Poprzedni temat

MFA oparte na maszynach

MFA oparte na maszynach jest ustawieniem mającym na celu ochronę krytycznych maszyn w organizacji poprzez zapobieganie ich skompromitowaniu.

Uwaga: MFA oparte na maszynach wymaga... Profesjonalna edycja ADSelfService Plus z MFA na poziomie punktu końcowego. Jeśli nie, MFA oparte na maszynach nie będzie egzekwowane.

• Jak działa MFA oparte na maszynach?
  • Kroki do egzekwowania MFA opartego na maszynach
  • Kroki do zwolnienia maszyny z MFA opartego na maszynach
• Zaawansowane ustawienia MFA na poziomie maszyny
  • Ustawienia MFA dla maszyn z systemem Windows
  • MFA dla logowania w GUI na maszynach z systemem Windows
  • MFA dla kontroli konta użytkownika
  • MFA dla zdalnego dostępu do pulpitu
  • MFA dla odblokowywania maszyny

Jak działa MFA oparte na maszynach?

Kiedy MFA oparte na maszynach jest egzekwowane dla konkretnej maszyny, każdy użytkownik próbujący uzyskać dostęp do maszyny musi udowodnić swoją tożsamość za pomocą MFA, aby pomyślnie się zalogować. Autoryzatory MFA w monicie będą oparte na autoryzatorach skonfigurowanych dla użytkownika w sekcji MFA dla logowania na maszynie.

Kiedy to ustawienie jest włączone, użytkownicy nie będą mogli zalogować się do maszyny, na której egzekwowane jest MFA oparte na maszynach, jeśli:

• Serwer ADSelfService Plus jest niedostępny.

Uwaga: Jeśli offline MFA jest włączone, MFA oparte na maszynach nadal będzie działać na maszynach z systemem Windows, gdy serwer ADSelfService Plus jest niedostępny.

• Konto użytkownika jest ograniczone w ADSelfService Plus.
• Użytkownik nie należy do żadnej polityki, która ma skonfigurowane MFA dla logowania na maszynach.
• Użytkownik nie zarejestrował się do żadnego z autoryzatorów skonfigurowanych w sekcji MFA dla logowania na maszynie (zarówno online, jak i offline MFA), niezależnie od opcji przymusowego zapisu włączonej dla polityki użytkownika.
• Limit zużycia licencji przez użytkownika został przekroczony lub MFA na poziomie punktu końcowego nie został zakupiony. Aby zakupić MFA na poziomie punktu końcowego, kliknij tutaj.

Jednakże użytkownicy, którzy wybrali ustawienie Zaufaj tej maszynie na ekranie logowania, będą mogli zalogować się do maszyny bez przeprowadzania MFA przez określony czas po początkowej weryfikacji tożsamości.

Uwaga: Upewnij się, że zaktualizowałeś agenta logowania do następujących najnowszych wersji dla prawidłowej egzekucji MFA: Windows 5.10, macOS 1.7 lub Linux 2.4 i wyżej. Jeśli na maszynie zainstalowana jest starsza wersja agenta logowania, a serwer ADSelfService Plus jest niedostępny, użytkownik będzie mógł uzyskać dostęp do maszyny, jeśli włączona jest opcja Pomijaj MFA, gdy serwer ADSelfService Plus jest wyłączony lub niedostępny.

Kroki do egzekwowania MFA opartego na maszynach

1. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny.

   

2. Wybierz wymagany domenę z listy rozwijanej.
3. Wybierz maszyny, na których chcesz wymusić MFA oparte na maszynie.

   

4. Kliknij Zarządzaj MFA i wybierz Wymuś.

   

Kroki, aby zwolnić maszynę z MFA opartego na maszynie

1. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny.
2. Wybierz wymagany domenę z rozwijanej listy.
3. Wybierz maszynę, którą chcesz zwolnić z MFA opartego na maszynie.
4. Kliknij Zarządzaj MFA i wybierz Zwolnij.

   

Zaawansowane ustawienia MFA oparte na maszynie

Uwierzytelnienia w komunikatach dla włączonych scenariuszy będą oparte na czynnikach MFA skonfigurowanych w sekcji MFA dla logowania do maszyny. Ustawienia włączone tutaj będą stosowane do wszystkich maszyn z systemem Windows, na których zainstalowany jest agent logowania ADSelfService Plus.

Ustawienia Windows MFA

Włącz MFA podczas interaktywnych logowań do maszyn działających na Windows, macOS i Linux za pomocą GUI:

Po włączeniu tego ustawienia MFA będzie wymagane podczas interaktywnych lub opartych na GUI logowań na maszynach Windows, macOS i Linux. Użytkownicy będą mogli wykonywać dalsze czynności dopiero po pomyślnej weryfikacji tożsamości.

Uwaga: MFA dla interaktywnych logowań do serwerów Windows wymaga wydania Professional Edition ADSelfService Plus z Endpoint MFA. W przeciwnym razie MFA będzie pomijane na serwerach Windows.

Aby włączyć to ustawienie:

• Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny > Zaawansowane ustawienia MFA oparte na maszynie.
• Wybierz Włącz MFA podczas interaktywnych logowań do maszyn działających na Windows, macOS i Linux za pomocą GUI.

MFA dla Kontroli Użytkownika na maszynach Windows

Uwaga: MFA dla UAC, RDP i odblokowywania maszyn jest obecnie wspierane tylko dla maszyn Windows. Aby zgłosić te funkcje dla Mac lub Linux, kliknij tutaj.

Po włączeniu tego ustawienia MFA będzie wymagane dla wszystkich monitów o dane uwierzytelniające Kontroli Użytkownika (UAC), a użytkownik będzie mógł wykonać żądaną akcję tylko po pomyślnej weryfikacji tożsamości. To ustawienie jest kompatybilne z Windows 7 i nowszymi oraz Windows Server 2008 i nowszymi. To ustawienie jest wspierane przez wersję 5.10 i nowsze agenta logowania ADSelfService Plus dla Windows.

Uwaga: Działania wykonywane przez wybór Uruchom jako inny użytkownik opcja nie będzie wymagała poświadczeń, jak to ma miejsce w przypadku innych działań UAC.

Aby włączyć to ustawienie:

1. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny > Zaawansowane ustawienia MFA maszyny.
2. Wybierz Włącz MFA dla konta użytkownika.

MFA dla zdalnego dostępu do pulpitu

Uwaga: MFA dla zdalnego dostępu RDP do maszyn z systemem Windows wymaga Profesjonalnej edycji ADSelfService Plus z Endpoint MFA.

Administrator może skonfigurować wymaganie MFA podczas nawiązywania połączeń z maszynami za pośrednictwem RDP. Zapewni to, że połączenia RDP z maszynami będą zabezpieczone dodatkową warstwą uwierzytelniania.

Są dwa sposoby, w jakie można skonfigurować MFA dla zdalnego dostępu do pulpitu:

• Uwierzytelnienie serwera RDP

  Gdy to ustawienie jest włączone, wszystkie przychodzące połączenia zdalnego pulpitu do maszyn z systemem Windows, gdzie zainstalowany jest agent logowania ADSelfService Plus, będą uwierzytelniane i chronione za pomocą MFA.

• Uwierzytelnienie klienta RDP

  To ustawienie można włączyć, aby wymagać MFA dla wszystkich wychodzących połączeń zdalnego pulpitu za pośrednictwem aplikacji Zdalny pulpit Windows (mstsc.exe) na maszynach, gdzie zainstalowany jest agent logowania ADSelfService Plus. To ustawienie jest wspierane przez wersję 5.10 i nowsze agenta logowania ADSelfService Plus dla systemu Windows. To ustawienie dotyczy systemów Windows 7 i nowszych oraz Windows Server 2008 i nowszych.

  Uwaga/Wskazówka: Przy uwierzytelnieniu klienta RDP możesz zabezpieczyć zdalny dostęp za pomocą MFA tylko dla użytkowników uzyskujących dostęp do maszyny z internetu lub innych publicznych adresów IP za pośrednictwem bramy pulpitu zdalnego (RD Gateway), konfigurując regułę dostępu warunkowego z ograniczeniami IP. Kliknij tutaj, aby dowiedzieć się więcej o dostępie warunkowym.

  Aby włączyć MFA dla uwierzytelnienia klienta RDP, muszą być spełnione następujące warunki wstępne:

  • Uwierzytelnienie na poziomie sieci musi być włączone. Możesz włączyć uwierzytelnienie na poziomie sieci za pomocą zasad grupy, przechodząc do Składniki systemu Windows > Usługi pulpitu zdalnego > Host sesji pulpitu zdalnego > Bezpieczeństwo..
  • Aby wymagać MFA dla połączeń pulpitu zdalnego w wieloleśnym środowisku AD, musi istnieć relacja zaufania między dwoma domenami. Zaufania domen mogą być dodawane między lasami albo poprzez zaufanie leśne (relacja zaufania na poziomie lasu), albo poprzez zewnętrzne zaufanie (relacja zaufania na poziomie domeny). Aby uzyskać kroki do skonfigurowania relacji zaufania, zapoznaj się z tym dokumentem.

Aby włączyć MFA dla uwierzytelnienia serwera RDP i klienta RDP:

1. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny > Zaawansowane ustawienia MFA maszyny.
2. Wybierz Włącz MFA dla zdalnego dostępu do pulpitu podczas i zaznacz pola wyboru Uwierzytelnienie serwera RDP lub Uwierzytelnienie klienta RDP w zależności od scenariusza, w którym chcesz, aby MFA było wymagane.

   

MFA dla odblokowywania maszyny

Uwaga: MFA dla odblokowywania maszyn z systemem Windows wymaga Profesjonalnej Edycji ADSelfService Plus z Endpoint MFA.

Włączenie tej opcji wymusi MFA podczas odblokowywania maszyn z systemem Windows.

Aby włączyć tę opcję:

1. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny > Zaawansowane ustawienia MFA maszyny.
2. Wybierz Włącz MFA podczas odblokowywania maszyn z systemem Windows.

Następny temat