Gatekeeper Verwaltungstool

Das Gatekeeper Admin Tool bietet einen Überblick über die installierten Komponenten und kann verwendet werden, um die systemweiten Konfigurationseinstellungen zu verwalten, die während der Installation erstellt wurden.

Gatekeeper

Die folgenden Einstellungen können auf der Registerkarte Gatekeeper konfiguriert werden.

Gatekeeper Admin Tool aktualisieren

Weitere Informationen zum Upgrade auf die neueste Version von Specops Authentication finden Sie unter Upgrade.

Zertifikate anzeigen

Die Zertifikate sowohl für den Gatekeeper-Client als auch für die Gatekeeper-Backend-Authentifizierung können durch Klicken auf den Anzeigen-Link aufgerufen werden.

Proxy-Einstellungen ändern

Wenn Ihre Organisation einen Forward-Proxy-Server verwendet, um den Internetverkehr extern zu leiten, müssen Sie den Proxy-Server so konfigurieren, dass der Gatekeeper das Internet erreichen kann. Klicken Sie auf Bearbeiten in der Proxy-Zeile und geben Sie die Adresse als vollständige URL an, einschließlich des Protokolls und eines benutzerdefinierten Ports.

Gatekeeper ändern

Wenn Sie mehrere Gatekeeper haben, können Sie zwischen ihnen wechseln:

Klicken Sie oben links auf Ändern.
Markieren Sie im Fenster Gatekeeper auswählen den Gatekeeper, zu dem Sie wechseln möchten.
Klicken Sie auf OK.

Allgemeine Befehle

Oben rechts auf dieser Registerkarte befindet sich ein Feld mit allgemeinen Befehlen. Diese umfassen Folgendes:

Aktualisieren: aktualisiert die Informationen in der Registerkarte.
Auf neue Admin-Tool-Version prüfen: prüft, ob das Admin-Tool aktualisiert werden muss.
Von SPR migrieren: öffnet den Migrationsassistenten zum Migrieren von Specops Password Reset-Daten.
Caches auf allen Gatekeepers löschen: löscht alle Caches auf den Gatekeepers.

Offline-Gatekeepers verwalten

Um alle verfügbaren Gatekeepers korrekt aufzulösen, müssen alle Offline- (ungenutzten) Gatekeepers korrekt entsorgt werden. Der empfohlene Weg, dies zu tun, ist über das Gatekeeper Admin Tool.

Gatekeepers abmelden (empfohlen)

Stellen Sie im Gatekeeper Admin Tool sicher, dass Sie auf den Gatekeeper zugegriffen haben, den Sie abmelden möchten (Informationen zum Wechseln zu anderen Gatekeepers finden Sie im obigen Abschnitt Gatekeeper ändern).
Klicken Sie oben rechts im Feld Gatekeeper-Installation auf Abmelden.
Bestätigen Sie, dass Sie diesen Gatekeeper abmelden möchten, indem Sie im Fenster Gatekeeper abmelden auf Ja klicken.

Gatekeepers manuell entfernen

Wenn aus irgendeinem Grund der Offline- (ungenutzte) Gatekeeper nicht mit der oben genannten Methode abgemeldet wurde (z. B. weil der Server, auf dem er installiert war, aus irgendeinem Grund nicht mehr vorhanden ist), müssen zusätzliche manuelle Schritte unternommen werden.

Hinweis

Wenn ein ungenutzter Gatekeeper nicht im Gatekeeper Admin Tool abgemeldet wurde, müssen die verbleibenden Dateien manuell entfernt werden, damit der Gatekeeper korrekt aufgelöst werden kann.

Entfernen Sie den Gatekeeper aus der Cloud
1. Greifen Sie auf Authentication Web zu und klicken Sie auf Gatekeepers.
2. Markieren Sie in der Liste den Gatekeeper, den Sie abmelden möchten.
3. Klicken Sie auf Gatekeeper abmelden.
  
  Hinweis
  
  Dieser Abmeldeprozess ist nicht derselbe wie der, der vom Gatekeeper Admin Tool durchgeführt wird. Der Abmeldeprozess, der vom Gatekeeper Admin Tool initiiert wird, führt alle notwendigen Schritte zur Entsorgung des ungenutzten Gatekeepers durch und erfordert keine manuellen Schritte.
4. Klicken Sie im Bestätigungsfenster auf Abmelden.
Entfernen Sie den Service Connection Point (SCP) aus dem Active Directory.
1. Öffnen Sie auf dem Server, auf dem der Gatekeeper installiert ist, das Tool Active Directory-Benutzer und -Computer.
2. Stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind (obere Menüleiste Ansicht > Erweiterte Funktionen).
3. Navigieren Sie zu System > Specops > SpecopsAuthentication > Gatekeepers.
4. Klicken Sie mit der rechten Maustaste auf den richtigen Gatekeeper und wählen Sie Löschen.

Active Directory-Einstellungen

Die folgenden Einstellungen können auf der Registerkarte Active Directory-Einstellungen konfiguriert werden.

Verwaltungsbereich bearbeiten

Der Active Directory-Bereich bestimmt, welche Benutzer den Specops Authentication-Dienst nutzen können.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Zeile, in der der aktuelle Active Directory-Bereich angezeigt wird, und klicken Sie auf Bearbeiten.
Wählen Sie den gewünschten Active Directory-Bereich aus und klicken Sie auf Hinzufügen. Mehrere Standorte können ausgewählt werden, wenn Sie mehrere Verwaltungsbereiche wünschen.
Klicken Sie auf OK.

Passwortzurücksetzungen in Specops Authentication aktivieren

Sie können die uReset- und Secure Service Desk-Funktionen in Specops Authentication aktivieren. Für uReset können Endbenutzer häufige Aufgaben im Zusammenhang mit dem Passwortmanagement, einschließlich vergessener Passwörter, selbstständig erledigen. Diese Funktion ist gesperrt, es sei denn, Sie haben uReset als Teil Ihres Abonnements. Für Secure Service Desk ermöglicht dies die Verwaltung von Benutzern im Secure Service Desk. Diese Funktion ist gesperrt, es sei denn, Sie haben Secure Service Desk als Teil Ihres Abonnements.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Klicken Sie im Abschnitt Active Directory-Einstellungen in der Zeile Passwortzurücksetzungen erlauben auf Ändern.
Wählen Sie eine der folgenden Optionen, wenn Sie die Passwortzurücksetzungsfunktion aktivieren:
- Standard-Sicherheitsmodus: Alle Benutzer, die Mitglieder der Specops Authentication Service Desk Agents-Gruppe sind, können Passwörter für andere Benutzer zurücksetzen.
- Delegierter Sicherheitsmodus: Die Zugriffskontrolle für das Zurücksetzen von Passwörtern für andere Benutzer basiert auf der tatsächlichen Sicherheitskonfiguration (‚Passwort zurücksetzen‘-Berechtigung) im Active Directory.
Klicken Sie auf OK.

Mitglieder zu Sicherheitsgruppen hinzufügen/entfernen

Sie können zusätzliche Mitglieder zu den Gruppen Admin, Benutzer-Admin, Gatekeepers und Reporting Readers hinzufügen. Benutzer, die Mitglieder der Admin-Gruppe sind, sind Portal-Administratoren auf der Specops Authentication Web. Benutzer, die Mitglieder der Benutzer-Admin-Gruppe sind, können auf die Benutzerverwaltungsfunktionen auf der Specops Authentication Web zugreifen. Benutzer, die Mitglieder der Gatekeepers-Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Sicherheitsgruppe, die Sie bearbeiten möchten, und klicken Sie auf Mitglieder bearbeiten.
Um ein Mitglied hinzuzufügen, klicken Sie auf Mitglied hinzufügen und geben Sie den Namen des Benutzers oder der Gruppe ein, die Sie hinzufügen möchten, und klicken Sie dann auf OK.
Um ein Mitglied zu entfernen, wählen Sie ein Mitglied aus der Liste der Gruppenmitglieder aus und klicken Sie auf Ausgewähltes Mitglied entfernen, dann klicken Sie auf OK.
Klicken Sie auf OK.

Reporting Readers-Gruppe

Mitglieder der Sicherheitsgruppe Reporting Readers im Gatekeeper Admin Tool können sich bei Specops Authentication Web anmelden, um Berichte anzuzeigen. Sofern sie nicht auch Mitglieder anderer Sicherheitsgruppen sind, werden sie keine anderen Abschnitte in Specops Authentication Web sehen.

Hinweis

Mitglieder dieser Gruppe können alle Berichte im Zusammenhang mit dem Konto sehen. Sie können nicht filtern, welche Berichte sichtbar sind oder nicht.

Bevorzugten Domänencontroller angeben

Standardmäßig verwendet Specops Authentication den nächstgelegenen verfügbaren Domänencontroller. Klicken Sie auf Ändern, um den bevorzugten Domänencontroller anzugeben.

Secure Access

Die folgenden Einstellungen können auf der Registerkarte Secure Access konfiguriert werden.

Secure Access-GPOs verwalten

Sie können die GPOs, die Sie mit der Secure Access-Funktion auf Specops Authentication verwenden möchten, kennzeichnen. Betroffene Benutzer werden sich mit einem zweiten Faktor authentifizieren, wenn sie sich bei ihrem Windows-Konto anmelden.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für MFA für Windows gekennzeichnet auf GPOs kennzeichnen, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

NPS Companion-GPOs verwalten

Sie können die GPOs, die Sie mit der NPS Companion (Radius)-Funktion auf Secure Access verwenden möchten, kennzeichnen. Betroffene Benutzer werden sich mit einem zweiten Faktor authentifizieren, wenn sie sich mit Remotezugriff bei ihrem Windows-Konto anmelden. Weitere Informationen finden Sie auf dieser Seite.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für NPS Companion gekennzeichnet auf GPOs kennzeichnen, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

Office 365

Auf der Registerkarte Office 365 können Sie die GPOs kennzeichnen, die Sie mit Specops Authentication verwenden möchten. Betroffene Benutzer können ihre Authentifizierungs-, Bereitstellungs- und Lizenzierungseinstellungen von der Specops Authentication Web aus konfigurieren. Alternativ, wenn Sie möchten, dass Specops Authentication auf den während der Gatekeeper-Installation ausgewählten Bereich angewendet wird, überspringen Sie diesen Schritt und wählen Sie Cloud im letzten Schritt, wenn Sie Specops Authentication mit O365 konfigurieren.

Nützliche Links aktualisieren

Klicken Sie auf Aktualisieren, um die Liste der nützlichen Links zu aktualisieren.

E-Mail-Konfiguration

Wenn Sie die Standardkonfiguration von Specops, die Drittanbieter wie SendGrid verwendet, um E-Mail-Benachrichtigungen zu senden, nicht verwenden möchten, können Sie in diesem Abschnitt des Gatekeeper Admin Tool Ihren eigenen SMTP-Anbieter konfigurieren. Informationen zum Bearbeiten der Standardkonfiguration von Specops in Specops Authentication Web finden Sie auf der Specops Authentication Web-Seite.

Hinweis

Die Konfiguration der SMTP-Einstellung im Gatekeeper Admin Tool deaktiviert jede Konfiguration in Specops Authentication Web.

SMTP-Einstellungen konfigurieren

SMTP-Einstellungen können auf drei Arten konfiguriert werden:

Verwendung der Specops-Standardkonfiguration (konfiguriert in Specops Authentication Web)
Verwendung von SMTP mit anonymem Zugriff
Verwendung von SMTP mit Basis-Authentifizierung

Klicken Sie auf Bearbeiten
Wählen Sie aus dem Dropdown-Menü aus, welche Art von Konfiguration Sie verwenden möchten (anonym oder Basis-Authentifizierung)
Geben Sie die Domäne für den SMTP-Server ein (Pflichtfeld)
Legen Sie die maximale Anzahl gleichzeitiger Verbindungen fest, die der Gatekeeper beim Senden von E-Mails verwenden wird.

Hinweis

Jedes Mal, wenn in diesem Feld Änderungen vorgenommen werden, müssen alle betroffenen Gatekeepers neu gestartet werden.

Hinweis

Der Standardwert für die maximale Anzahl gleichzeitiger Verbindungen ist auf 10 gesetzt. Bitte konsultieren Sie die Dokumentation Ihres SMTP-Servers, wie viele gleichzeitige Verbindungen erlaubt sind.
Geben Sie den SMTP-Port ein (Standard ist Port 25)
Verwenden Sie das Dropdown-Menü, um festzulegen, ob TLS (Transport-Level Security) verwendet werden soll.

Hinweis

Setzen Sie diese Option auf Ja, wenn Sie die Verschlüsselung für ausgehende E-Mails aktivieren möchten. Beachten Sie, dass die Aktivierung von TLS den SMTP-Port automatisch auf 587 setzt.

Hinweis

Beachten Sie, dass ein gültiges SSL-Zertifikat erforderlich ist, um TLS beim Senden von SMTP-E-Mails zu verwenden.
Geben Sie die Absender-E-Mail-Adresse (Pflichtfeld) und den Anzeigenamen des Absenders ein
Nur für Basis-Authentifizierung: Geben Sie den SMTP-Benutzernamen und das Passwort ein
Klicken Sie auf OK
Klicken Sie im Erfolgsdialogfeld auf OK und starten Sie alle Gatekeepers neu, wenn die Option Maximale gleichzeitige Verbindung geändert wurde.

Microsoft Entra ID-Einstellungen

Sie können Microsoft Entra ID verwenden, um bei Zurücksetzung oder Änderung des Passworts zu synchronisieren. Um die Microsoft Entra ID-Einstellung im Gatekeeper Admin Tool zu konfigurieren, müssen Sie zuerst eine App in Microsoft Entra ID einrichten und ihr die richtigen Berechtigungen geben.

Anforderungen

Anforderung
Mandant in Microsoft Entra ID
Abonnements in Microsoft Entra ID

Eine App in Microsoft Entra konfigurieren

Melden Sie sich bei https://entra.microsoft.com/ an
Klicken Sie auf Microsoft Entra ID. Dies sollte Sie zum Verzeichnis Ihrer Organisation bringen.
Klicken Sie auf App-Registrierungen.
Klicken Sie auf Neue Registrierung.
Geben Sie einen Namen für die App im Feld Name ein.
Wählen Sie mit den Optionsfeldern den unterstützten Kontotyp aus (Einzelmandant oder Mehrmandanten)
Klicken Sie auf Registrieren. Notieren Sie sich im folgenden App-Zusammenfassungsbildschirm im Abschnitt Essentials die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID). Diese werden für die Konfiguration verwendet.
Klicken Sie in der linken Navigation des App-Zusammenfassungsbildschirms auf Zertifikate & Geheimnisse.
Klicken Sie auf Neues Client-Geheimnis. Geben Sie eine Beschreibung ein und legen Sie eine Ablaufzeit mit dem Dropdown-Menü Ablauf fest, und klicken Sie dann auf Hinzufügen.
Kopieren und speichern Sie das Geheimnis in der Spalte Wert für das Passwort. Dies wird auch für die Konfiguration verwendet.

Hinweis

Wenn Sie einen Synchronisierungspunkt (Specops Password Sync) konfigurieren, beachten Sie, dass dieser Wert im Feld Anbieter-Passwort in der Synchronisierungspunkt-Konfiguration eingefügt werden muss.
Klicken Sie in der (linksseitigen) linken Navigation des Microsoft Entra ID Admin Centers auf Microsoft Entra ID und dann auf Rollen und Administratoren.
Klicken Sie in der Liste auf eine Rolle, die ausreichend ist, um Passwörter zurückzusetzen.

Hinweis

Für einen Überblick über Rollen und deren Berechtigungen gehen Sie bitte zu Arbeiten mit Benutzern in Microsoft Graph. Beachten Sie, dass die Mindestanforderung für das Zurücksetzen von Passwörtern die Rolle Passwort-Administrator ist.
Klicken Sie oben auf Zuweisungen hinzufügen. Die Zuweisungen hinzufügen-Seitenleiste öffnet sich rechts.
Geben Sie im Suchfeld den registrierten App-Namen ein, klicken Sie auf die App in der Suchergebnisliste und klicken Sie dann unten auf Hinzufügen.

Nächste Schritte

Schreiben Sie die Anwendungs-ID (Client-ID), Verzeichnis-ID (Mandanten-ID) und das Client-Geheimnis auf oder kopieren Sie sie und fahren Sie mit der Konfiguration der Microsoft Entra ID-Einstellungen im Gatekeeper Admin Tool fort.

Das Gatekeeper Admin Tool konfigurieren

Wählen Sie im Gatekeeper Admin Tool Microsoft Entra ID-Einstellungen aus.
Klicken Sie im Feld Microsoft Entra ID-Einstellungen auf Bearbeiten.
Geben Sie die Client-ID (Anwendungs-ID (Client-ID)) ein.
Geben Sie die Mandanten-ID (Verzeichnis-ID (Mandanten-ID)) ein.
Geben Sie das Client-Geheimnis (Client-Geheimniswert) ein.
Klicken Sie auf OK.
Klicken Sie im rechten Navigationsfeld auf Verbindung testen, um zu sehen, ob eine Verbindung zu Microsoft Entra ID hergestellt wurde.

Sobald die Verbindung hergestellt ist, beginnt der Gatekeeper mit der Synchronisierung mit Microsoft Entra ID bei Passwortzurücksetzung oder -änderung.

Windows-Identität

Dieser Abschnitt zeigt die Einstellungen für die Windows-Integrierte Authentifizierung. Diese Einstellungen können auch hier bearbeitet werden.

Hinweis

NTLM ist ein veraltetes Protokoll, das nur älteren Specops-Kunden zur Verfügung steht. Neue Kunden werden den Identitätsdienst standardmäßig deaktiviert haben und können nur zwischen Deaktiviert oder Kerberos wählen.

Die Windows-Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver gesendet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit der Windows-Identität und gewährt das Windows-Identitäts-Authentifizierungs-Token.

Integrierte Authentifizierung aktivieren

Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:

Hinweis

Es wird empfohlen, während der Installation der Gatekeepers den Kontotyp Gruppenverwaltete Dienstkonten zu verwenden. Weitere Informationen finden Sie unter gMSA.

Wählen Sie im Gatekeeper Admin Tool Windows-Identität aus.
Klicken Sie im Feld Einstellungen für die Integrierte Authentifizierung auf Bearbeiten.
Wählen Sie im Dropdown-Menü Authentifizierungsprotokoll auswählen das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.

Hinweis

Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Klicken Sie auf OK.
Fügen Sie die URL für die Integrierte Authentifizierung zu Lokales Intranet in Internetoptionen für jeden Client hinzu.

Hinweis

Dies kann durch Hinzufügen der URL zur Liste der Vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitsregisterkarte > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen dazu finden Sie hier: Alternative Möglichkeiten zum Aktualisieren vertrauenswürdiger Sites. Beachten Sie, dass der hier referenzierte Blogpost sich mit einer anderen URL befasst, obwohl der Prozess derselbe ist.

Weitere Informationen zur Windows-Identität finden Sie auf der Windows-Identitätsseite.