benutzer nur englische Zeichen (a-z), Zahlen (0-9) und Symbole verwenden: Dies stellt sicher, dass Benutzer nur alphanumerische Zeichen und Symbole in ihren Antworten verwenden.
  • Sicherheitsantworten mit reversibler Verschlüsselung speichern: Diese Option speichert die Sicherheitsantworten als Klartext in der ADSelfService Plus-Datenbank. Die Antworten können im Bericht Sicherheitsfragen und -antworten angezeigt werden.
  • Sicherheitsantworten mit dem Algorithmus ___ speichern: Wählen Sie diese Option zum Verschlüsseln und Speichern der Antworten auf Sicherheitsfragen mit MD5 oder SHA-512.

Verifizierungscode-Einstellungen

E-Mail- und Mobilgeräte-Attribute

Übersicht der erweiterten Einstellungen für Verifizierungscodes in ADSelfService Plus

Sekundäre E-Mail/Mobilnummer

  • Verhindern, dass bereits eingeschriebene <drop-down> erneut eingeschrieben werden: Verwenden Sie diese Option, um zu verhindern, dass mehrere Benutzer sich mit derselben sekundären E-Mail-Adresse und/oder Mobilnummer registrieren.
  • E-Mail-Adressen aus den folgenden E-Mail-Domains zulassen/blockieren <domain_dropdown>: Mit dieser Option können Sie bestimmte E-Mail-Domains blockieren oder zulassen. Wenn Sie wählen Blockieren, können Benutzer E-Mail-Adressen von jeder Domain außer den aufgelisteten Domains hinzufügen. Wahl von Zulassen Zugelassen
  • /Blockieren der folgenden Mobilnummernformate __ : Verwenden Sie diese Option, um bestimmte Mobilnummernformate zu blockieren oder zuzulassen. Wenn Sie wählen BlockierenZulassen Zulassen.
  • , können nur Mobilnummern im aufgelisteten Format eingeschrieben werden. Sie können dieses Feld leer lassen, um nach Wahl von Zulassen jedes Format zu erlauben. Verwenden Sie diese Einstellung, um die maximale Anzahl zulässiger sekundärer E-Mail-Adressen-Anmeldungen pro Benutzer festzulegen. Sie können zwischen einer und 10 sekundären E-Mail-Adressen zulassen.
  • Begrenzen Sie die Anzahl der sekundären Mobilnummer-Anmeldungen auf __ : Verwenden Sie diese Einstellung, um die maximale Anzahl zulässiger sekundärer Mobilnummer-Anmeldungen pro Benutzer festzulegen. Sie können zwischen einer und 10 sekundären Mobilnummern zulassen.

Sonstiges

Übersicht der anderen erweiterten Einstellungen in ADSelfService Plus

  • Länge des Verifizierungscodes auf ___ Stellen setzen: Verwenden Sie diese Einstellung, um die Anzahl der Ziffern im Verifizierungscode festzulegen.
  • 'Select Email ID/Mobile No.' als Standardwert in der E-Mail/Mobil-Dropdownliste anzeigen als Standardwert: Wenn diese Option aktiviert wird, wird Select Email ID/Mobile No. als Standardwert in der E-Mail/Mobil-Dropdownliste während der Identitätsverifizierung angezeigt.
  • E-Mail-ID/Mobilnummer auf MFA-Seiten teilweise ausblenden: Diese Option blendet die E-Mail-Adresse und die Mobilnummer des Benutzers während des Identitätsverifizierungsprozesses teilweise aus.
  • Schritt "E-Mail-Adresse/Mobilnummer wählen" überspringen und Verifizierungscode automatisch senden: In manchen Fällen hat sich der Benutzer in ADSelfService Plus mit mehreren E-Mail-Adressen oder Mobilnummern registriert. Standardmäßig zeigt das Produkt dem Benutzer eine Dropdown-Liste zur Auswahl der E-Mail-Adresse oder Mobilnummer, an die der Verifizierungscode gesendet werden soll. Wenn jedoch die Option "Schritt 'E-Mail-Adresse/Mobilnummer wählen' überspringen und Verifizierungscode automatisch senden" aktiviert ist, wird diese Dropdown-Liste nicht angezeigt und der Code wird direkt an die sekundäre E-Mail-Adresse des Benutzers gesendet.
  • Admin in CC der an Benutzer gesendeten E-Mail zur Identitätsverifizierung aufnehmen: Verwenden Sie diese Einstellung, um die E-Mail-Adresse des Admins in der CC-Zeile der an den Benutzer gesendeten Verifizierungscode-E-Mail einzufügen. Gehen Sie dazu folgendermaßen vor:
    • Aktivieren Sie das Kontrollkästchen neben dieser Einstellung.
    • Geben Sie die E-Mail-Adresse des Admins im Feld E-Mail-ID ein.

service-type- Speichern um diese Einstellungen auf lokale Benutzer anzuwenden, die bei ADSelfService Plus registriert sind.

Zurück zur vorherigen Vorheriges Thema Nächstes Thema Weiter zur nächsten

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Ihnen so bald wie möglich helfen.

 

Benötigen Sie technische Unterstützung?

  • Geben Sie Ihre E-Mail-ID ein
  • Sprechen Sie mit Experten
  •  
     
  •  
  • Mit einem Klick auf 'Sprechen Sie mit Experten' stimmen Sie der Verarbeitung personenbezogener Daten gemäß der Datenschutzbestimmungen.

Finden Sie nicht, wonach Sie suchen?

  •  

    Besuchen Sie unsere Community

    Stellen Sie Ihre Fragen im Forum.

     
  •  

    Fordern Sie zusätzliche Ressourcen an

    Senden Sie uns Ihre Anforderungen.

     
  •  

    Benötigen Sie Unterstützung bei der Implementierung?

    Probieren Sie OnboardPro

     

Copyright © 2026, ZOHO Corp. Alle Rechte vorbehalten.