Passwort-Self-Service-Einführung

ADSelfService Plus ermöglicht es Benutzern, Passwörter sicher zurückzusetzen, Konten zu entsperren und ihre Verzeichnisinformationen ohne IT-Helpdesk-Intervention zu aktualisieren. Um die Self-Service-Passwortfunktionen von ADSelfService Plus bereitzustellen, folgen Sie diesem einfachen vierstufigen Einführungsprozess.

Self-Service-Richtlinien konfigurieren

ADSelfService Plus bietet vier wichtige Self-Service-Funktionen:

• Passwort zurücksetzen
• Konto entsperren
• Verzeichnis-Self-Update
• Passwort ändern

Richtlinien legen fest, wer Zugang zu welchen Self-Service-Funktionen erhält. Sie können diese basierend auf der OU- oder Gruppenmitgliedschaft den Benutzern zuweisen.

Um eine Self-Service-Richtlinie zu erstellen:

1. Navigieren Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration.
2. Klicken Sie +Neue Richtlinie hinzufügen.
3. Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
4. Aktivieren Sie die Kontrollkästchen für die gewünschten Self-Service-Funktionen, wie z. B. Passwort zurücksetzen oder Konto entsperren.
5. Klicken Sie Wählen Sie OUs/Gruppen aus und weisen Sie die Richtlinie den gewünschten Benutzern zu. Sie können Richtlinien basierend auf OU, Gruppenmitgliedschaft oder einer Kombination aus beiden anwenden.

   Tipp: Verwenden Sie mehrere Richtlinien, wenn verschiedene Abteilungen oder Rollen unterschiedliche Funktionen benötigen.

6. Klicken Sie Richtlinie speichern.

Weitere Informationen zu erweiterten Richtlinienkonfigurationen finden Sie auf dieser Seite

Identitätsprüfung (MFA) einrichten

Zur Erhöhung der Sicherheit müssen sich Benutzer vor der Durchführung von Self-Service-Aktionen identifizieren. ADSelfService Plus unterstützt 20 Multi-Faktor-Authentifizierungs (MFA)-Methoden, um diesen Prozess abzusichern.

Um MFA für Passwort-Self-Service-Aktionen zu konfigurieren:

1. Navigieren Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > Authentifikator-Einrichtung.
2. Hier sehen Sie alle verfügbaren Authentifikatoren (z. B. Google Authenticator, E-Mail-Verifizierung, YubiKey und FIDO-Passkeys).
3. Klicken Sie auf den Authentifikator, den Sie für Ihre Benutzer aktivieren möchten. Folgen Sie den Anweisungen auf dem Bildschirm für erforderliche Einstellungen wie das Konfigurieren eines E-Mail-Servers oder API-Schlüssel.
4. Klicken Sie Speichern.
5. Navigieren Sie anschließend zum MFA für Zurücksetzen/Entsperren Tab, um MFA für Passwortzurücksetzungen und Kontosperrungen zu erzwingen.
6. Legen Sie die Anzahl der Authentifikatoren fest, zu denen abgefragt wird, und geben Sie an, welche Authentifikatoren der Benutzer während der Self-Service-Aktionen erfüllen muss.
7. Klicken Sie Einstellungen speichern.

Die verfügbaren Authentifizierungsmethoden in ADSelfService Plus sind:

Durch Klicken auf die obigen Links können Sie die Konfigurationsschritte für jede dieser Authentifizierungsmethoden einsehen.

Benutzer registrieren

Damit MFA funktioniert, müssen sich Benutzer registrieren, indem sie die Verifizierungsinformationen angeben (z. B. Telefonnummer, Sicherheitsantworten oder Einrichtung der Authentifikator-App). Sie können diesen Prozess für sie verwalten oder Benutzer sich selbst registrieren lassen.

Administratordurchgeführte Registrierung (keine Benutzeraktion erforderlich)

• Import aus einer CSV-Datei: Navigieren Sie zu Konfiguration > Administrative Werkzeuge > Schnelle Registrierung > Import von Registrierungsdaten aus CSV zum Hochladen von Benutzerdaten wie Mobilnummern und E-Mail-Adressen im Bulk. Hier klicken für weitere Details.
• Import aus einer externen Datenbank: Verbinden Sie sich mit externen Datenbanken (MS SQL, PostgreSQL usw.) unter Konfiguration > Administrative Werkzeuge > Schnelle Registrierung > Import von Registrierungsdaten aus externer Datenbank um Benutzerdaten zu synchronisieren. Sie können auch einen Scheduler konfigurieren, der regelmäßig nach neu hinzugefügten Benutzern in den verbundenen externen Datenquellen sucht und diese mit ADSelfService Plus registriert. Weitere Informationen zum Import von Registrierungsdaten aus einer externen Datenbank finden Sie unter hier klicken.

Hinweis: Für MFA-Methoden wie AD-Sicherheitsfragen, E-Mail-Verifizierung und SMS-Verifizierung kann ADSelfService Plus Werte direkt aus AD-Attributen (sAMAccountName, mail oder mobile) abrufen, sodass keine Registrierung erforderlich ist.

Benutzergeführte Registrierung

Benutzer können sich mit dem ADSelfService Plus-Webclient oder der ADSelfService Plus-Mobile-App unter dem Bereich Registrierung anmelden. Um die Benutzerregistrierung zu erzwingen, können Sie folgende Maßnahmen implementieren:

• Registrierungsbenachrichtigungen: Navigieren Sie zu Konfiguration > Administrative Werkzeuge > Schnelle Registrierung > Registrierungserinnerung per E-Mail/SMS/Push senden. Aktivieren Sie automatisierte E-Mail-, SMS- oder Push-Benachrichtigungen und planen Sie sie, um nicht registrierte Benutzer an die Registrierung zu erinnern. Hier klicken für weitere Details.
• Registrierung mit einem Anmeldeskript erzwingen: Unter Konfiguration > Administrative Werkzeuge > Schnelle Registrierung > Registrierung mit Anmeldeskript erzwingenkönnen Sie ein Anmeldeskript für nicht registrierte Benutzer zuordnen. Dies zwingt Benutzer dazu, sich beim nächsten Einloggen an ihrem Gerät zu registrieren. Sie können außerdem einen Scheduler einstellen, der regelmäßig nach nicht registrierten oder neu hinzugefügten Benutzern sucht und Anmeldeskripte für deren Konten einrichtet. Anweisungen zum Aktivieren von Anmeldeskripten finden Sie unter hier klicken.

Self-Service-Aktionen sichern

Abschließend optimieren Sie Ihre Sicherheitseinstellungen, um zusätzliche Schutzebenen zum Self-Service-Prozess hinzuzufügen und Ihre Benutzerkonten zu schützen.

Navigieren Sie zu Konfiguration > Sicherheits-Center um diese empfohlenen Einstellungen zu überprüfen und zu aktivieren:

Einstellungskategorie	Empfohlene Maßnahmen
Kontoschutz	Benutzer sperren: Automatisches Sperren eines Benutzerkontos nach einer festgelegten Anzahl fehlgeschlagener Identitätsprüfversuche. CAPTCHA: CAPTCHA aktivieren, um automatisierte Bot-Angriffe zu verhindern. Sitzungszeitüberschreitung: Automatisches Ausloggen von Benutzern aus dem Portal nach einer Inaktivitätsperiode. Inaktive Benutzer einschränken.
Passwort-Richtlinien	Passwortstärke erzwingen: Erstellen und Erzwingen granularer, benutzerdefinierter Passwort-Richtlinien, die über die AD-Standardrichtlinie hinausgehen. Änderung beim nächsten Login erzwingen: Benutzer müssen ihr Passwort unmittelbar nach einem Zurücksetzen beim nächsten Login ändern.
Authentifikator-Sicherheit	Wiederverwendung von Antworten verhindern: Verhindert, dass Benutzer dieselbe Antwort für mehrere Sicherheitsfragen verwenden. Erhöhen Sie die Antwortsicherheit: Verhindern Sie, dass Benutzer in ihren Antworten Wörter aus der Frage verwenden. Fragen randomisieren: Zeigen Sie während der Verifizierung eine zufällige Auswahl der von einem Benutzer registrierten Sicherheitsfragen an. Antworten verbergen: Maskieren Sie Sicherheitsantworten während der Passwortzurücksetzung und Entsperrungsvorgänge. Machen Sie Sicherheitsantworten case-sensitive.
System und Netzwerk	Sichere Verbindungen: Erzwingen Sie HTTPS (SSL) für das Webportal und LDAPS für die Kommunikation mit dem Domänencontroller. E-Mail-Benachrichtigungen: Benachrichtigen Sie Benutzer automatisch per E-Mail, wenn eine Self-Service-Passwortaktion für ihr Konto durchgeführt wird.