Specops Authentifizierungs-Web

Das Specops Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Richtlinien für die Multi-Faktor-Authentifizierung für seine verschiedenen Ressourcen. Sobald Sie den Gatekeeper installiert und konfiguriert haben, können Benutzer, die Mitglieder der Authentication Admin Group sind, die Lösung weiter vom Specops Authentication Web aus konfigurieren:

US-Datenzentrum: https://login.specopssoft.com/authentication/admin
EU-Datenzentrum: https://eu.login.specopssoft.com/authentication/admin

Für weitere Informationen und allgemeine Verwaltung siehe Specops Authentication Web.

Die spezifischen Konfigurationsschritte für Specops Authentication for O365 sind unten beschrieben.

Im Office 365 Menü können Sie Föderation, Bereitstellung und Authentifizierungsregeln konfigurieren. Wählen Sie die Domain aus, die Sie für O365 verwenden möchten, und klicken Sie auf Los geht‘s!.

Bereiten Sie die Domain vor > Domain einrichten

Sie werden weitergeleitet, um sich mit Ihrem O365-Administratorkonto bei Microsoft Entra anzumelden und um Erlaubnis für Specops Authentication zu erteilen.

Hinweis

Ihre Zustimmung erteilt Specops Authentication delegierte Berechtigungen, um die Einrichtung als Administrator abzuschließen. Die Specops Authentication App hat keine globalen Administratorberechtigungen in Ihrem Office 365 Mandanten. Dies ist nur während der Einrichtung erforderlich.
Um Ihre Domain einzurichten, müssen Sie den TXT-Verifizierungseintrag von der Specops Authentication Web-Seite in die DNS-Einträge Ihres Domain-Hosts kopieren.

Hinweis

Wenn Sie Ihre Domain bereits verifiziert haben, wird dieser Schritt nicht abgefragt.

Benutzerbereitstellung > Konfigurieren

Wenn Sie bereits Microsoft Entra ID Connect für die Bereitstellung verwenden, klicken Sie auf Überspringen.
Sie werden aufgefordert, die Standard-O365-Benutzerregeln zu bearbeiten. Die Benutzerregeln werden verwendet, um die Bereitstellung von Benutzerobjekten von Active Directory zu Microsoft Entra ID zu konfigurieren.
In O365 wird der UPN (UserPrincipalName) des Benutzers zu seinem Benutzernamen. Einige Apps können sogar nach einer E-Mail-Adresse fragen, wenn sie tatsächlich UPN meinen. Wenn Benutzer mit nicht übereinstimmendem UPN und E-Mail zulassen auf Aus gesetzt ist, werden Benutzer mit nicht übereinstimmenden Werten nicht bereitgestellt, und es wird ein Fehler während der Anmeldung angezeigt.
Bei Bedarf können Sie die optionalen Benutzer- und Gruppenattribute deaktivieren.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Office 365 Lizenzen > Konfigurieren

Specops Authentication kann Ihnen helfen, Ihre O365-Lizenzen zu verwalten. Wenn die Bereitstellung aktiviert ist, ermöglichen die Lizenzierungseinstellungen, O365-Abonnements Benutzern zuzuweisen, die sich über Specops Authentication bei O365 anmelden.

Für Lizenzierungszwecke ist das Verwendungsstelle ein erforderliches Feld beim Erstellen eines Microsoft Entra-Benutzers. Standardmäßig wird das Attribut msExchUsageLocation in Active Directory verwendet. Wenn das Attribut fehlt, wird es auf das Land Ihrer Microsoft Entra-Organisation standardmäßig gesetzt.
Sie können spezifische Pläne für das ausgewählte O365-Abonnement weiter aktivieren/deaktivieren. Wenn zum Beispiel nur Skype for Business aktiviert ist, erhält der Benutzer nur die Skype-Lizenz. Wenn der Benutzer vor der Anmeldung mehr Pläne hatte, werden diese entfernt, um genau Ihrer Konfiguration zu entsprechen.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Authentifizierungsregeln > Konfigurieren

Die Authentifizierungseinstellungen werden alle betroffenen Benutzer auffordern, ihre Identität mit Specops Authentication zu verifizieren, wenn sie sich bei O365 anmelden.

Verschieben Sie alle Identitätsdienste, die Sie verwenden möchten, aus dem Feld Nicht ausgewählte Identitätsservices in das Feld Ausgewählte Identitätsdienste.
Sie müssen jedem ausgewählten Identitätsdienst ein Gewicht (Sternwert) zuweisen. Dies ermöglicht es Ihnen, denjenigen Identitätsdiensten, die Ihrer Meinung nach ein höheres Sicherheitsniveau bieten, einen höheren Wert zuzuweisen. Zum Beispiel entspricht die Zuweisung des Specops Authenticator mit 2 Sternen zwei Identitätsdiensten im Wert von 1 Stern. Siehe Gewichtszuteilung für Identitätsdienste für zusätzliche Anleitungen.
Um zu verlangen, dass der Benutzer einen bestimmten Identitätsdienst verwendet, aktivieren Sie das Kontrollkästchen Erforderlich.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Registrierung.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Authentifizierung.

Hinweis

Die Anzahl der für die Authentifizierung erforderlichen Sterne muss gleich oder kleiner als die Anzahl der für die Registrierung erforderlichen Sterne sein.
Um den Registrierungs- oder Authentifizierungsprozess abzuschließen, muss der Benutzer die Sternleiste mit der von der Richtlinie festgelegten Anzahl von Sternen füllen.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Hinweis

Konfigurieren Sie eine SSO-Only-Richtlinie

Bei Verwendung des GPO-Konfigurationstyps können Sie eine SSO-Only-Richtlinie neben einer Multi-Faktor-Authentifizierungsrichtlinie erstellen. Um eine SSO-Only-Richtlinie zu konfigurieren, wählen Sie Windows Identity und keine anderen Identitätsdienste aus. Sie weisen der Windows Identity 1 Stern zu und setzen das Gewicht für Registrierung und Authentifizierung auf 1 Stern.

Föderation aktivieren > Aktivieren

Aktivieren Sie die Föderation, damit sich alle betroffenen Benutzer über Specops Authentication anmelden. Wenn Sie den Benutzern die Möglichkeit geben möchten, sich zuerst zu registrieren, können Sie zu diesem Schritt später zurückkehren. Sie sehen eine Nachricht, dass die Einrichtung erfolgreich abgeschlossen wurde. Klicken Sie auf Fortfahren.

Sie sehen eine Übersicht über alle Ihre Einstellungen.

Bereitstellung und Konfigurationen

Geben Sie an, ob Specops Authentication Ihre markierten GPOs oder den während der Gatekeeper-Installation ausgewählten Bereich verwenden soll. Wählen Sie entweder Gruppenrichtlinie oder Cloud (den ausgewählten Bereich) als Konfigurationstyp und klicken Sie auf Konfigurieren.
1. Wenn Gruppenrichtlinie ausgewählt ist, müssen Sie die Benutzerbereitstellung, Lizenzen und Authentifizierungsregeln wie oben erklärt konfigurieren.
Klicken Sie im Bereitstellungseinrichtung auf Details, um den Servicestatus zu überprüfen. Dies überprüft, ob das Exchange-Administratorkonto eingerichtet ist. Es kann bis zu einer Stunde dauern, bevor das Konto verwendet werden kann. Wenn der Status Läuft lautet, sollte die Bereitstellung beginnen zu funktionieren.

Hinweis

Diese Seite muss manuell aktualisiert werden.

Sie können mit anderen Konfigurationen fortfahren und später hierher zurückkehren.