Lokales Benutzer-MFA für Windows

Lokales Benutzer-MFA in ADSelfService Plus stärkt die Zugriffssicherheit für lokale Benutzerkonten, die direkt auf einer Windows-Maschine erstellt und gespeichert werden, anstatt in einem zentralisierten Verzeichnis wie Active Directory. Diese Konten authentifizieren sich mit lokal gespeicherten Anmeldeinformationen und werden häufig in Arbeitsgruppenumgebungen, auf eigenständigen oder DMZ-Systemen sowie für lokale administrative Aufgaben auf domänenverbundenen Endpunkten verwendet.

ADSelfService Plus erhöht die Sicherheit dieser Konten durch Erzwingung von MFA für wichtige Windows-Anmeldeszenarien, einschließlich:

Windows-Maschinen-Anmeldungen
Maschinenentsperrungen
User Account Control (UAC)-Aufforderungen
Remote Desktop Protocol (RDP)-Sitzungen

Maschinenbasiertes MFA für Computer mit lokalen Benutzern kann für folgende Maschinentypen aktiviert werden:

Arbeitsgruppencomputer
Maschinen innerhalb einer DMZ
Domänenverbundene Computer

Funktionsweise von lokalem Benutzer-MFA

Wenn lokales Benutzer-MFA aktiviert ist, erstellt ADSelfService Plus eine virtuelle Domäne mit dem Namen localusers.domain. Alle lokalen Benutzerkonten und Arbeitsgruppenmaschinen mit installiertem ADSelfService Plus-Anmeldeagent sind unter dieser virtuellen Domäne gruppiert, um die Verwaltung zu erleichtern. Der Authentifizierungsablauf verläuft wie folgt:

Ein lokaler Benutzer versucht sich anzumelden, die Maschine zu entsperren oder eine RDP-Sitzung zu starten.
Die Windows Local Security Authority (LSA) validiert die Anmeldeinformationen des Benutzers (Benutzername und Passwort).
Nach erfolgreicher Primärauthentifizierung ruft der ADSelfService Plus-Anmeldeagent sekundäre Authentifizierungsmethoden basierend auf der konfigurierten Richtlinie für localusers.domain auf.
Der Anmeldeagent kommuniziert mit dem ADSelfService Plus-Server, um eine MFA-Verifizierung anzufordern.
ADSelfService Plus validiert die MFA-Antwort und sendet den Authentifizierungsstatus an den Anmeldeagent zurück.
Wenn MFA erfolgreich ist, gewährt die LSA den Zugriff und der Benutzer wird an der Windows-Maschine angemeldet.

So funktioniert die lokale Benutzer-MFA in ADSelfService Plus

Abb.1: Funktionsweise von lokalem Benutzer-MFA in ADSelfService Plus

Voraussetzungen

Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie lokales Benutzer-MFA konfigurieren.

Sie müssen die ADSelfService Plus Professional Edition mit Endpoint MFA haben.
SSL muss aktiviert sein. Um dies zu aktivieren, melden Sie sich mit Admin-Anmeldedaten an der ADSelfService Plus-Webkonsole an. Navigieren Sie zu Admin > Product Settings > Connection. Wählen Sie die ADSelfService Plus Port [https] Option. Siehe diesen Leitfaden , um zu erfahren, wie Sie ein SSL-Zertifikat beantragen und HTTPS aktivieren.
Die Zugriffs-URL muss auf HTTPS eingestellt sein. Navigieren Sie dazu zu Admin > Product Settings > Connection > Connection Settings > Configure Access URL und setzen Sie Protocol auf HTTPS.
Der ADSelfService Plus Windows-Anmeldeagent muss Version 6.12 oder höher sein.

Hinweis: Alle vorhandenen Agents auf domänenverbundenen Maschinen, für die Sie lokales Benutzer-MFA aktivieren möchten, müssen aktualisiert auf Version 6.12 werden.

Zielmaschinen müssen Netzwerkverbindung zum ADSelfService Plus-Server für Online-MFA-Verifizierung haben.

Einschränkungen

Allgemein:

Lokales Benutzer-MFA wird nur auf Windows-Maschinen unterstützt.
Lokales Benutzer-MFA wird für Microsoft-Konten (MSA) nicht unterstützt.
Selbstregistrierung wird für lokale Benutzer nicht unterstützt. Administratoren müssen Benutzer über CSV-Import oder externe Datenbanksynchronisation registrieren.
Der Windows-Anmeldeagent kann nicht remote auf Nicht-Domänen-(Arbeitsgruppen-)Maschinen über die ADSelfService Plus-Konsole verteilt werden; die Installation muss manuell oder über Drittanbieter-Deployment-Tools erfolgen.

Registrierung:

Benutzernamen müssen innerhalb von localusers.domain eindeutig sein. Wenn zwei verschiedene Arbeitsgruppenmaschinen lokale Konten mit demselben Benutzernamen haben, kann nur eines davon registriert werden.
Wenn der Benutzername eines lokalen Benutzers auf der Windows-Maschine geändert wird, muss der Benutzer mit dem aktualisierten Benutzernamen in ADSelfService Plus neu registriert werden.

Offline-MFA:

Offline-MFA wird für Windows 10 Version 1803 nicht unterstützt. Für Remote-Logins wird Offline-MFA für Windows RDP-Client-Authentifizierung nicht unterstützt.

Konfigurationsanweisungen

Schritt 1: Lokales Benutzer-MFA aktivieren

Melden Sie sich im ADSelfService Plus Admin-Portal an.
Navigieren Sie zu Configuration > Self-Service > Multi-Factor Authentication.
Klicken Sie Lokale Benutzer-MFA-Einstellungen oben rechts auf der Seite.
Aktivieren Sie im erscheinenden Popup Lokales Benutzer-MFA aktivieren.
Klicken Sie Speichern.

Aktivierung der lokalen Benutzer-MFA in ADSelfService Plus

Abb.2: Aktivierung von lokalem Benutzer-MFA in ADSelfService Plus

Schritt 2: MFA-Authentifikatoren für lokale Benutzer konfigurieren

Navigieren Sie zu Configuration > Self-Service > Multi-factor Authentication.
Wählen Sie im Richtlinie auswählen Dropdown localusers.domain.
Klicken Sie auf den Authentifikatoren-Einrichtungs-Tab und richten Sie die für lokales Benutzer-MFA erforderlichen Authentifikatoren ein.

Konfiguration von Authenticatoren für lokale Benutzer-MFA

Abb.3: Konfigurieren der Authentifikatoren für lokales Benutzer-MFA

ADSelfService Plus unterstützt folgende Authentifikatoren für lokales Benutzer-MFA:

Online-Lokales Benutzer-MFA

Sicherheitsfragen und -antworten
E-Mail-Verifizierung
SMS-Verifizierung
Google Authenticator
Microsoft Authenticator
Duo Security
RSA SecurID
Zoho OneAuth TOTP
Benutzerdefinierter TOTP-Authenticator

Offline-Lokales Benutzer-MFA

Google Authenticator
Microsoft Authenticator
Zoho OneAuth TOTP
Benutzerdefinierter TOTP-Authenticator

Detaillierte Schritte zur Konfiguration dieser Authentifizierungsmethoden finden Sie im Authentifikatoren Abschnitt.

Schritt 3: MFA-Methoden für lokale Benutzeranmeldungen zuweisen

Navigieren Sie zu Configuration > Multi-factor Authentication.
Wählen Sie localusers.domain aus dem Richtlinie auswählen Dropdown.
Wechseln Sie zum MFA für Endpoints Tab.
Wählen Sie im Bereich MFA für Maschinenanmeldung das Kontrollkästchen Authentifizierungsfaktor(en) für Maschinenanmeldungen aktivieren aus. Verwenden Sie das Dropdown, um die Anzahl der bei Anmeldungen abzufragenden Authentifizierungsfaktoren auszuwählen.
Verwenden Sie das Dropdown Authentifikatoren für Maschinenanmelde-MFA wählen , um die in Schritt 2.
konfigurierten Authentifikatoren auszuwählen. (Optional) Wenn Sie Offline-MFA für lokale Benutzer konfigurieren möchten, die bei Netzwerkausfall authentifiziert werden müssen, aktivieren Sie das Kontrollkästchen Authentifikatoren für Offline-MFA wählen

Aktivierung der lokalen Benutzer-MFA für die Geräteanmeldung

und wählen Sie die erforderlichen Authentifikatoren aus dem Dropdown aus.

Abb.4: Aktivierung von lokalem Benutzer-MFA für Maschinenanmeldung

Klicken Sie Um MFA für lokale Benutzer bei UAC-Aufforderungen, RDP-Logins und Systementsperrungen zu konfigurieren:Erweitert . Gehen Sie zu Tab.
Endpoint MFA Verwenden Sie das Dropdown für das Aktivieren von MFA für _ Kontrollkästchen, um User Account Control und.
Systementsperrungen auszuwählen. Kontrollkästchen.
Klicken Sie Speichern.

Richtlinienbasierte RDP-, UAC- und Systementsperrung MFA-Konfiguration für lokale Benutzer-MFA

Abb. 5: Richtlinienbasierte RDP-, UAC- und Systementsperrung MFA-Konfiguration für lokale Benutzer-MFA.

Um gerätebasierte lokale Benutzer-MFA für Geräte zu konfigurieren:

Navigieren Sie zu Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Installation > Installed Machines.
Wählen Sie im Domäne auswählen Dropdown Arbeitsgruppe.
Klicken Sie Erweiterte Machine-MFA-Einstellungen unten rechts auf der Seite.
Wählen Sie im Bereich Erweiterte Machine-MFA-Einstellungen Im Pop-up wählen Sie die Windows-Endpunkte aus, die Sie mit MFA sichern möchten.
Klicken Sie Speichern Zur Anwendung der neuen Konfiguration.

Aktivierung der gerätebasierten lokalen Benutzer-MFA

Abb. 6: Aktivierung der gerätebasierten lokalen Benutzer-MFA.

Schritt 4: Installieren Sie den Windows-Anmeldeagenten

Der ADSelfService Plus Windows-Anmeldeagent erleichtert die Kommunikation zwischen der lokalen Maschine und dem ADSelfService Plus-Server. Sie müssen den Agenten auf jeder Zielmaschine installieren.

Für domänengebundene Geräte: Sie können den ADSelfService Plus Anmeldeagenten auf domänengebundenen Windows-Geräten über das ADSelfService Plus Admin-Portal installieren, manuell, über eine GPO, oder über Tools wie Microsoft Configuration Manager oder ManageEngine Endpoint Central.

Für Arbeitsgruppengeräte: Der Anmeldeagent kann auf Windows-Arbeitsgruppenmaschinen nicht von ADSelfService Plus installiert oder verwaltet werden. Sie müssen diese Aktionen manuell oder über Tools wie Microsoft Configuration Manager oder ManageEngine Endpoint Central.

Schritt 5: Lokale Benutzer registrieren

Nach der Installation des Agenten importieren und registrieren Sie lokale Benutzer wie folgt:

Navigieren Sie zu Configuration > Administrative Tools > Quick Enrollment.
Wählen Sie im Wählen Sie die Richtlinie im Dropdown-Menü aus, wählen Sie localusers.domain.
Sie können Benutzer registrieren mit:
- CSV-Import: Navigieren Sie zu Quick Enrollment > Import enrollment data from CSV file. Mehr erfahren
- Externe Datenbank: Navigieren Sie zu Quick Enrollment > Import enrollment data from external database. Mehr erfahren

Benutzer, die über eine der beiden Methoden importiert wurden, werden unter localusers.domain aufgelistet.

Verwaltung registrierter Benutzer über Berichte

Administratoren können Registrierung, Aktivitäten, Fehler, Agentenbereitstellung und Authenticator-Nutzung aus den folgenden Berichten überwachen und prüfen:

Bericht über MFA-registrierte Benutzer
Bericht zur MFA-Registrierungsüberprüfung
Bericht zur MFA-Nutzungsüberprüfung
MFA-Nutzung für Geräte/VPN/OWA
Bericht zur Überprüfung von MFA-Fehlern
Bericht zu MFA-vertrauenswürdigen Geräten
Bericht zu Sicherheitsfragen
Bericht zur Nutzung von Backup-Codes
Bericht zu offline MFA-registrierten Geräten
Bericht über gesperrte Benutzer
Bericht zu installierten Agent-Geräten
Bericht zur Überprüfung von Benutzeranmeldungen
Bericht zu lizenzierten Benutzern
Bericht zur Zustellung von Benachrichtigungen

Verwaltung agent-installierter Geräte

Nach der Bereitstellung sehen Sie alle Systeme mit installiertem Anmeldeagent unter Configuration > Administrative Tools > GINA/mac/Linux Installation > Installed Machines.

Liste der Arbeitsgruppengeräte mit installiertem ADSelfService Plus Anmeldeagent

Abb. 8: Liste der Arbeitsgruppengeräte mit installiertem ADSelfService Plus Anmeldeagent.

Dieser Bericht kann für sowohl domänengebundene als auch Arbeitsgruppen-Windows-Geräte angezeigt werden.

Arbeitsgruppengeräte, auf denen der Agent installiert ist, erscheinen unter localusers.domain.

Vorheriges Thema Nächstes Thema

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Ihnen so schnell wie möglich helfen.

Benötigen Sie technische Unterstützung?

Geben Sie Ihre E-Mail-ID ein
Sprechen Sie mit Experten

Finden Sie nicht, wonach Sie suchen?

Besuchen Sie unsere Community

Stellen Sie Ihre Fragen im Forum.
Zusätzliche Ressourcen anfordern

Senden Sie uns Ihre Anforderungen.
Benötigen Sie Unterstützung bei der Implementierung?

Probieren Sie OnboardPro