Wieloskładnikowe Uwierzytelnianie
 
 
 
Nawiguj do poprzedniego Poprzedni temat Następny temat Nawiguj do następnego

Wielowarstwowa autoryzacja (MFA)

Uwaga: MFA dla punktów końcowych, VPN i SSO wymaga wersji Professional ADSelfService Plus z Endpoint MFA.

MFA w ADSelfService Plus uzupełnia tradycyjne uwierzytelnianie oparte na nazwie użytkownika i haśle dodatkową warstwą uwierzytelniania (np. biometryka, kody TOTP lub klucze FIDO) w celu potwierdzenia tożsamości użytkownika. MFA zapewnia wysoki poziom pewności tożsamości w przypadku żądań dostępu. Kliknij tutaj, aby poznać korzyści z wdrożenia adaptacyjnych funkcji MFA w ADSelfService Plus.

Możesz włączyć MFA w ADSelfService Plus dla następujących zdarzeń:

Aby włączyć MFA dla tych zdarzeń, postępuj zgodnie z następującymi krokami:

Zapoznaj się z stroną uwierzytelniaczy, aby uzyskać listę wspieranych metod uwierzytelniania oraz jak je skonfigurować.

W połączeniu z dostępem warunkowym, MFA dla punktów końcowych może być włączone tylko dla użytkowników wysokiego ryzyka, zapewniając tym samym bezpieczeństwo bez wpływu na doświadczenia użytkowników. Kliknij tutaj, aby dowiedzieć się więcej o dostępie warunkowym.

Uwaga: Dostęp warunkowy może być włączony tylko dla logowania do portalu, działań dotyczących haseł w trybie samodzielnym oraz MFA podczas logowania do systemu Windows, macOS i Linux. Nie będzie miało to zastosowania w przypadku MFA VPN.

Jak włączyć wymagane metody uwierzytelniania dla określonej grupy użytkowników

  1. Przejdź do Konfiguracja > Samoobsługa > Konfiguracja polityki, wybierz politykę według swojego wyboru, a następnie kliknij ikonę Edytuj. Możesz również utworzyć nową politykę, klikając przycisk Dodaj nową politykę.

    2. Available-Policies

  2. Kliknij Wybierz OUs/Grupy w prawym dolnym rogu strony internetowej i wybierz określoną grupę użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe. Kliknij OK.
    3. Wskazówka: Wybierz opcję Nie dziedzicz OU (ów) podrzędnych, aby wybrać tylko OUs nadrzędne.

    Select-OU-GROUP

  3. Wybierz funkcje samoobsługi haseł (Resetuj hasło, Odblokuj konto, Samodzielna aktualizacja lub Zmień hasło), które chcesz włączyć dla wybranych użytkowników. Kliknij Zapisz politykę.

    4. Save-Policies

  4. Przejdź do Konfiguracja → Samoobsługa → Uwierzytelnianie wieloskładnikowe → Ustawienia autoryzatora i wybierz politykę z rozwijanego menu Wybierz politykę.
  5. Skonfiguruj metody uwierzytelniania, które chcesz włączyć dla wybranej polityki.

    6. Ustawienia-Autoryzatora

  6. Kliknij Zapisz.
    7. Wskazówka: Możesz wybrać różne metody uwierzytelniania dla różnych zestawów polityk. Na przykład, jeśli Polityka 1 może wymuszać YubiKey OTP, Polityka 2 może wymuszać uwierzytelnianie SAML i tak dalej.

Jak wymusić, aby użytkownicy zapisali się do konkretnych metod uwierzytelniania

Użytkownicy muszą się zarejestrować, podając niezbędne informacje, zgodnie z włączonymi metodami uwierzytelniania, aby móc potwierdzić swoją tożsamość. Na przykład, jeśli włączyłeś uwierzytelnianie biometryczne, użytkownicy muszą zeskanować swój odcisk palca lub twarz za pomocą aplikacji mobilnej ADSelfService Plus, dopiero po tym będą mogli korzystać z tej metody podczas resetowania hasła lub logowania do punktów końcowych.

Aby wymusić, aby użytkownicy zapisali się do konkretnych metod uwierzytelniania:

  1. Przejdź do Konfiguracja → Samoobsługa → Uwierzytelnianie wieloskładnikowe → Rejestracja MFA.
  2. Wybierz opcję Wymuś zapis użytkowników podczas logowania do portalu użytkownika końcowego. To uniemożliwi użytkownikom dostęp do innych funkcji w portalu samoobsługi przed wprowadzeniem ich informacji o rejestracji.
  3. Wybierz Wymuś te autoryzatory podczas rejestracji i wybierz autoryzatory, które mają być ustawione jako obowiązkowe.

    4. Ustawienia-MFA/TFA

  4. Możesz również wybrać opcję ukrycia zakładki Rejestracja w portalu użytkownika końcowego dla zarejestrowanych użytkowników
  5. Kliknij Zapisz ustawienia.

Autoryzatory i funkcje obsługiwane przez różne typy MFA

Ta tabela zawiera szczegółowe informacje na temat każdego typu MFA, w tym obsługiwanych autoryzatorów oraz ustawień i opcji dostępnych w celu poprawy funkcjonalności i bezpieczeństwa procesu uwierzytelniania.

Typ MFA Obsługiwane metody uwierzytelniania Logowanie bez hasła Kody odzyskiwania awaryjnego CAPTCHA
MFA dla działań samoobsługowych Wszystkie autoryzatory obsługiwane przez ADSelfService Plus, z wyjątkiem uwierzytelniania za pomocą karty inteligentnej Nie dotyczy Obsługiwane Obsługiwane
Działania samoobsługowe z ekranu logowania maszyny GUI dla systemów Windows, macOS i Linux Wszystkie autoryzatory obsługiwane przez ADSelfService Plus, z wyjątkiem uwierzytelniania za pomocą karty inteligentnej i kluczy FIDO Passkeys. Nie dotyczy Obsługiwane Obsługiwane
MFA dla logowania do maszyn Windows, macOS i Linux Wszystkie autoryzatory obsługiwane przez ADSelfService Plus, z wyjątkiem uwierzytelniania za pomocą karty inteligentnej i kluczy FIDO Passkeys Nie obsługiwane Obsługiwane Obsługiwane
Offline MFA dla logowania do Windows i macOS
  1. Google Authenticator
  2. Microsoft Authenticator
  3. Własny autoryzator TOTP
  4. Zoho OneAuth TOTP Authenticator
 Nie dotyczy Nieobsługiwane Nieobsługiwane
MFA dla OWA i centrum administracyjnego Exchange Wszystkie autoryzatory obsługiwane przez ADSelfService Plus, z wyjątkiem autoryzacji za pomocą karty smart Nie dotyczy Obsługiwane Obsługiwane
MFA dla VPN-ów opartych na RADIUS, RDP i innych punktów dostępowych
  1. Jednostronne autoryzatory
    • Powiadomienia push
    • Autoryzacja biometryczna
  2. Autoryzatory oparte na wyzwaniach
    • Autoryzacja ADSelfService Plus (TOTP)
    • Google Authenticator
    • Microsoft Authenticator
    • Yubico OTP (autoryzacja za pomocą klucza sprzętowego)
    • Zoho OneAuth TOTP
    • Custom TOTP Authenticator
    • Kod weryfikacyjny oparty na SMS-ie i e-mailu
 Nie dotyczy Obsługiwane*
(Kody zapasowe mogą być używane tylko dla autoryzatorów opartych na wyzwaniach)		 Nie dotyczy
MFA dla aplikacji w chmurze Wszystkie autoryzatory obsługiwane przez ADSelfService Plus Obsługiwane Obsługiwane Obsługiwane
MFA dla logowania do ADSelfService Plus Wszystkie autoryzatory obsługiwane przez ADSelfService Plus Obsługiwane Obsługiwane Obsługiwane
Typ MFA Czy można ustawić limit czasu bezczynności? Czy przeglądarka lub komputer mogą być uznawane za zaufane, aby nie wymagać MFA przez pewien czas? Ogranicz logowania użytkowników i działania w trybie samodzielnym dla niezarejestrowanych użytkowników:
MFA dla działań w trybie samodzielnym Tak Nie Odmów dostępu do działań w trybie samodzielnym, gdy użytkownicy są niezarejestrowani. Użytkownicy częściowo zarejestrowani mogą być zmuszeni do rejestracji dla pozostałych autoryzatorów i kontynuować działania w trybie samodzielnym.
MFA dla logowania do Windows, macOS i Linux Tak Tak Odmów lub zezwól na logowanie do komputera dla niezarejestrowanych użytkowników lub wymuś rejestrację podczas próby logowania.
MFA dla OWA i centrum administracyjnego Exchange Tak Tak Domyślnie dostęp do logowania OWA i Exchange jest zabroniony dla niezarejestrowanych użytkowników.
MFA dla VPN-ów opartych na RADIUS, RDP i innych punktów dostępowych Tak*
(Limit czasu sesji jest ustawiony, aby wymusić na użytkownikach zakończenie autoryzacji w określonym czasie)		 Nie Odmów lub zezwól na logowanie dla niezarejestrowanych użytkowników.
MFA dla aplikacji w chmurze Tak Tak Odmów lub zezwól na logowanie do aplikacji w chmurze dla niezarejestrowanych użytkowników.
MFA dla logowania do ADSelfService Plus Tak Tak Odmów lub zezwól na logowania do ADSelfService Plus dla niezarejestrowanych użytkowników.

Autoryzatory obsługiwane przez mobilną aplikację ADSelfService Plus i mobilny portal przeglądarki

ADSelfService Plus oferuje 21 rodzajów autoryzatorów. Z tych, osiem podstawowych autoryzatorów jest dostępnych w każdej edycji ADSelfService Plus. Pozostałe 13 to zaawansowane autoryzatory, dostępne tylko w edycji profesjonalnej ADSelfService Plus.

Ta tabela zawiera szczegółowe informacje na temat podstawowych i zaawansowanych autoryzatorów obsługiwanych dla MFA w aplikacji mobilnej ADSelfService Plus oraz w portalu mobilnym przeglądarki, a także postanowienia dotyczące rejestracji autoryzatorów w dwóch konsolach.

Autoryzator Typ autoryzatora Portal mobilny przeglądarki Aplikacja mobilna
Czy użytkownicy mogą zarejestrować się w autoryzatorze w portalu mobilnym przeglądarki? Czy autoryzator jest obsługiwany dla MFA przy logowaniu do ADSelfService Plus? Czy autoryzator jest obsługiwany dla MFA przy akcjach samodzielnych? Czy użytkownicy mogą zarejestrować się w autoryzatorze w aplikacji mobilnej? Czy autoryzator jest obsługiwany dla MFA przy logowaniu do aplikacji mobilnej ADSelfService Plus? Czy autoryzator jest obsługiwany dla MFA przy akcjach samodzielnych?
Pytania i odpowiedzi zabezpieczające Podstawowy Tak Tak Tak Tak Tak Tak
Weryfikacja e-mailowa Podstawowy Tak Tak Tak Tak Tak Tak
Weryfikacja SMS Podstawowy Tak Tak Tak Tak Tak Tak
Google Authenticator Podstawowy Tak Tak Tak Tak Tak Tak
Microsoft Authenticator Podstawowy Tak Tak Tak Tak Tak Tak
Duo Security Zaawansowany autoryzator Tak Tak Tak Tak Tak Tak
Radius Authentication Zaawansowany autoryzator Nie* Tak Tak Nie* Tak Tak
Push Notification Zaawansowany autoryzator Nie+ Nie+ Nie+ Tak Nie Nie
Autoryzacja oparta na kodzie QR Zaawansowany autoryzator Nie+ Nie+ Nie+ Tak Nie Nie
Autoryzacja biometryczna Zaawansowany autoryzator Nie+ Nie+ Nie+ Tak Tak Tak
Autoryzacja TOTP (z użyciem aplikacji mobilnej ADSelfService Plus) Zaawansowany autoryzator Nie+ Nie+ Nie+ Tak Nie Nie
Pytania dotyczące bezpieczeństwa AD Podstawowe Nie* Tak Tak Nie* Tak Tak
Zoho OneAuth TOTP Podstawowe Tak Tak Tak Tak Tak Tak
Personalizowany autoryzator TOTP (token sprzętowy) Podstawowe Tak Tak Tak Tak Tak Tak
Personalizowany autoryzator TOTP (token programowy) Zaawansowany autoryzator Tak Tak Tak Tak Tak Tak
Autoryzacja za pomocą karty inteligentnej Zaawansowany autoryzator Nie* Nie Nie Nie* Nie Nie
Autoryzacja SAML Zaawansowany autoryzator Nie* Tak Tak Nie* Tak Tak
Autoryzator YubiKey Zaawansowany autoryzator Tak Tak Tak Tak Tak Tak
Azure AD MFA Zaawansowany autoryzator Nie* Tak Tak Nie* Tak Tak
RSA SecurID Zaawansowany autoryzator Nie* Tak Tak Nie* Tak Tak
FIDO Passkeys Zaawansowany autoryzator Tak Tak Tak Tak Nie Nie

* - Użytkownicy nie muszą rejestrować się w tych metodach, ponieważ są automatycznie rejestrowani przy pierwszym logowaniu.
+ - Te autoryzatory są natywne dla aplikacji mobilnej i nie mogą być używane w przeglądarkowej wersji mobilnej.

Przejdź do poprzedniego Poprzedni temat Następny temat Przejdź do następnego

Thanks!

Your request has been submitted to the ADSelfService Plus technical support team. Our technical support people will assist you at the earliest.

 

Need technical assistance?

  • Enter your email ID
  • Talk to experts
  •  
     
  •  
  • By clicking 'Talk to experts' you agree to processing of personal data according to the Privacy Policy.

© 2024, ZOHO Corp. Wszelkie prawa zastrzeżone.