Administrator-Registrierung

Specops Authentication für MFA für Windows ermöglicht Administratoren, Benutzer im System zu registrieren, ohne dass die Benutzer den Registrierungsprozess durchlaufen müssen. Dies kann mit jedem Identitätsdienst erreicht werden, der Identifikationsinformationen im Active Directory gespeichert hat.

Bevor Sie diesen Leitfaden verwenden, benötigen Sie:
Grundkenntnisse in PowerShell
PowerShell 4.0 oder höher
Specops Authentication für MFA für Windows konfiguriert mit einem aktiven Gatekeeper
Mitgliedschaft in der Specops Authentication für MFA für Windows Admin-Gruppe
Das Specops Authentication für MFA für Windows PowerShell-Modul – installiert mit den Verwaltungstools
- C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Identitätsdienste für die Registrierung

Administratoren können sich mit den folgenden Identitätsdiensten registrieren:

Persönliche E-Mail
Mobiler Code
Sicherheitsfragen
Yubikey
Mobile Bank ID
Google

Cmdlets

Die Cmdlets können von Administratoren verwendet werden, um Benutzer zu verwalten oder sie in Chargen in Specops Authentication für MFA für Windows zu registrieren.

Um das Modul zu importieren, führen Sie den folgenden Befehl in PowerShell auf Ihrem Gatekeeper-Server aus:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Nimmt die Parameter Username, IdentityServiceId und EnrollmentProof. Kann verwendet werden, um sich mit allen Identitätsdiensten außer: Sicherheitsfragen, Duo Security, Specops Fingerprint, Authenticatoren, Manager Identification, Symantec VIP, LinkedIn und Windows Identity zu registrieren. Verwenden Sie das Cmdlet Get-SpecopsAuthenticationIdentityServices, um die IdentityServiceId Ihres Identitätsdienstes zu finden.

Verwendungsbeispiel:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Mobiler Code (SMS) Admin-Registrierung

Die Mobiler Code (SMS) Admin-Registrierung erfordert die Aktualisierung des mobilen Attributs im Benutzerobjekt und der Registrierungsdaten im Blattobjekt. Ein Administrator kann das mobile Attribut in einem Benutzerkonto über das Active Directory-Verwaltungstool oder mit PowerShell aktualisieren. Wenn Sie das Standardattribut für Mobiltelefone verwenden, verwenden Sie den folgenden Befehl:

Set-ADUser
  -Identity user0020
  -MobilePhone '+1-202-555-0191'

Wenn Sie die Mobilnummer in einem benutzerdefinierten Attribut speichern, müssen Sie stattdessen dieses Attribut angeben. Wenn zum Beispiel die Mobilnummer im Attribut otherMobile gespeichert ist, können Sie den folgenden Befehl verwenden:

Set-ADUser
  -Identity user0020
  -Replace @{otherMobile='+1-202-555-0191'}

Für Gatekeeper Admin Tool 8.23 und später: nach der Aktualisierung des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Für Gatekeeper Admin Tool 8.22 und früher: nach der Aktualisierung des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Persönliche E-Mail Admin-Registrierung

Verwendungsbeispiel:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Nimmt die Parameter Username, Answers und Language. Language ist ein optionaler 2-stelliger Sprachcode. Answers nimmt ein Array von Fragen und Antworten.

Verwendungsbeispiel:

$questionsAndAnswers =
  @{'Question'='Wer bist du?'; 'Answer'='Niemand'},
  @{'Question'='Warum bist du hier?'; 'Answer'='Ich bin nicht'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Listet die Identitätsdienste auf, mit denen ein Benutzer registriert ist.

Verwendungsbeispiel:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Listet alle in Ihrem Specops Authentication-Abonnement verfügbaren Identitätsdienste auf.

Verwendungsbeispiel:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Entfernt alle registrierten Identitätsdienste von einem Benutzer, außer automatisch registrierte, wie Windows Identity, Duo Security, Manager Identification oder Symantec VIP.

Verwendungsbeispiel:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Entfernt eine Identitätsdienstregistrierung von einem Benutzer.

Verwendungsbeispiel:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint