Poprzedni temat Następny temat

Jak włączyć MFA dla systemów Windows, macOS i Linux

Możesz zastosować MFA dla komputerów z systemami Windows, macOS i Linux na dwa sposoby:

• MFA oparty na użytkownikach : Chroń logowania do komputera stacjonarnego lub laptopa, w tym logowania zdalne z użyciem MFA dla określonej grupy użytkowników. Kliknij tutaj, aby uzyskać kroki konfiguracyjne.
• MFA oparte na maszynach: Zastosuj MFA specjalnie do maszyn, niezależnie od użytkowników uzyskujących do nich dostęp, ich statusu rejestracji i łączności z ADSelfService Plus. Uwierzytelnicze elementy skonfigurowane w ramach MFA opartego na użytkownikach są wymagane podczas procesu MFA opartego na maszynach. Podpowiedzi Użytkownika (UAC), uwierzytelnianie klienta RDP i serwera oraz odblokowywanie systemu mogą być również zabezpieczone przez MFA oparte na maszynach. Kliknij tutaj, aby dowiedzieć się więcej.

Uwaga: Wymagana jest wersja profesjonalna ADSelfService Plus z Endpoint MFA, aby MFA działało na maszynach serwera Windows. W przeciwnym razie MFA zostanie pominięte na serwerach Windows.

Maszyny można zabezpieczyć za pomocą MFA na jeden z dwóch sposobów:

• Online MFA: Domyślny lub online proces MFA w ADSelfService Plus korzysta z połączenia sieciowego między serwerem ADSelfService Plus a maszynami użytkowników do weryfikacji tożsamości użytkowników na podstawie danych uwierzytelniających zarejestrowanych na serwerze ADSelfService Plus.
• Offline MFA: Aby zapewnić bezpieczeństwo tożsamości nawet przy braku odpowiedniego połączenia sieciowego lub komunikacji z serwerem ADSelfService Plus, offline MFA weryfikuje tożsamość użytkownika za pomocą danych uwierzytelniających bezpiecznie przechowywanych na maszynie użytkownika przez agenta logowania Windows lub macOS. Offline MFA jest obsługiwane tylko dla logowania w systemie Windows i macOS oraz innych działań peryferyjnych związanych z systemem Windows (podpowiedzi UAC, uwierzytelnianie serwera RDP i odblokowywanie maszyny) w przypadku, gdy serwer ADSelfService Plus jest niedostępny. Kliknij na te linki, aby dowiedzieć się więcej o rejestracji i procesie weryfikacji.

Wymagania wstępne

Ogólne

• Endpoint MFA dla ADSelfService Plus jest wymagany, aby włączyć funkcję MFA dla logowania maszyn. Odwiedź sklep, aby zakupić Endpoint MFA.
• SSL musi być włączony: Zaloguj się do konsoli internetowej ADSelfService Plus przy użyciu poświadczeń administratora. Przejdź do zakładki Administratora > Ustawienia Produktu > Połączenie. Wybierz opcję Port ADSelfService Plus [https]. Odwołaj się do tego przewodnika, aby dowiedzieć się, jak ubiegać się o certyfikat SSL i włączyć HTTPS.
• Adres URL dostępu musi być ustawiony na HTTPS: Przejdź do Administratora > Ustawienia Produktu > Połączenie > Ustawienia Połączenia > Skonfiguruj Adres URL Dostępu i ustaw opcję Protokół na HTTPS.
• Włącz wymagane metody uwierzytelniania. Aby uzyskać kroki dotyczące włączania metod uwierzytelniania, odwołaj się do sekcji Uwierzytelnicze elementy.
• Zainstaluj oprogramowanie klienta ADSelfService Plus na maszynach, na których chcesz włączyć MFA, dla systemów Windows, macOS i Linux. Kliknij tutaj, aby uzyskać kroki do zainstalowania agenta logowania ADSelfService Plus.

Wymagania wstępne dla offline MFA

• Wsparcie offline MFA wymaga wersji profesjonalnej ADSelfService Plus z Endpoint MFA.
• Offline MFA jest obsługiwane tylko dla komputerów z systemem Windows (z wyjątkiem wersji Windows 10 1803) oraz logowania w macOS. W przypadku logowania zdalnego, offline MFA nie jest wspierane dla uwierzytelniania klientów RDP w Windows.
• Upewnij się, że agent logowania zainstalowany na Twoich maszynach spełnia wymaganą wersję: wersja 6.3 lub nowsza dla Windows, oraz wersja 3.0 lub nowsza dla macOS. Jeśli nie, zaktualizuj agenta do najnowszej wersji, wykonując te kroki. Jeśli nie zainstalowałeś jeszcze agenta logowania, skonfiguruj offline MFA przed jego instalacją, aby upewnić się, że zmiany zostaną zaktualizowane.

Kroki do włączenia MFA dla komputerów z systemem Windows, macOS i Linux

1. Przejdź do Konfiguracja > Samoobsługa > Uwierzytelnianie wieloskładnikowe > MFA dla punktów końcowych.
2. Wybierz politykę z rozwijanego menu Wybierz politykę. To określi, które metody uwierzytelniania są włączone dla których grup użytkowników.
ADSelfService Plus pozwala na tworzenie polityk opartych na OU i grupach. Aby utworzyć politykę, przejdź do Konfiguracja > Samoobsługa > Konfiguracja polityki > Dodaj nową politykę. Kliknij Wybierz OUs/Grupy, a następnie dokonaj wyboru w oparciu o swoje wymagania. Musisz wybrać co najmniej jedną funkcję samoobsługi. Na koniec kliknij Zapisz politykę.
3. W sekcji MFA dla logowania do maszyny zaznacz pole, aby włączyć MFA dla logowania do maszyny i wybierz liczbę czynników uwierzytelniania, które mają być pytane. Wybierz metodę uwierzytelniania z rozwijanego menu.
4. Wybierz opcję Wybierz uwierzytelniające dla offline MFA przy logowaniu do maszyny i wybierz preferowane metody uwierzytelniania dla offline MFA z rozwijanego menu. Wsparcie mają następujące uwierzytelniające:
• Google Authenticator
• Microsoft Authenticator
• Własny uwierzytelniający oparty na czasie (TOTP)
• Zoho OneAuth TOTP

Aby wymusić na użytkownikach rejestrację do uwierzytelniaczy wybranych tutaj, wybierz opcję Wymuś rejestrację w tych zaawansowanych ustawieniach.

5. Kliknij Zapisz ustawienia.

Uwaga:

• Jeśli offline MFA nie jest skonfigurowane lub maszyna użytkownika nie jest zarejestrowana do offline MFA, dostęp offline jest zabroniony, chyba że:
• Ustawienie pominąć MFA, gdy serwer ADSelfService Plus jest wyłączony lub niedostępny jest włączone. To ustawienie można znaleźć w Konfiguracja > Samoobsługa > Uwierzytelnianie wieloskładnikowe > Zaawansowane > Endpoint MFA > Machine Login MFA.
• MFA na poziomie maszyny nie jest egzekwowane dla tej maszyny. Ustawienie Zarządzaj MFA w Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalacja GINA/Mac/Linux > Zainstalowane maszyny jest ustawione na Wyjątek.

Aby uniknąć pogarszania bezpieczeństwa przez pomijanie MFA lub szkodzenia wydajności przez odmowę dostępu podczas pracy offline, zaleca się włączenie offline MFA.

• Zmiany w konfiguracji offline MFA, zaawansowanych ustawieniach, danych rejestracji oraz wypisaniu maszyny z offline MFA zostaną odzwierciedlone dopiero po następnym udanym próbie online MFA na tej maszynie.
• Dowiedz się, jak włączyć wsparcie dla lokalnego języka w MFA dla Windows.

Aneks

Rejestracja komputerów z systemem Windows do offline MFA

Rejestracja aplikacji uwierzytelniającej przez użytkowników

Po skonfigurowaniu offline MFA, po zakończeniu procesu online MFA za pomocą agenta logowania lub w portalu ADSelfService Plus, użytkownik zostanie poproszony o rejestrację w aplikacjach uwierzytelniających skonfigurowanych dla offline MFA, jeśli jeszcze się nie zarejestrował.

Rejestracja maszyny do offline MFA

Po zakończeniu procesu online MFA, w zależności od konfiguracji zaawansowanych ustawień, maszyna użytkownika zostanie albo automatycznie zarejestrowana do offline MFA, albo użytkownik będzie musiał wybrać między zarejestrowaniem swojej maszyny a pominięciem rejestracji.

Po zarejestrowaniu maszyny do offline MFA dla konkretnego użytkownika, dane rejestracji aplikacji uwierzytelniającej użytkownika będą bezpiecznie przesyłane z serwera ADSelfService Plus i przechowywane jako zaszyfrowane dane na konkretnej maszynie dla offline MFA. Proces ten będzie regularnie powtarzany, aby utrzymać dane aplikacji uwierzytelniającej w aktualności.

Urządzenie zarejestrowane do offline MFA może być wypisane przez administratorów lub użytkowników końcowych, jeśli zajdzie taka potrzeba.

Jak działa offline MFA?

1. Użytkownik wprowadza swoje dane logowania, aby zalogować się do swojej maszyny.
2. Jeśli główna autoryzacja powiedzie się, agent logowania ADSelfService Plus zainstalowany na maszynie próbuje uzyskać dostęp do serwera ADSelfService Plus, aby rozpocząć MFA, ale nie udaje mu się to z powodu braku łączności.
3. Agent logowania następnie inicjuje offline MFA.
4. Jeśli użytkownik pomyślnie zakończy wymagane poziomy uwierzytelnienia, zostanie zalogowany do maszyny.

Temat poprzedni Temat następny