Lokale en externe Windows-aanmeldingen beschermen via de meervoudige verificatie van eindpunten van ADSelfService Plus

Met de steeds toenemende cyberaanvallen, is het niet langer veilig om alleen wachtwoorden te gebruiken als een verdedigingsmechanisme. Er is een extra filter nodig voor het beperken van onbevoegde gebruikers. ADSelfService Plus behandelt deze situatie door het ondersteunen van meervoudige verificatie (MFA) voor alle Windows-aanmeldingspogingen.

Zodra deze functie is ingeschakeld, worden gebruikers eenmaal geverifieerd met hun Active Directory-domeinreferenties en opnieuw via elke willekeurige van de achttien verificatiemethoden die beschikbaar zijn in ADSelfService Plus./

Vereisten:

1. Uw ADSelfService Plus-licentie moet de add-on Endpoint MFA bevatten. Bezoek de winkel voor het aankopen van de add-on.
2. SSL moet ingeschakeld zijn: Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties. Ga naar het tabblad Beheerder → Productinstellingen → Verbinding. Selecteer de optie ADSelfService Plus-poort [https]. Raadpleeg deze handleiding voor meer informatie over het toepassen van een SSL-certificaat en het inschakelen van HTTPS.
3. Toegangs-URL moet worden ingesteld op HTTPS: Ga naar Beheerder > Productinstellingen > Verbinding > Verbindingsinstellingen > Toegangs-URL configureren en stel de optie Protocol in op HTTPS.
4. Schakel de vereiste verificatiemethoden in. Voor stappen over het inschakelen van de verificatiemethoden, gaat u naar deze pagina.
5. Installeer ADSelfService Plus-aanmeldingsagent voor Windows, macOS en Linux op de machines waarop u MFA wilt inschakelen. Klik hier voor de stappen voor het installeren van de ADSelfService Plus-aanmeldingsagent.

Betrokken stappen:

1. Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties.
2. Ga naar Configuratie > Selfservice > Meervoudige verificatie > MFA voor eindpunten.
3. Selecteer een beleid in de vervolgkeuzelijst Het beleid kiezen. Dit zal bepalen welke verificatiemethoden zijn ingeschakeld voor welke set gebruikers.

   4. Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan.

4. Schakel in de sectie MFA voor machine-aanmelding het selectievakje Verificatie inschakelen in, selecteer het aantal verificatiemethoden en geef op welke u wilt gebruiken in de vervolgkeuzelijst.
5. Klik op Instellingen opslaan.

   

Opmerking: Onder Geavanceerd → Eindpuntinstellingen, biedt ADSelfService Plus u de optie MFA overslaan wanneer ADSelfService Plus-server niet beschikbaar of onbereikbaar is. Als deze optie niet is geselecteerd, zullen gebruikers geen toegang krijgen tot hun machines wanneer ADSelfService Plus niet toegankelijk is. Het inschakelen van deze optie is echter niet aanbevolen, omdat ADSelfService Plus functies biedt die de constante beschikbaarheid van het product garanderen: Hoge beschikbaarheid en Taakverdeling.

Met Hoge beschikbaarheid worden twee instantie van het product gemaakt en de secundaire instantie neemt over wanneer de primaire instantie uitvalt. Taakverdeling splitst de binnenkomende aanvragen voor de ADSelfService Plus-server onder meerdere instanties om betere prestaties van het product te garanderen. Deze functies garanderen dat gebruikers continue toegang hebben tot de MFA-functie en hebben daarom constante toegang tot hun machines.

Zo werkt Windows-aanmelding MFA: