Übersicht

Specops Authentication for O365 ist die ideale Lösung für Unternehmen, die einen einfachen und automatisierten Ansatz für die O365-Benutzerverwaltung und -Authentifizierung benötigen. Specops Authentication ist in Ihrem Active Directory installiert. So können Sie vorhandene Gruppenrichtlinien verwenden, um die Bereitstellung zu konfigurieren und den Benutzern Lizenzen zuzuweisen, wenn sie sich bei O365 anmelden.

Die leistungsstarke Multi-Faktor-Authentifizierungs-Engine der Lösung unterstützt eine breite Palette von Authentifizierungsfaktoren, die zur Verbesserung der Gesamtsicherheit Ihres Unternehmens beitragen können. Mit mehr als 15 Identitätsanbietern, die zur Authentifizierung zur Verfügung stehen, haben die Benutzer immer einen sicheren Weg, um auf wichtige Ressourcen zuzugreifen.

Specops Authentication for O365 kann ohne umfangreiche Administrator-Fachkenntnisse verwendet werden. Egal, wo Sie sich in Ihrem O365 befinden, kann Specops Authentication Ihren Zeitaufwand für die O365-Verwaltung verringern und die Sicherheit erhöhen, ohne Ihre Benutzererfahrung zu beeinträchtigen.

Grundkonzepte

Authentifizierung

Die Authentifizierung dient zur Überprüfung der Identität des Benutzers. Dazu muss der Benutzer in der Regel seine Identität angeben, indem er seinen Benutzernamen und sein Kennwort eingibt.

Registrierung

Sie müssen sich mit Specops Authentication anmelden, bevor Sie auf O365 zugreifen können. Das Registrierverfahren ist für jede Art von Identitätsdienst unterschiedlich. Zur Registrierung bei einen externen Identitätsdienst wie z. B. Google, muss der Benutzer dem Link von der Specops Authentication-Webanwendung zur Google-Webseite folgen und sich mit der mit seinem Google-Konto verbundenen E-Mail-Adresse und seinem Kennwort anmelden.

Identitätsdienste

Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (Facebook, LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).

Folgende Identitätsdienste können zur Authentifizierung von Benutzern in Specops Authentication for O365 verwendet werden:

Standard

  • Specops Fingerprint:Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
  • Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
  • E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
  • : Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
  • Vertrauenswürdige Netzwerkstandorte:Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
  • Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
  • Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

3. Parteien

  • Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
  • Okta: Benutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren.
  • Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
  • Google Authenticator:Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Microsoft Authenticator:Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • EFOS/SITHS (Schweden):EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
  • Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.

Föderiert

  • Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
  • Facebook: Benutzer können sich mit ihren Facebook-Kontodaten registrieren und authentifizieren.
  • Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live-Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
  • Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
  • Twitter: Benutzer können sich mit ihren Twitter-Kontodaten registrieren und authentifizieren.
  • Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
  • LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Berechtigungsnachweisen: etwas, das Sie wissen (z. B. Kennwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie verkörpert (z. B. Fingerabdruck).

Das Multi-Faktor-Authentifizierungsmodell von Specops ist dynamisch. Die Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die bei mehr Identitätsdiensten angemeldet sind, als für ihre Authentifizierung erforderlich sind, haben die Wahl bei der Authentifizierung. Dadurch wird gewährleistet, dass die Endnutzer auch dann noch in der Lage sind, die Authentifizierungsrichtlinien zu erfüllen, wenn ein bestimmter Identitätsdienst nicht verfügbar ist (z. B. wenn das Mobiltelefon nicht greifbar ist).

Richtlinie

Eine Richtlinie enthält die zur Registrierung und die Multi-Faktor-Authentifizierung für den Zugriff auf O365 erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität von Endbenutzern verwendet werden müssen. Der Systemadministrator ist für die Konfiguration der Regeln in der Richtlinie verantwortlich.

Architektur und Design

Specops Authentication besteht aus folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend sowie die Web- und Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.

Alt-Text für dieses Bild

  1. Benutzer versucht, auf sein O365 zuzugreifen
  2. Der Benutzer wird über Federated Trust zu Specops Authentication weitergeleitet
  3. Die Authentifizierungsoptionen werden abgerufen und dem Benutzer präsentiert
  4. Der Benutzer wählt die Identitätsdienste zur Authentifizierung aus
  5. Die Identitätsdienste bestätigen die Identität des Benutzers an Specops Authentication
  6. Die Benutzeridentität wird mit Active Directory abgeglichen
  7. Specops Authentication erstellt ein Token für den Benutzer zur Eingabe bei O365
  8. Specops Authentication bestätigt die Benutzerauthentifizierung an O365 (wenn die Authentifizierungsrichtlinie erfüllt ist)

Authentifizierungs-Cloud: Die globale Cloud-Komponente von Specops Authentication, die Authentication Cloud, enthält die Web- (Front-End für Endbenutzer) und die Back-End-Dienste.

Authentication Web: Enthält das Front-End für Endbenutzer und Administratoren. Ermöglicht die Erstellung von Specops Authentication-Einstellungen sowie die Konfiguration der Provisionierung.

Authentifizierungs-Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Auch die Web- und Identitätsdienste kommunizieren mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Specops Authentication-Benutzers auf der Grundlage der Token der einzelnen Identitätsdienste.

Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domain installiert werden. Der Gatekeeper liest Benutzerinformationen aus dem Active Directory und verwaltet alle Operationen mit dem Active Directory, wie z. B. das Lesen und Schreiben von Anmeldedaten.

Identitätsdienste: Eine Einrichtung, die die Identität eines Benutzers in Specops Authentication. Die Token der jeweiligen Identitätsdienste werden vom Backend verwendet, um die Identität eines Benutzers zu überprüfen.

Einige zur Authentifizierung verwendeten Identitätsdienste wie Facebook oder Google sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer an diesen weitergeleitet und gebeten, Specops Authentication die Zustimmung zum Zugriff auf persönliche Daten von ihm, wie z. B. seinen Benutzernamen, zu geben. Die nach dieser Einwilligung freigegebenen Informationen ermöglichen die Erstellung des Tokens zur Authentifizierung.

Authentifizierungsrichtlinie: Eine Richtlinie, die angibt, wie sich ein Benutzer authentifizieren muss, um auf eine Ressource zugreifen zu können.

Token: Ein Token oder ein Sicherheits-Token ist ein Träger von Informationen über einen Nutzer sowie den Aussteller des Tokens. Die Benutzerinformationen sind eine Reihe von Angaben. Diese Benutzerangaben können z. B. der Name des Benutzers, die ID des Kunden, zu dem er gehört, und die Rollen sein, die er Benutzer in seiner Organisation hat.

Hinweis: Die Token selbst enthalten keine personenbezogenen Daten oder Kennwörter.

Merkmale und Fähigkeiten

Merkmale der Konsolenunterstützung

Föderierte Windows-Identität

Wenn ein Benutzer versucht, sich bei O365 anzumelden, kann Specops Authentication SSO-Zugriff mit den vorhandenen Anmeldeinformationen für die integrierte Windows-Authentifizierung gewähren, sofern in der Richtlinie keine zusätzlichen Authentifizierungsanforderungen angegeben sind.

Identitätsdienst-Vertrauenszuweisung

Specops Authentication erlaubt dem Administrator, jedem Identitätsdienst einen Vertrauenswert bzw. eine Gewichtung zuzuweisen und zu entscheiden, ob ein Identitätsdienst bei der Authentifizierung zum Beispiel doppelt so viel wert ist wie ein anderer. In den Benutzeroberflächen sowohl für die Endnutzer als auch für den Administrator wird die Gewichtung durch Sterne dargestellt.

Individuelle Anpassungen

Die -Webanwendung enthält mehrere Anpassungsfunktionen, mit denen Sie die Kontrolle über die Specops Authentication-Endbenutzer-Schnittstelle erhalten. Sie können verschiedene grafische Elemente anpassen, einschließlich des Hauptlogos und des Hauptstils (Sie können Ihre eigenen Stile mit Hilfe eines benutzerdefinierten Bootstrap-CSS einrichten).

Multi-Faktor-Authentifizierung für Administratoren

Benutzer, die zur Specops Authentication-Administratorgruppe gehören, können die Multi-Faktor-Authentifizierung verwenden, um ihre Identität beim Zugriff auf die Administratorseiten der Webanwendung zu verifizieren.

Mobile Anwendungen

Specops Authenticator

Die Specops Authenticator-App ist ein hochgradig vertrauenswürdiger Identitätsdienst, der das mobile Gerät in ein sicheres Token-Gerät verwandelt. Die App generiert einen Geheimcode, den die Benutzer bei der Authentifizierung zusätzlich zu ihrem Benutzernamen angeben müssen. Diese Codes basieren auf nach dem Industriestandard des Zeitbasierten Einmal-Kennwort-Algorithmus generierten Token. Damit kann Specops Authenticator sowohl mit Google als auch Microsoft Authenticatoren arbeiten.

Specops Fingerprint Authenticator

Mit der Specops Fingerprint Authenticator-App können Sie sich bei O365 authentifizieren, indem Sie entweder die in Ihr iOS integrierte Fingerabdruckerkennung Touch ID oder die Fingerabdruck-API-Scanfunktion Ihres Android-Betriebssystem (ab 6.0) verwenden.

Unterstützte Clients

Specops Authentication unterstützt die folgenden Clients für den Zugriff auf O365.

  • Webbasierte Versionen von O365 auf allen modernen Browsern z.B https://portal.office.com
  • Office 365 für Windows
  • Office 2016 für Windows
  • Office 2013 für Windows (Erfordert zusätzliche Einstellungen, die von der Organisation bestimmt werden).
  • Outlook für iPhone
  • Outlook für Android
  • OneDrive for Business
  • Skype for Business

Allgemeine Konfigurationsszenarien

Im Folgenden finden Sie drei häufige Konfigurationsszenarien für die Specops-Authentifizierung mit O365.

Sie verwenden kein O365 und Ihre primäre Domain ist nicht in Azure AD registriert

  1. Sie können ein O365-Konto erwerben oder sich für ein kostenloses Enterprise-Testkonto registrieren, unter: https://www.microsoft.com/en-ca/microsoft-365/business/office-365-enterprise-e3-business-software
  2. Erstellen Sie Ihr Specops Authentication-Kundenkonto unter: https://login.specopssoft.com/Authentication/Account/Signup
  3. Folgen Sie den Schritten in Specops AuthenticationInstallation und Administrator-Leitfaden.

Verwendung von O365 mit Ihrem Produktionsmandanten/Active Directory zum Testen mit dem sekundären Domain-Namen

Ihr primärer Domain-Name ist in Gebrauch, und Sie möchten zu Testzwecken einen sekundären Domain-Namen einrichten.

  1. Erstellen Sie eine neue öffentliche DNS-Domain (zum Beispiel: test.contoso.com). Sie werden aufgefordert, Ihre Domain zu verifizieren, indem Sie während der Einrichtung einen TXT-Eintrag in den DNS-Eintrag Ihres Domain-Hosts einfügen.
  2. Stellen Sie sicher, dass Sie Testbenutzer mit UPN-Suffixen für die neue Domain user@test.contoso.com haben.
  3. Erstellen Sie Ihr Specops Authentication-Kundenkonto mit der sekundären Domain, test.contoso.com.
  4. Installieren Sie die Gatekeeper-Komponente. Siehe dazu den Specops AuthenticationInstallationsleitfaden.
  5. Richten Sie den Verbund mit der Domain (test.contoso.com) und O365 ein. Weitere Informationen finden Sie im Administratorleitfaden > Office 365.
    • Wenn Sie bereits Azure AD Connect für die Bereitstellung verwenden, können Sie den Schritt Benutzerbereitstellung > Konfigurieren überspringen. Wenn die verbleibenden Schritte konfiguriert sind, können die Benutzer sich mit ihren UPNs bei O365 mit Single Sign-On oder Multi-Faktor-Authentifizierung anmelden, z. B. : Jane.Doe@test.contoso.com.
    • Wenn Sie bereits Azure AD Connect verwenden und die Specops Authentication-Bereitstellung testen möchten, stellen Sie sicher, dass Azure AD Connect Ihre Testbenutzer nicht synchronisiert. Stellen Sie den Geltungsbereich für Azure AD Connect so ein, dass die OU, in der sich Ihre Testbenutzer befinden, ausgeschlossen wird.
    • Wenn diese Benutzer zuvor von Azure AD Connect bedient wurden, werden sie von Microsoft beim nächsten Synchronisierungszyklus aus Ihrem Azure-Tenant entfernt. Nachdem sie entfernt wurden, kann Specops Authentication sie nicht wiederherstellen. Um gelöschte Benutzer wiederherzustellen, gehen Sie zu "Gelöschte Benutzer" im O365-Administrationsportal. Dies kann auch mit PowerShell erfolgen.
  6. Markieren Sie ein GPO, das diese Benutzer in Gatekeeper Admin Tool betrifft und aktivieren Sie die Benutzerbereitstellung für das GPO auf der Specops Authentication-Website. Diese Benutzer können sich nun mit Single Sign-On anmelden und werden versorgt.

Verwendung von O365 mit Ihrem Produktionsmandanten bzw. Active Directory für Tests in Produktion (nicht empfohlen)

Ihre primäre Domain ist in Gebrauch, und Sie möchten keine sekundäre Domain einrichten. Dies richtet Specops Authentication für alle Benutzer in der Produktion ein.

  1. Erstellen Sie Ihr Specops Authentication-Kundenkonto unter Ihrer primären Domain contoso.com.
  2. Installieren Sie die Gatekeeper-Komponente. Siehe dazu den Specops Authentication-Installationsleitfaden.
  3. Erstellen und markieren Sie ein GPO, das alle Benutzer betrifft, die sich bei O365 anmelden müssen, oder verwenden Sie ein vorhandenes GPO.
  4. Erstellen und markieren Sie ein GPO, das die Benutzer betrifft, die Specops Authentication testen sollen, oder verwenden Sie ein vorhandenes GPO.
  5. Richten Sie einen Verbund mit der Domain (contoso.com) und O365 ein. Weitere Informationen finden Sie im Administratorleitfaden > Office 365.
    HINWEIS
    Führen Sie die Konfigurationsschritte durch, überspringen Sie jedoch die Konfiguration der Benutzerbereitstellung und Lizenzierung.
  6. Konfigurieren Sie auf der Specops Authentication-Website die Richtlinie für alle Benutzer so, dass zur Authentifizierung nur Windows Identity erforderlich ist. Sie müssen auch die integrierte Authentifizierung konfigurieren.
  7. Konfigurieren Sie auf der Specops Authentication-Website die Richtlinie, die die Testbenutzer betrifft.
  8. Benutzer können sich bei O365 mit Single Sign-On oder Multi-Faktor-Authentifizierung anmelden, indem sie z. B. ihre UPNs verwenden: Jane.Doe@contoso.com.

FAQ

Können Specops Authentication-Richtlinien so konfiguriert werden, dass sie nur für bestimmte Gruppen gelten?

Ja. Sie können Richtlinien für die gewünschten Gruppenrichtlinienobjekte oder für einen ausgewählten Geltungsbereich erstellen.

Unterstützt Specops Authentication mehrere Domain-Namen?

Ja, solange die Domains aller E-Mail-Adressen bei Azure AD/O365 registriert sind.

Unterstützt Specops Authentication Redundanz?

Ja, um Redundanz zu erzielen, können Sie zusätzliche Gatekeeper einrichten und konfigurieren.

Speichert Specops Authentication persönliche oder vertrauliche Geschäftsdaten?

Die authentifizierungsbezogenen Daten, einschließlich Registrierdaten, werden direkt in Unterobjekten des Benutzerkontos in Active Directory gespeichert. Specops Authentication speichert keine Kopie Ihres Verzeichnisses. Die Benutzer werden direkt von Ihrem lokalen Active Directory in Azure Active Directory versorgt.

Wie werden die Benutzer mit Specops Authentication authentifiziert?

Specops Authentication verwendet Security Tokens zur Authentifizierung der Benutzer. Wenn sich ein Benutzer bei Specops Authentication registriert, werden seine Registrierdaten in einem Unterobjekt seines Benutzerkontos gespeichert. Wenn ein Benutzer versucht, sich bei O365 anzumelden, erhält er von Specops Authentication entweder einen Single Sign-On-Zugriff über ein Windows Integrated Authentication-Token oder er wird aufgefordert, sich mit zusätzlichen von ihm registrierten Identitätsdiensten zu authentifizieren. Dies hängt von der vom Administrator konfigurierten Authentifizierungsrichtlinie ab.

Kann Specops Authentication mit Azure AD Connect verwendet werden?

Ja. Sie können Azure AD Connect für die Bereitstellung und Specops Authentication für die Lizenzverwaltung, die einmalige Anmeldung und die Multi-Faktor-Authentifizierung verwenden.

Wie wird Specops Authentication gehosted?

Specops Authentication wird als gehosteter Cloud-Service bereitgestellt, der auf Amazon Web Services läuft, wobei sich das Rechenzentrum im Osten der USA befindet.

Werden die Daten zur Übertragung vom Gatekeeper zur Specops Authentication-Cloud verschlüsselt?

Ja, es wird eine Doppelschicht-Verschlüsselung zwischen Gatekeeper und Specops Authentication Cloud eingesetzt. Alle von Endnutzern oder Gatekeeper gesendeten Daten werden kryptografisch verifiziert, signiert als auch versiegelt.

Welche Identitätsdienste/Authentifizierungsfaktoren werden von unserem Produkt unterstützt?

  • Specops Authentication unterstützt folgende Identitätsdienste:
  • Windows-Identität
  • Fragen
  • Mobile Code (SMS)
  • Specops Authenticator
  • Manager-Identifizierung
  • Specops Fingerprint
  • Google Authenticator
  • Microsoft Authenticator
  • Symantec VIP
  • Duo Security
  • Mobile Bank ID (Schweden)
  • Soziale und E-Mail-Optionen: Gmail, Yahoo, Facebook, Twitter, Flickr, Live