Wie schützt man lokale und externe Windows-Anmeldungen mit der Zwei-Faktor-Endpunktauthentifizierung von ADSelfService Plus?

Da Cyberangriffe immer weiter um sich greifen, haben Kennwörter als einzige Verteidigung nahezu ausgedient. Es braucht einen zusätzlichen Filter zum Aussperren nicht autorisierter Anwender. ADSelfService Plus begegnet dieser Situation durch Unterstützung der Zwei-Faktor-Authentifizierung (ZFA, 2FA) bei sämtlichen Windows-Anmeldungsversuchen. Wenn dieses Merkmal aktiv ist, werden Nutzer sowohl durch ihre Active-Directory-Domänenzugangsdaten als auch durch ein weiteres von 13 möglichen Verfahren authentifiziert, die ADSelfService Plus zur Verfügung stellt.

Voraussetzungen:

  1. SSL und ZFA müssen in ADSelfService Plus aktiv sein.
  2. GINA/CP-Client-Software muss auf Client-Geräten installiert sein. Sorgen Sie dafür, dass die Client-Software über die GINA/Mac-Installationskonsole installiert wird.

Nötige Schritte:

  1. Melden Sie sich mit Administratorrechten an der ADSelfService-Plus-Webkonsole an.
  2. Wechseln Sie zu Konfiguration > Multifaktorauthentifizierung > Register Authentifikatoreinstellungen > ZFA für Windows/macOS/Linux-Anmeldung.

    multi-factor-authentication

  3. Klicken Sie im Feld „Richtlinie wählen“ auf die Auswahlliste, wählen Sie die Richtlinien, zu denen ZFA aktiviert werden soll.

    Hinweis: Mit ADSelfService Plus können Sie OE- und gruppenbasierte Richtlinien erstellen. Zum Erstellen einer Richtlinie wechseln Sie zu Konfiguration > SB-Dienst > Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Klicken Sie auf OE/Gruppen wählen, treffen Sie die Auswahl nach Bedarf. Sie müssen mindestens eine SB-Funktion wählen. Klicken Sie zum Abschluss auf Richtlinie speichern.

  4. Wählen Sie die Option Authentifikatoren für Windows/macOS/Linux-Anmeldung aktivieren , konfigurieren Sie dann einen der angegebenen Authentifizierungsfaktoren.

    tfa-for-windows-macos

  5. Per Vorgabe ist die Option „ZFA umgehen, wenn ADSelfService Plus ausgefallen“ ausgewählt, wenn Sie Windows/macOS-Anmeldung-ZFA aktivieren. Wenn diese Option nicht ausgewählt ist, können Nutzer nicht mehr auf ihre Geräte zugreifen, wenn ADSelfService Plus nicht erreichbar ist.
  6. Klicken Sie auf Speichern.

Hier eine animierte Grafik, die veranschaulicht, wie ZFA bei der Windows-Anmeldung funktioniert:

windows-logon-tfa-workflow

Gefällt Ihnen dieser Tipp? Holen Sie mit weiteren Tipps und Tricks alles aus ADSelfService Plus heraus, gleich heir.

 

Hilfe anfordern

Benötigen Sie weitere Unterstützung? Füllen Sie dieses Formular aus und wir werden uns umgehend bei Ihnen melden.

Komplettlösung für Self-Service-Passwortverwaltung und Single Sign-On. Jetzt herunterladen.

  • Bitte geben Sie eine gültige E-Mail-Adresse ein.
  •  
  •  
    Wenn Sie auf „Holen Sie sich Ihre kostenlose Testversion“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here