Gatekeeper Verwaltungstool

Das Gatekeeper Admin Tool bietet einen Überblick über die installierten Komponenten und kann verwendet werden, um die systemweiten Konfigurationseinstellungen zu verwalten, die während der Installation erstellt wurden.

Gatekeeper

Die folgenden Einstellungen können im Gatekeeper-Tab konfiguriert werden.

Gatekeeper Admin Tool aktualisieren

Weitere Informationen zum Upgrade auf die neueste Version von Specops Authentication finden Sie auf der Upgrade-Seite.

Zertifikate anzeigen

Die Zertifikate sowohl für den Gatekeeper Client als auch für die Gatekeeper Backend-Authentifizierung können durch Klicken auf den Anzeigen-Link aufgerufen werden.

Proxy-Einstellungen ändern

Wenn Ihre Organisation einen Forward-Proxy-Server verwendet, um den Internetverkehr extern zu leiten, müssen Sie den Proxy-Server so konfigurieren, dass der Gatekeeper das Internet erreichen kann. Klicken Sie auf Bearbeiten in der Proxy-Zeile und geben Sie die Adresse als vollständige URL an, einschließlich des Protokolls und eines benutzerdefinierten Ports.

Gatekeeper ändern

Wenn Sie mehrere Gatekeeper haben, können Sie zwischen ihnen wechseln:

Klicken Sie oben links auf Ändern.
Markieren Sie im Fenster Gatekeeper auswählen den Gatekeeper, zu dem Sie wechseln möchten.
Klicken Sie auf OK.

Allgemeine Befehle

Oben rechts in diesem Tab befindet sich ein Feld mit allgemeinen Befehlen. Diese umfassen Folgendes:

Aktualisieren: aktualisiert die Informationen im Tab.
Auf neue Admin-Tool-Version prüfen: prüft, ob das Admin-Tool aktualisiert werden muss.
Von SPR migrieren: öffnet den Migrationsassistenten zum Migrieren von Specops Password Reset-Daten.
Caches auf allen Gatekeepers leeren: löscht alle Caches auf den Gatekeepers.

Offline-Gatekeeper verwalten

Um alle verfügbaren Gatekeeper korrekt aufzulösen, müssen alle offline (ungenutzten) Gatekeeper korrekt entsorgt werden. Der empfohlene Weg, dies zu tun, ist über das Gatekeeper Admin Tool.

Gatekeeper abmelden (empfohlen)

Stellen Sie im Gatekeeper Admin Tool sicher, dass Sie auf den Gatekeeper zugegriffen haben, den Sie abmelden möchten (für Informationen zum Wechseln zu anderen Gatekeepers siehe den Abschnitt Gatekeeper ändern oben).
Klicken Sie oben rechts im Feld Gatekeeper-Installation auf Abmelden.
Bestätigen Sie, dass Sie diesen Gatekeeper abmelden möchten, indem Sie im Fenster Gatekeeper abmelden auf Ja klicken.

Gatekeeper manuell entfernen

Falls der offline (ungenutzte) Gatekeeper aus irgendeinem Grund nicht mit der oben genannten Methode abgemeldet wurde (z.B. weil der Server, auf dem er installiert war, aus irgendeinem Grund nicht mehr vorhanden ist), müssen zusätzliche manuelle Schritte unternommen werden.

Hinweis

Wenn ein ungenutzter Gatekeeper nicht im Gatekeeper Admin Tool abgemeldet wurde, müssen die verbleibenden Dateien manuell entfernt werden, damit der Gatekeeper korrekt aufgelöst werden kann.

Entfernen Sie den Gatekeeper aus der Cloud
1. Greifen Sie auf Authentication Web zu und klicken Sie auf Gatekeepers.
2. Markieren Sie in der Liste den Gatekeeper, den Sie abmelden möchten.
3. Klicken Sie auf Gatekeeper abmelden.
  
  Hinweis
  
  Dieser Abmeldevorgang ist nicht derselbe wie der, der vom Gatekeeper Admin Tool durchgeführt wird. Der Abmeldevorgang, der vom Gatekeeper Admin Tool initiiert wird, führt alle notwendigen Schritte aus, um den ungenutzten Gatekeeper zu entsorgen, und erfordert keine manuellen Schritte.
4. Klicken Sie im Bestätigungsfenster auf Abmelden.
Entfernen Sie den Service Connection Point (SCP) aus dem Active Directory.
1. Öffnen Sie auf dem Server, auf dem der Gatekeeper installiert ist, das Tool Active Directory-Benutzer und -Computer.
2. Stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind (oberes Menü Ansicht > Erweiterte Funktionen).
3. Navigieren Sie zu System > Specops > SpecopsAuthentication > Gatekeepers.
4. Klicken Sie mit der rechten Maustaste auf den richtigen Gatekeeper und wählen Sie Löschen.

Active Directory-Einstellungen

Die folgenden Einstellungen können im Active Directory-Einstellungen-Tab konfiguriert werden.

Den Verwaltungsbereich bearbeiten

Der Active Directory-Bereich bestimmt, welche Benutzer den Specops Authentication-Dienst nutzen können.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Zeile, in der der aktuelle Active Directory-Bereich angezeigt wird, und klicken Sie auf Bearbeiten.
Wählen Sie den gewünschten Active Directory-Bereich aus und klicken Sie auf Hinzufügen. Mehrere Standorte können ausgewählt werden, wenn Sie mehrere Verwaltungsbereiche wünschen.
Klicken Sie auf OK.

Passwortzurücksetzungen in Specops Authentication aktivieren

Sie können die uReset- und Secure Service Desk-Funktionen in Specops Authentication aktivieren. Für uReset können Endbenutzer häufige Aufgaben im Zusammenhang mit dem Passwortmanagement, einschließlich vergessener Passwörter, selbstständig erledigen. Diese Funktion ist gesperrt, es sei denn, Sie haben uReset als Teil Ihres Abonnements. Für Secure Service Desk ermöglicht dies die Verwaltung von Benutzern im Secure Service Desk. Diese Funktion ist gesperrt, es sei denn, Sie haben Secure Service Desk als Teil Ihres Abonnements.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Klicken Sie im Abschnitt Active Directory-Einstellungen in der Zeile Passwortzurücksetzungen erlauben auf Ändern.
Wählen Sie eine der folgenden Optionen, wenn Sie die Passwortzurücksetzungsfunktion aktivieren:
- Standard-Sicherheitsmodus: Alle Benutzer, die Mitglieder der Specops Authentication Service Desk Agents-Gruppe sind, können Passwörter für andere Benutzer zurücksetzen.
- Delegierter Sicherheitsmodus: Die Zugriffskontrolle für das Zurücksetzen von Passwörtern für andere Benutzer basiert auf der tatsächlichen Sicherheitskonfiguration (‚Passwort zurücksetzen‘-Berechtigung) im Active Directory.
Klicken Sie auf OK.

Mitglieder zu Sicherheitsgruppen hinzufügen/entfernen

Sie können zusätzliche Mitglieder zu den Gruppen Admin, Benutzeradmin, Gatekeepers und Reporting Readers hinzufügen. Benutzer, die Mitglieder der Admin-Gruppe sind, sind Portal-Administratoren auf der Specops Authentication Web. Benutzer, die Mitglieder der Benutzeradmin-Gruppe sind, können auf die Benutzerverwaltungsfunktionen auf der Specops Authentication Web zugreifen. Benutzer, die Mitglieder der Gatekeepers-Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Sicherheitsgruppe, die Sie bearbeiten möchten, und klicken Sie auf Mitglieder bearbeiten.
Um ein Mitglied hinzuzufügen, klicken Sie auf Mitglied hinzufügen, geben Sie den Namen des Benutzers oder der Gruppe ein, die Sie hinzufügen möchten, und klicken Sie dann auf OK.
Um ein Mitglied zu entfernen, wählen Sie ein Mitglied aus der Liste der Gruppenmitglieder aus und klicken Sie auf Ausgewähltes Mitglied entfernen, dann klicken Sie auf OK.
Klicken Sie auf OK.

Reporting Readers-Gruppe

Mitglieder der Reporting Readers-Sicherheitsgruppe im Gatekeeper Admin Tool können sich bei Specops Authentication Web anmelden, um Berichte anzuzeigen. Sofern sie nicht auch Mitglieder anderer Sicherheitsgruppen sind, sehen sie keine anderen Abschnitte in Specops Authentication Web.

Hinweis

Mitglieder dieser Gruppe können alle Berichte im Zusammenhang mit dem Konto sehen. Sie können nicht filtern, welche Berichte sichtbar sind oder nicht.

Bevorzugten Domänencontroller angeben

Standardmäßig verwendet Specops Authentication den nächstgelegenen verfügbaren Domänencontroller. Klicken Sie auf Ändern, um den bevorzugten Domänencontroller anzugeben.

Secure Access

Die folgenden Einstellungen können im Secure Access-Tab konfiguriert werden.

Secure Access-GPOs verwalten

Sie können die GPOs, die Sie mit der Secure Access-Funktion auf Specops Authentication verwenden möchten, kennzeichnen. Betroffene Benutzer werden sich mit einem zweiten Faktor authentifizieren, wenn sie sich bei ihrem Windows-Konto anmelden.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für MFA für Windows gekennzeichnet auf GPOs kennzeichnen, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

NPS Companion-GPOs verwalten

Sie können die GPOs, die Sie mit der NPS Companion (Radius)-Funktion auf Secure Access verwenden möchten, kennzeichnen. Betroffene Benutzer werden sich mit einem zweiten Faktor authentifizieren, wenn sie sich über Remotezugriff bei ihrem Windows-Konto anmelden. Weitere Informationen finden Sie auf dieser Seite.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für NPS Companion gekennzeichnet auf GPOs kennzeichnen, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

E-Mail-Konfiguration

Wenn Sie nicht die Standardkonfiguration von Specops verwenden möchten, die Drittanbieter wie SendGrid verwendet, um E-Mail-Benachrichtigungen zu senden, können Sie Ihren eigenen SMTP-Anbieter in diesem Abschnitt des Gatekeeper Admin Tools konfigurieren. Informationen zum Bearbeiten der Standardkonfiguration von Specops in Specops Authentication Web finden Sie auf der Specops Authentication Web-Seite.

Hinweis

Die Konfiguration der SMTP-Einstellung im Gatekeeper Admin Tool deaktiviert jede Konfiguration in Specops Authentication Web.

SMTP-Einstellungen konfigurieren

SMTP-Einstellungen können auf drei Arten konfiguriert werden:

Verwendung der Specops-Standardkonfiguration (konfiguriert in Specops Authentication Web)
Verwendung von SMTP mit anonymem Zugriff
Verwendung von SMTP mit Basis-Authentifizierung

Klicken Sie auf Bearbeiten
Wählen Sie aus dem Dropdown-Menü aus, welche Art von Konfiguration Sie verwenden möchten (anonyme oder Basis-Authentifizierung)
Geben Sie die Domäne für den SMTP-Server ein (Pflichtfeld)
Legen Sie die maximale Anzahl gleichzeitiger Verbindungen fest, die der Gatekeeper beim Senden von E-Mails verwenden wird.

Hinweis

Jedes Mal, wenn in diesem Feld Änderungen vorgenommen werden, müssen alle betroffenen Gatekeeper neu gestartet werden.

Hinweis

Der Standardwert für die maximale Anzahl gleichzeitiger Verbindungen ist auf 10 gesetzt. Bitte konsultieren Sie die Dokumentation Ihres SMTP-Servers, wie viele gleichzeitige Verbindungen erlaubt sind.
Geben Sie den SMTP-Port ein (Standard ist auf Port 25 gesetzt)
Verwenden Sie das Dropdown-Menü, um festzulegen, ob TLS (Transport-Level Security) verwendet werden soll.

Hinweis

Setzen Sie diese Option auf Ja, wenn Sie die Verschlüsselung für ausgehende E-Mails aktivieren möchten. Beachten Sie, dass die Aktivierung von TLS den SMTP-Port automatisch auf 587 setzt.

Hinweis

Beachten Sie, dass ein gültiges SSL-Zertifikat erforderlich ist, um TLS beim Senden von SMTP-Mails zu verwenden.
Geben Sie die Absender-E-Mail-Adresse (Pflichtfeld) und den Anzeigenamen des Absenders ein
Nur für Basis-Authentifizierung: Geben Sie den SMTP-Benutzernamen und das Passwort ein
Klicken Sie auf OK
Klicken Sie im Erfolgsdialogfeld auf OK und starten Sie alle Gatekeeper neu, wenn die Option Maximale gleichzeitige Verbindung geändert wurde.

Microsoft Entra ID-Einstellungen

Sie können Microsoft Entra ID verwenden, um beim Zurücksetzen oder Ändern des Passworts zu synchronisieren. Um die Microsoft Entra ID-Einstellung im Gatekeeper Admin Tool zu konfigurieren, müssen Sie zuerst eine App in Microsoft Entra ID einrichten und ihr die richtigen Berechtigungen erteilen.

Anforderungen

Anforderung
Client in Microsoft Entra ID
Abonnements in Microsoft Entra ID

Eine App in Microsoft Entra konfigurieren

Melden Sie sich bei https://entra.microsoft.com/ an
Klicken Sie auf Microsoft Entra ID. Dies sollte Sie zu Ihrem Verzeichnis der Organisation bringen.
Klicken Sie auf App-Registrierungen.
Klicken Sie auf Neue Registrierung.
Geben Sie einen Namen für die App im Feld Name ein.
Wählen Sie mit den Optionsfeldern den unterstützten Kontotyp aus (Einzelclient oder Multiclient)
Klicken Sie auf Registrieren. Notieren Sie sich im folgenden App-Zusammenfassungsbildschirm im Abschnitt Essentials die Anwendungs-ID (Client) und die Verzeichnis-ID (Client). Diese werden für die Konfiguration verwendet.
Klicken Sie in der linken Navigation des App-Zusammenfassungsbildschirms auf Zertifikate & Geheimnisse.
Klicken Sie auf Neues Client-Geheimnis. Geben Sie eine Beschreibung ein und legen Sie einen Ablaufzeitraum mit dem Ablauf-Dropdown fest, und klicken Sie dann auf Hinzufügen.
Kopieren und speichern Sie das Geheimnis in der Spalte Wert für das Passwort. Dies wird auch für die Konfiguration verwendet.

Hinweis

Bei der Konfiguration eines Synchronisierungspunkts (Specops Password Sync) beachten Sie, dass dieser Wert im Anbieter-Passwort-Feld in der Synchronisierungspunktkonfiguration eingefügt werden muss.
Klicken Sie in der linken Navigation des Microsoft Entra ID Admin Centers (ganz links) auf Microsoft Entra ID und dann auf Rollen und Administratoren.
Klicken Sie in der Liste auf eine Rolle, die für das Zurücksetzen von Passwörtern ausreichend ist.

Hinweis

Für einen Überblick über Rollen und deren Berechtigungen gehen Sie bitte zu Arbeiten mit Benutzern in Microsoft Graph. Beachten Sie, dass die minimal erforderliche Rolle für das Zurücksetzen von Passwörtern die Rolle Passwortadministrator ist.
Klicken Sie oben auf Zuweisungen hinzufügen. Die Zuweisungen hinzufügen-Seitenleiste öffnet sich rechts.
Geben Sie im Suchfeld den registrierten App-Namen ein, klicken Sie auf die App in der Suchergebnisliste und dann unten auf Hinzufügen.

Nächste Schritte

Schreiben Sie die Anwendungs-ID (Client), Verzeichnis-ID (Client) und das Client-Geheimnis auf oder kopieren Sie sie und fahren Sie mit der Konfiguration der Microsoft Entra ID-Einstellungen im Gatekeeper Admin Tool fort.

Das Gatekeeper Admin Tool konfigurieren

Wählen Sie im Gatekeeper Admin Tool Microsoft Entra ID-Einstellungen aus.
Klicken Sie im Feld Microsoft Entra ID-Einstellungen auf Bearbeiten.
Geben Sie die Client-ID (Anwendungs-ID (Client)) ein.
Geben Sie die Client-ID (Verzeichnis-ID (Client)) ein.
Geben Sie das Client-Geheimnis (Client-Geheimniswert) ein.
Klicken Sie auf OK.
Klicken Sie im rechten Navigationsfeld auf Verbindung testen, um zu sehen, ob eine Verbindung zu Microsoft Entra ID hergestellt wurde.

Sobald die Verbindung hergestellt ist, beginnt der Gatekeeper mit der Synchronisierung mit Microsoft Entra ID bei Passwortzurücksetzung oder -änderung.

Windows-Identität

Dieser Abschnitt zeigt die Einstellungen für die Windows-Integrierte Authentifizierung. Diese Einstellungen können auch hier bearbeitet werden.

Hinweis

NTLM ist ein veraltetes Protokoll, das nur älteren Specops-Kunden zur Verfügung steht. Neue Kunden haben den Identitätsdienst standardmäßig deaktiviert und können nur zwischen Deaktiviert oder Kerberos wählen.

Die Windows-Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver weitergeleitet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit der Windows-Identität und gewährt das Windows-Identitäts-Authentifizierungstoken.

Integrierte Authentifizierung aktivieren

Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:

Hinweis

Es wird empfohlen, während der Installation von Gatekeepers den Kontotyp Gruppenverwaltete Dienstkonten zu verwenden. Weitere Informationen finden Sie unter gMSA.

Wählen Sie im Gatekeeper Admin Tool Windows-Identität aus.
Klicken Sie im Feld Einstellungen für integrierte Authentifizierung auf Bearbeiten.
Wählen Sie im Dropdown-Menü Authentifizierungsprotokoll auswählen das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.

Hinweis

Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Klicken Sie auf OK.
Fügen Sie die URL für integrierte Authentifizierung zu Lokales Intranet in Internetoptionen für jeden Client hinzu.

Hinweis

Dies kann durch Hinzufügen der URL zur Liste der Vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitstab > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen zur letzteren Methode finden Sie hier: Alternative Möglichkeiten zum Aktualisieren vertrauenswürdiger Sites. Beachten Sie, dass der hier referenzierte Blogpost sich mit einer anderen URL befasst, obwohl der Prozess derselbe ist.

Weitere Informationen zur Windows-Identität finden Sie auf der Windows-Identitätsseite.