Flexible Security for Your Peace of Mind

So einfach geht’s: Initialpasswörter und das Remote-Onboarding

Viele Unternehmen haben heutzutage eine große Anzahl von Mitarbeitern, die remote arbeiten. Aber die Betreuung dieser Benutzergruppe bringt eine Reihe von logistischen und sicherheitstechnischen Herausforderungen mit sich. Eine dieser Herausforderungen besteht in der sicheren Festlegung und Übermittlung eines Initialpassworts an neu eingestellte Mitarbeiter. Dies ist oft der erste Schritt bei der Einrichtung von MFA und weiterer Onboarding-Schritte.

Mit Specops First Day Password (FDP) können Unternehmen, die Specops uReset einsetzen, ein sicheres, durch einen weiteren Faktor abgesichertes Initialkennwort bereitstellen. Die Lösung ermöglicht es neuen Benutzern, ihr Passwort festzulegen und sich bei ihrem Active Directory-Konto anzumelden – ohne ein zuvor festgelegtes Passwort zu verwenden, das auf unsichere Weise oder mündlich weitergegeben werden muss.

Gegenwärtig unterstützt FDP als Authentifizierungsfaktor einen Mobilcode sowie eine persönliche E-Mail Adresse. Diese beiden Faktoren werden in der Regel von der Personalabteilung beim Onboarding erfasst und können von uReset sicher verwendet werden. Um sie nicht offen im Active Directory zu verwalten, können diese Informationen über das Specops Authentication Unterobjekt im eigenen AD-Objekt des Benutzers verwaltet werden.

Die folgenden Szenarien werden von der Specops First Day Password unterstützt:

  • Die IT-Abteilung stellt das gewünschte Betriebssystem und die Anwendungen bereit und erstellt das Profil des Benutzers vor der Auslieferung, damit der Benutzer vor der Anmeldung das Kennwort zurücksetzen kann. In diesem Fall muss der Benutzer in AD vorab erstellt werden und sein Konto für FDP konfiguriert werden.
  • Die IT-Abteilung stellt den PC bereit, und das Unternehmen verwendet ein Always-on-VPN auf Basis einer Geräteauthentifizierung. Der Benutzer kann sich dann ohne Staged Profile mit Reset Password powered by FDP anmelden.
  • Der Benutzer erstellt sein neues Passwort sicher mit Specops First Day Password auf einem eigenen, privaten Gerät. Der Benutzer meldet sich an seinem neuen PC an, der direkt vom Hersteller oder der IT-Abteilung an den Remote-Benutzer geliefert wurde. Dies würde Microsoft Autopilot/Intune oder ein anderes MDM nutzen, um die benötigte Software bereitzustellen, NACHDEM der Benutzer durch die OOBE-Schnittstelle navigiert.

Auf diese Weise kann der Benutzer das AD-Passwort sicher festlegen und dann alle anderen, von der Unternehmensrichtlinie geforderten Registrierungsvorgänge durchführen.

So testen Sie Ihren Specops First Day Password-Workflow

Sobald die Funktion im uReset-Abonnement aktiviert ist, sollten die anfänglichen Einstellungen und Benachrichtigungen im Specops Authentication Admin-Portal konfiguriert werden.

Nun beginnt der Prozess mit der Identifizierung des Benutzerobjekts, an das ein FDP-Workflow gesendet werden muss, und dessen individuellen Informationen. Öffnen Sie nun PowerShell, in dem die Gatekeeper-Admin-Tools installiert sind. Falls Sie viele Benutzer registrieren oder Massenimporte durchführen müssen, finden Sie weitere Informationen in diesem Beitrag.

Mit „Get-SAOnboarding“ prüfen Sie, ob es ausstehende Onboarding-Objekte für Specops First Day Password gibt. Wenn keine offenen Einträge vorhanden sind, ist die Ausgabe gleich null.

Jetzt können wir „Set-SAOnboarding“ ausführen und die gewünschten Faktoren angeben.

Sobald der Benutzer für das Onboarding konfiguriert wurde, besteht der nächste Schritt darin, die Zustellung von Onboarding-Nachrichten bei der nächsten geplanten Benutzerzählung im Admin-Web zu aktivieren.

Sobald die nächtliche Zählung der Benutzer abgeschlossen ist, werden die Einladungen zum Onboarding auf der Grundlage der konfigurierten Benachrichtigungen versandt. Die Einladungen können auch manuell versandt werden, indem Sie eine manuelle Benutzerzählung durchführen und das Kontrollkästchen „Send onboarding reminders….“ unter „Start a new user count“ aktivieren.

Die Vergabe des Initialpassworts für neue Mitarbeiter

Der Benutzer erhält die folgende, individualisierbare E-Mail:

Nachdem er auf den Link geklickt hat, wird er auf die folgende Seite weitergeleitet, um ein Passwort festzulegen.

Anschließend werden sie aufgefordert, ihre Identität über die konfigurierten Identitätsservices zu verifizieren:

Die Vergabe des Initialpassworts. Wenn Specops Password Policy eingerichtet ist, erhält der Benutzer hilfreiches Feedback bei der Erstellung seines ersten Passworts, das mit den geforderten Kennwortrichtlinien übereinstimmt.

Wenn das Passwort den Anforderungen der Passwortrichtlinie entspricht, erhält der Benutzer die folgende Meldung.

Jetzt hat der Benutzer die Anforderungen für FDP erfüllt und kann sein AD-Konto verwenden.

Wollen Sie wissen, wie Specops First Day Password in Ihrer Organisation eingesetzt werden kann? Wir beraten Sie gerne!

Erfahren Sie mehr, wie Sie mit EASM das Risiko in Ihrer Angriffsfläche identifizieren und überwachen können.

(Zuletzt aktualisiert am 27/05/2024)

Zurück zum Blog