Vorheriges Thema Nächstes Thema

So aktivieren Sie MFA für Windows, macOS und Linux

Sie können MFA für Windows-, macOS- und Linux-Maschinen auf zwei Arten anwenden:

• Benutzerbasierte MFA: Schützen Sie Desktop- oder Laptop-Anmeldungen, einschließlich Remote-Desktop-Anmeldungen, mithilfe von MFA für eine bestimmte Benutzergruppe. Klicken Sie hier für die Konfigurationsschritte.
• Maschinenbasierte MFA: Wenden Sie MFA speziell auf Maschinen an, unabhängig von den Benutzern, die darauf zugreifen, ihrem Einschreibestatus und der ADSelfService Plus-Konnektivität. Die unter benutzerbasierter MFA konfigurierten Authentifikatoren werden während des maschinenbasierten MFA-Prozesses abgefragt. User Account Control (UAC)-Aufforderungen, RDP-Client- und Server-Authentifizierung sowie Systementsperrungen können ebenfalls durch maschinenbasierte MFA gesichert werden. Klicken Sie hier um mehr zu erfahren.

Hinweis: Die Professional Edition von ADSelfService Plus mit Endpoint MFA ist erforderlich, damit die maschinenbasierte MFA auf Windows-Server-Maschinen funktioniert. Andernfalls wird die MFA auf Windows-Servern umgangen.

Maschinen können auf zwei Arten durch MFA gesichert werden:

• Online-MFA: Der Standard- oder Online-MFA-Prozess in ADSelfService Plus verwendet eine Netzwerkverbindung zwischen dem ADSelfService Plus-Server und den Benutzergeräten, um die Identität der Benutzer anhand der im ADSelfService Plus-Server registrierten Authentifikatordaten zu verifizieren.
• Offline-MFA: Um die Sicherheit der Identität auch bei fehlender Netzwerkverbindung oder Kommunikation mit dem ADSelfService Plus-Server zu gewährleisten, verifiziert offline MFA die Benutzeridentität mit Authentifikatordaten, die vom Windows- oder macOS-Anmeldeagenten sicher auf dem Benutzergerät gespeichert sind. Offline MFA wird nur für Windows- und macOS-Anmeldungen sowie andere Windows-bezogene Aktionen (UAC-Aufforderungen, RDP-Serverauthentifizierung und Maschinenentsperrungen) unterstützt, wenn der ADSelfService Plus-Server nicht erreichbar ist. Klicken Sie auf diese Links, um mehr über den Einschreibungsprozess und Verifizierungsprozess.

zu erfahren.

Voraussetzungen

• Allgemein Endpoint MFA für ADSelfService Plus ist erforderlich, um die Funktion MFA für Maschinenanmeldungen zu aktivieren. Besuchen Sie den Store
• , um Endpoint MFA zu erwerben.SSL muss aktiviert sein : Melden Sie sich mit Administrator-Benutzerdaten an der ADSelfService Plus-Webkonsole an. Navigieren Sie zuAdmin-Tab > Produkteinstellungen > Verbindung . Wählen Sie die Option ADSelfService Plus Port [https] aus. Weitere Informationen finden Sie in diesem Leitfaden
• , wie Sie ein SSL-Zertifikat beantragen und HTTPS aktivieren.Zugriffs-URL muss auf HTTPS eingestellt sein : Navigieren Sie zu Admin > Produkteinstellungen > Verbindung > Verbindungseinstellungen > Zugriffs-URL konfigurieren und setzen Sie die Protokoll Option auf.
• HTTPSAktivieren Sie die erforderlichen Authentifizierungsmethoden . Für die Schritte zur Aktivierung der Authentifizierungsmethoden siehe den Abschnitt Authentifikatoren.
• Installieren Sie den ADSelfService Plus-Client-Software-Anmeldeagenten für Windows, macOS und Linux auf den Maschinen, auf denen Sie MFA aktivieren möchten. Klicken Sie hier für Installationsschritte des ADSelfService Plus-Anmeldeagenten.

Voraussetzungen für Offline-MFA

• Offline-MFA wird von der Professional Edition von ADSelfService Plus mit Endpoint MFA unterstützt.
• Offline-MFA wird nur für Windows-Maschinen (außer Windows 10 Version 1803) und macOS-Anmeldungen unterstützt. Für Remote-Anmeldungen wird Offline-MFA nicht für die Windows RDP-Client-Authentifizierung unterstützt.
• Stellen Sie sicher, dass der auf Ihren Maschinen installierte Anmeldeagent die erforderliche Version erfüllt: Version 6.3 oder höher für Windows und Version 3.0 oder höher für macOS. Andernfalls aktualisieren Sie den Agent auf die neueste Version, indem Sie diesen Schrittenfolgen. Wenn Sie den Anmeldeagenten noch nicht installiert haben, konfigurieren Sie Offline-MFA vorher, damit die Änderungen übernommen werden.

Schritte zur Aktivierung von MFA für Windows-, macOS- und Linux-Maschinen

1. Gehen Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > MFA für Endpunkte.
2. Wählen Sie eine Richtlinie aus dem Richtlinienauswahl Dropdown. Diese bestimmt, welche Authentifizierungsmethoden für welche Benutzergruppen aktiviert sind.
ADSelfService Plus ermöglicht das Erstellen von OU- und gruppenbasierten Richtlinien. Um eine neue Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Klicken Sie OUs/Gruppen auswählenund wählen Sie entsprechend Ihren Anforderungen aus. Mindestens eine Self-Service-Funktion muss ausgewählt sein. Klicken Sie auf Richtlinie speichern.
3. Im Abschnitt MFA für Maschinenanmeldung aktivieren Sie die Option durch Anklicken der Checkbox, wählen Sie die Anzahl der abzufragenden Authentifizierungsfaktoren und wählen Sie die gewünschte Authentifizierungsmethode aus dem Dropdown-Menü aus.
Hinweis: FIDO2-Passkeys werden für Maschinenanmeldungen unterstützt. Für weitere Informationen zu unterstützten Szenarien klicken Sie hier.
4. Wählen Sie die Option Authentifikatoren für Offline-Maschinenlogin-MFA auswählen und wählen Sie die bevorzugten Authentifizierungsmethoden für Offline-MFA aus dem Dropdown-Menü aus. Folgende Authentifikatoren werden unterstützt:
• Google Authenticator
• Microsoft Authenticator
• Benutzerdefinierter zeitbasierter Einmalpasswort-Authenticator (TOTP)
• Zoho OneAuth TOTP
• FIDO2-Passkeys (Klicken Sie hier für unterstützte Szenarien)

Um Benutzer zur Anmeldung bei hier ausgewählten Authentifikatoren zu zwingen, wählen Sie in dieser erweiterten Einstellung die Option Einschreibung erzwingen.

5. Klicken Sie Einstellungen speichern.

Hinweis:

• Wenn Offline-MFA nicht konfiguriert ist oder die Maschine eines Benutzers nicht für Offline-MFA registriert ist, wird der Offline-Zugang verweigert, außer:
• Die Die Einstellung MFA überspringen, wenn der ADSelfService Plus-Server ausgefallen oder nicht erreichbar ist, ist aktiviert. Diese Einstellung finden Sie unter Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > Erweitert > Endpoint MFA > Maschinenlogin MFA.
• Maschinenbasierte MFA wird für diese Maschine nicht erzwungen. Die Einstellung Manage MFA unter Konfiguration > Administrationswerkzeuge > GINA/Mac/Linux (Strg+Alt+Entf) > GINA/Mac/Linux Installation > Installierte Maschinen ist auf Ausgenommen gesetzt.

Um Sicherheitsverluste durch MFA-Umgehung oder Produktivitätseinbußen durch Zugangsverweigerung im Offline-Modus zu vermeiden, wird empfohlen, Offline-MFA zu aktivieren.

• Änderungen an der Offline-MFA-Konfiguration, erweiterten Einstellungen, Einschreibedaten und Abmeldung der Maschine von Offline-MFA werden erst nach dem nächsten erfolgreichen Online-MFA-Versuch auf dieser Maschine wirksam.
• Erfahren Sie, wie Sie lokale Sprachunterstützung aktivieren für MFA unter Windows.

Anhang

Windows-Maschinen für Offline-MFA einschreiben

Authentifikatoren-Einschreibung durch Benutzer

Sobald Offline-MFA konfiguriert ist, werden Benutzer nach erfolgreicher Online-MFA über den Anmeldeagenten oder im ADSelfService Plus-Portal aufgefordert, sich für die für Offline-MFA konfigurierten Authentifikatoren anzumelden, falls sie dies noch nicht getan haben.

Maschineneinschreibung für Offline-MFA

Nach Abschluss der Online-MFA wird die Maschine des Benutzers je nach Konfiguration der erweiterten Einstellungen entweder automatisch für Offline-MFA eingeschrieben oder der Benutzer muss zwischen Einschreibung der Maschine und Überspringen der Einschreibung wählen.

Sobald die Maschine für Offline-MFA für den spezifischen Benutzer eingeschrieben ist, werden die Authentifikator-Einschreibedaten des Benutzers sicher vom ADSelfService Plus-Server übertragen und als verschlüsselte Daten auf der jeweiligen Maschine für Offline-MFA gespeichert. Dieser Vorgang wird regelmäßig wiederholt, um die Authentifikator-Daten aktuell zu halten.

Das für Offline-MFA eingeschriebene Gerät kann bei Bedarf von Administratoren oder Endbenutzern abgemeldet werden.

Wie funktioniert Offline-MFA?

1. Der Benutzer gibt seine Anmeldedaten ein, um sich an seiner Maschine anzumelden.
2. Wenn die Primärauthentifizierung erfolgreich ist, versucht der auf der Maschine installierte ADSelfService Plus-Anmeldeagent, auf den ADSelfService Plus-Server zuzugreifen, um MFA zu initiieren, scheitert jedoch aufgrund fehlender Konnektivität.
3. Der Anmeldeagent startet daraufhin Offline-MFA.
4. Wenn der Benutzer die erforderlichen Authentifizierungsstufen erfolgreich abschließt, wird er an der Maschine angemeldet.

Vorheriges Thema Nächstes Thema