Specops Authentifizierungs-Web

Das Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für seine verschiedenen Ressourcen.

Sobald Sie den Gatekeeper installiert und konfiguriert haben, können Benutzer, die Mitglieder der Authentication Admin Group sind, die Lösung weiter über das Authentication Web konfigurieren:

https://login.specopssoft.com/authentication/admin (US-Datenzentrum)

https://eu.login.specopssoft.com/authentication/admin (EU-Datenzentrum)

Gatekeepers

Im Gatekeepers-Menü können Sie eine Liste Ihrer Gatekeepers und deren Verbindungsstatus sehen. Für Redundanz richten Sie zusätzliche Gatekeepers ein und konfigurieren Sie diese.

Erstellen und Installieren eines neuen Gatekeepers

Melden Sie sich beim Specops Authentication Web an.
Klicken Sie auf Gatekeepers.
Klicken Sie auf Neu.
Klicken Sie auf Herunterladen beim Standard-Selbstextrahierenden Installationspaket.

Hinweis

Notieren Sie sich den auf dem Bildschirm angezeigten Aktivierungscode, da Sie während der Installation danach gefragt werden.
Führen Sie die Installationsdatei aus.
Schließen Sie die Installationsschritte ab.
Gehen Sie zurück zur Gatekeepers-Seite im Specops Authentication Web und stellen Sie sicher, dass die Gatekeeper-Priorität wie gewünscht ist.

Abmelden von Gatekeepers

Wenn Sie auf einen Gatekeeper in der Liste klicken, gelangen Sie zur Detailseite dieses Gatekeepers. Hier können Sie den betreffenden Gatekeeper auch abmelden. Es wird jedoch empfohlen, alle Gatekeepers über das Gatekeeper Admin Tool abzumelden. Weitere Informationen zum Abmelden von Gatekeepers finden Sie im Abschnitt Verwalten von Offline-Gatekeepers auf der Gatekeeper Admin Tool-Seite.

Cloud-Konten

Im Menü Cloud-Konten können Sie:

Eine Liste bestehender Cloud-Konten anzeigen
Neue Cloud-Konten hinzufügen
Cloud-Konten löschen
Eine Registrierungs-URL für ein neues Cloud-Konto generieren

Bestehende Cloud-Konten anzeigen

Sie können eine Liste bestehender Cloud-Konten anzeigen. Sie können auch zusätzliche Details anzeigen, wie: den Kontonamen, die Mobiltelefonnummer, die letzte Änderung des Passworts und das Ablaufdatum der Registrierungssitzung, falls der Benutzer eine ausstehende Registrierung hat.

Hinzufügen eines neuen Cloud-Kontos

Um ein neues Cloud-Konto hinzuzufügen, müssen Sie mit einem Cloud-Konto oder einem Active Directory-Benutzerkonto in der User Admin Group angemeldet sein.

Klicken Sie auf Cloud-Konto hinzufügen.
Geben Sie im Feld Cloud-Konto-E-Mail-Adresse den Kontonamen (UPN) des Benutzerkontos ein. Zum Beispiel: username@domain.com
Das Feld Vollständiger Cloud-Kontoname (UPN) ist schreibgeschützt. Der vollständige Cloud-Kontoname wird automatisch aus dem im Feld Cloud-Konto-E-Mail-Adresse angegebenen Kontonamen (UPN) generiert.
Klicken Sie auf Speichern.

Generieren einer Registrierungs-URL für ein Cloud-Konto

Sie können eine Registrierungs-URL für ein Cloud-Konto im Menü Cloud-Konten generieren. Eine Registrierungs-URL ermöglicht es einem Cloud-Konto, sich zu registrieren, damit es auf die Admin-Seiten im Specops Authentication Web zugreifen kann. Die URL muss kopiert und per E-Mail oder SMS gesendet werden.

Hinweis

Eine Registrierungs-URL läuft 2 Stunden nach ihrer Erstellung ab. Wenn die URL abläuft, bevor sie verwendet wird, muss eine neue generiert werden.

Administratoren können den Link aktiv widerrufen, bevor die Ablaufzeit endet, indem sie auf den Link widerrufen unten im Fenster klicken.

Wählen Sie ein Cloud-Konto aus der Liste aus.
Klicken Sie auf Generieren neben dem Feld Registrierungssitzungs-URL.
Wenn die URL generiert wurde, klicken Sie auf den Link kopieren-Link, um ihn zu kopieren.

Löschen eines Cloud-Kontos

Sie können ein Cloud-Konto im Menü Cloud-Konten löschen.

Warnung

Wenn Sie Mitglied der „Admin-Gruppe“ sind, haben Sie die Möglichkeit, ein anderes Cloud-Konto zu löschen.

Wählen Sie ein Konto aus der Liste aus.
Klicken Sie auf Konto löschen.
Klicken Sie im Bestätigungsdialogfeld auf Löschen.

Richtlinien

Specops-Richtlinien sind Sammlungen von Multi-Faktor-Authentifizierungsregeln für die grundlegende Funktionalität von Specops Authentication. Separate Richtlinien können für verschiedene Specops Authentication-Anwendungen sowie für die Administratoren für die Authentifizierung für Authentication Web konfiguriert werden.

Konfigurieren einer Richtlinie

Um eine Richtlinie zu konfigurieren, klicken Sie neben jeder Richtlinie auf Konfigurieren, um deren Authentifizierungsanforderungen festzulegen.

Klicken Sie auf Konfigurieren oder Authentifizierungsregeln bearbeiten.
Verschieben Sie alle Identitätsdienste, die Sie verwenden möchten, aus dem Feld Nicht ausgewählte Identitätsdienste auf der rechten Seite in die Ausgewählten Identitätsdienste auf der linken Seite, indem Sie auf das Plus-Symbol neben dem Identitätsdienst klicken.
Sie müssen jedem ausgewählten Identitätsdienst ein Gewicht (Sternwert) zuweisen. Dies ermöglicht es Ihnen, denjenigen Identitätsdiensten, die Ihrer Meinung nach ein höheres Sicherheitsniveau bieten, einen höheren Wert zuzuweisen. Wenn Sie beispielsweise dem Specops Authenticator 2 Sterne zuweisen, entspricht dies zwei Identitätsdiensten im Wert von 1 Stern. Bitte beachten Sie die Seite zur Zuweisung von Identitätsdienstgewichten für zusätzliche Anleitungen.
Um zu verlangen, dass der Benutzer einen bestimmten Identitätsdienst verwendet, aktivieren Sie das Kontrollkästchen Erforderlich.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Registrierung.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Authentifizierung.

Hinweis

Die Anzahl der für die Authentifizierung erforderlichen Sterne muss gleich oder kleiner sein als die Anzahl der für die Registrierung erforderlichen Sterne.
Um den Registrierungs- oder Authentifizierungsprozess abzuschließen, muss der Benutzer die Sternleiste mit der von der Richtlinie festgelegten Anzahl von Sternen füllen.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Beachten Sie, dass Richtlinien auch von den Einstellungen für Geoblocking und Vertrauenswürdige Netzwerkstandorte beeinflusst werden können.

Entfernen eines Identitätsdienstes

Um einen Identitätsdienst aus einer Richtlinie zu entfernen, gehen Sie wie folgt vor:

Klicken Sie auf Konfigurieren oder Authentifizierungsregeln bearbeiten.
Entfernen Sie alle Identitätsdienste aus Ihrer Richtlinie, indem Sie auf das Minus-Symbol neben dem Identitätsdienst klicken. Der Identitätsdienst wird in das Feld Nicht ausgewählte Identitätsdienste auf der rechten Seite verschoben.

Beste Praktiken für die Richtlinienkonfiguration

Beim Konfigurieren von Richtlinien für mehrere Specops-Anwendungen (uReset, Authentication for O365 und Key Recovery) ist es wichtig zu beachten, dass bestimmte Konfigurationen den Registrierungsprozess für Benutzer nachteilig beeinflussen können.

Wenn Richtlinien für verschiedene Anwendungen eingerichtet sind, die unterschiedliche Identitätsdienste erfordern, muss sich der Benutzer mit mehr Diensten identifizieren, um die Anforderungen aller Anwendungen zu erfüllen. Das Konfigurieren von Richtlinien zur Verwendung derselben Identitätsdienste verkürzt den Registrierungsprozess für Benutzer.

Weitere Informationen zur Registrierung finden Sie im Best Practices-Dokument.

Schwache Identitätsdienste

Aufgrund der Natur einiger (selbstregistrierter) Identitätsdienste gelten diese als schwächer als andere. Die unten aufgeführten Identitätsdienste werden als schwach angesehen:

Sicherheitsfragen
Mobiler Code (SMS)
Persönliche E-Mail

Sicherheitsmodi für die Registrierung

Wenn sich Benutzer zum ersten Mal registrieren, müssen sie sich identifizieren, indem sie ihr Windows-Passwort angeben. Nachfolgende Änderungen an der Registrierung (erneute Registrierung) erfordern die Identifizierung mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort, wenn der Sicherheitsmodus auf Mittel oder Hoch eingestellt ist.

Es stehen drei Sicherheitsmodi für Administratoren zur Verfügung: Niedrige Sicherheit, Mittlere Sicherheit und Hohe Sicherheit. Diese Sicherheitsmodi spiegeln die relative Stärke der konfigurierten Richtlinien wider und bestimmen teilweise, mit welchen Identitätsdiensten sich der Benutzer erneut registrieren muss (wann immer Benutzer ihre Registrierung ändern müssen).

Niedrige Sicherheit Benutzer müssen nur ihr Windows-Passwort zur Identifizierung angeben.
Mittlere Sicherheit Bei erneuter Registrierung müssen sich Benutzer mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort identifizieren.
Hohe Sicherheit Bei erneuter Registrierung müssen sich Benutzer mit einem zuvor verwendeten starken Identitätsdienst oder zwei schwachen (falls sie sich nicht mit starken Identitätsdiensten registriert haben) zusätzlich zu ihrem Windows-Passwort identifizieren. Schwache Identitätsdienste, wie Sicherheitsfragen, werden dem Benutzer nicht als Option präsentiert, es sei denn, sie haben sich nur mit schwachen Identitätsdiensten registriert.

Hinweis: Benutzern werden Identitätsdienste zur (erneuten) Registrierung präsentiert, wenn der Benutzer zuvor mit diesem Dienst registriert wurde und er Teil einer den Benutzer betreffenden Richtlinie ist. Die Windows-Identität des Benutzers ist immer Teil des (erneuten) Registrierungsverfahrens.

Hinweis: Die niedrigen oder mittleren Modi werden automatisch eingestellt, abhängig von den Richtlinienkonfigurationen. Der Hochsicherheitsmodus muss von Administratoren aktiviert werden, um eine erneute Registrierung mit starken Identitätsdiensten zu erzwingen.

Automatisch registrierte Identitätsdienste und Sicherheitsmodi

Für mittlere und hohe Sicherheitsmodi müssen Benutzer, die von Richtlinien betroffen sind, die automatisch registrierte Identitätsdienste wie Duo Security und Okta umfassen, sich mit dem automatisch registrierten Identitätsdienst auf der Registrierungsseite authentifizieren. Das bedeutet, dass Benutzer ihre Registrierung mit Duo Security oder Okta abgeschlossen haben müssen, bevor sie sich bei Specops Authentication registrieren können.

Sperreinstellungen

Die Identitätsdienste Mobiler Code (SMS), E-Mail und Persönliche E-Mail können so konfiguriert werden, dass sie nach falschen Eingaben durch den Benutzer gesperrt werden. Um diese Sperreinstellungen zu konfigurieren, gehen Sie zum Menü Identitätsdienste im Authentication Web und klicken Sie auf das Einstellungssymbol neben dem betreffenden Identitätsdienst. Folgendes kann konfiguriert werden:

Sperrschwelle: Bestimmt, wie oft falsche Eingaben gemacht werden können.
Sperrdauer in Minuten: Bestimmt, wie lange der Identitätsdienst gesperrt wird.

Einstellung für vertrauenswürdige Netzwerkstandorte

Wenn diese Einstellung aktiviert ist, können sich Benutzer nur registrieren, wenn sie sich von einem der von Administratoren angegebenen vertrauenswürdigen Netzwerkstandorte aus authentifizieren. Weitere Informationen finden Sie unter Vertrauenswürdige Netzwerkstandorte.

Identitätsdienste

Unter dem Tab Identitätsdienste finden Sie eine vollständige Liste der verfügbaren Identitätsdienste. Sie können alle Identitätsdienste in dieser Liste aktivieren/deaktivieren. Einige dieser Identitätsdienste können Sie konfigurieren und ihre systemweiten Einstellungen auf dieser Seite verwalten.

Wenn ein Identitätsdienst konfigurierbar ist, sehen Sie ein Identitätsdienst-Zahnradsymbol daneben.

Wenn ein Identitätsdienst deaktiviert ist, sehen Sie ein Identitätsdienst-Kreuzsymbol daneben.

Wenn ein Identitätsdienst aktiviert wurde, sehen Sie ein Identitätsdienst-Häkchensymbol daneben.

Beispiele:

Ein konfigurierbarer Identitätsdienst, der derzeit deaktiviert ist.
Ein konfigurierbarer Identitätsdienst, der derzeit deaktiviert ist.

Sobald Sie einen Identitätsdienst konfiguriert und aktiviert haben, können sich Ihre Benutzer damit registrieren und authentifizieren. Wenn Sie ihn deaktivieren, steht der Identitätsdienst nicht mehr zur Verfügung.

Alternativtext für dieses Bild

Die folgenden Identitätsdienste können konfiguriert werden:

Duo Security: Duo Security ist ein Zwei-Schritt-Verifizierungsdienst. Wenn sich Benutzer authentifizieren, erhalten sie einen einmaligen Verifizierungscode in der Duo Security Mobile App. Sie müssen dann den Code eingeben, um sich erfolgreich zu authentifizieren. Um Duo Security zu konfigurieren, siehe Duo.
E-Mail und persönliche E-Mail: Die E-Mail des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann im Feld auf dem Bildschirm eingeben muss. E-Mail erfordert keine Registrierung, da sie sich auf die E-Mail-Adresse im E-Mail-Attribut in AD (oder einem anderen Attribut, wenn es überschrieben wird) bezieht; sie kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind. Persönliche E-Mail muss bei der Registrierung vom Benutzer registriert werden, und er kann jede E-Mail-Adresse seiner Wahl verwenden.
Freja: Wenn Benutzer sich mit Freja registrieren möchten, müssen sie sich in der Freja-App auf ihrem Gerät authentifizieren. Um Freja zu konfigurieren, siehe Freja.
Manager-Identifikation: Wenn sich ein Benutzer mit der Manager-Identifikation authentifiziert, wird eine E-Mail oder SMS-Nachricht an seinen Manager gesendet. Der Manager muss dann die Authentifizierungsanfrage genehmigen. Dieser Identitätsdienst ist vollständig konfigurierbar, was bedeutet, dass Administratoren den Inhalt der Authentifizierungsanfrage-Benachrichtigung festlegen können und ob ein Manager sich authentifizieren muss, bevor er eine Authentifizierungsanfrage genehmigen kann. Jeder Benutzer muss in Active Directory einen Manager zugewiesen haben, und Managerkonten müssen eine E-Mail-Adresse/Mobiltelefonnummer in ihrem Profil haben, um Authentifizierungsanfragen von Benutzern zu erhalten. Um die Manager-Identifikation zu konfigurieren, siehe Manager-Identifikation.
Entra ID: ermöglicht Specops Authentication die Integration mit Microsoft Authentication Libraries. Microsoft Authenticator kann verwendet werden, um sich bei Specops Authentication ohne Passwort zu authentifizieren.
Mobiler Code (SMS): Wenn sich Benutzer mit Mobile Code (SMS) registrieren möchten, müssen sie ihre Mobiltelefonnummer eingeben. Sie erhalten dann einen einmaligen vierstelligen Code per SMS, der eingegeben werden muss, um sich erfolgreich zu authentifizieren. Um Mobile Code (SMS) zu konfigurieren, siehe Mobile Code (SMS).
Okta: Okta ist ein Zwei-Schritt-Verifizierungsdienst. Wenn sich Benutzer authentifizieren, erhalten sie eine Benachrichtigung in ihrer Okta Mobile App. Sie müssen dann diese Benachrichtigung bestätigen, um ihre Identität zu verifizieren. Benutzer können auch wählen, dass ihnen ein Okta-Code in einer SMS-Nachricht gesendet wird. Um Okta zu konfigurieren, siehe Okta.
Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkeys sind digitale Anmeldeinformationen (Authentifikatoren), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
PingID: Mit PingID können sich Benutzer mit der PingID Mobile App authentifizieren.
Geheime Fragen: Benutzer können Fragen aus einer vorgegebenen Liste auswählen und die Antworten darauf angeben. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren. Um geheime Fragen zu konfigurieren, siehe Geheime Fragen.
SITHS eID: SITHS eID ist ein auf Smartcards basierender Authentifizierungsdienst, der es Mitarbeitern (wie medizinischem Fachpersonal) von Behörden, Gemeinden und Landkreisen in Schweden ermöglicht, sich elektronisch zu identifizieren. Um SITHS eID zu konfigurieren, siehe SITHS.
Specops Fingerprint: Specops Fingerprint ermöglicht es Benutzern, sich mit Geräten mit Fingerabdruckscannern, wie Smartphones und Tablets, zu registrieren und zu authentifizieren. Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Um diesen Identitätsdienst zu nutzen, müssen Benutzer die App auf ihrem mobilen Gerät installiert haben.
Symantec VIP: Symantec VIP ist ein Zwei-Schritt-Verifizierungsdienst. Wenn sich Benutzer authentifizieren, erhalten sie einen einmaligen Verifizierungscode in der Symantec VIP Mobile App. Sie müssen dann den Code eingeben, um sich erfolgreich zu authentifizieren. Um Symantec VIP zu konfigurieren, siehe Symantec VIP.
Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmalpasswörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikey finden Sie auf der Yubikey-Seite.

Anpassung

Es gibt eine Reihe von Anpassungsfunktionen, die Ihnen die Kontrolle über die Specops Authentication-Benutzeroberfläche geben, einschließlich: Logos, Text und Farben.

Ändern des Hauptlogos

Das Logo oben links auf der Seite, sowohl im Authentication Web als auch im Specops Client, kann geändert werden, um Ihren Anforderungen zu entsprechen.

Klicken Sie im Tab Bild unter Hauptlogo auf Durchsuchen und wählen Sie das Bild aus, das Sie verwenden möchten.
Klicken Sie auf OK.
Klicken Sie auf Hochladen, um das Bild zu platzieren.

Um zum Standardbild zurückzukehren, klicken Sie auf Standard.

Spezifikationen für das Hauptlogo-Bild

Die folgenden Spezifikationen gelten für das Hauptlogo-Bild:

Unterstützte Dateitypen: png, gif, jpg.
Maximale Dateigröße: ein Megabyte (1 MB).
Transparenz in PNG-Bildern wird wie erwartet gerendert, wobei die Hintergrundfarbe durch die transparenten Teile durchscheint.
Das Bild wird mit einer Höhe von 40 Pixeln gerendert.
- Das Seitenverhältnis der hochgeladenen Datei bleibt immer intakt.
- Bilder mit einer Höhe von weniger als 40 Pixeln werden auf 40 Pixel skaliert. Die Qualität des gerenderten Bildes wird abnehmen.
- Bilder mit einer Höhe von mehr als 40 Pixeln werden auf 40 Pixel skaliert. Die Qualität wird nicht unbedingt beeinträchtigt.
- Für die besten Ergebnisse verwenden Sie eine Bildbreite mit einer Höhe von genau 40 Pixeln und einer Breite, die nicht größer als 300 Pixel ist. Wenn das Bild zu breit ist, gibt es nicht genügend Platz, um die Menüelemente in der Kopfzeile darzustellen.

Ändern des Anmeldebildes

Sie können auch das Bild auf der Anmeldeseite ändern, das den Benutzern angezeigt wird.

Klicken Sie im Tab Bild unter Anmeldebild auf Durchsuchen und wählen Sie das Bild aus, das Sie verwenden möchten.
Klicken Sie auf OK.
Klicken Sie auf Hochladen, um das Bild zu platzieren. Das Bild wird oben links auf der Seite angezeigt.

Um zum Standardbild zurückzukehren, klicken Sie auf Standard.

Spezifikationen für das Anmeldebild

Die Spezifikationen für das Anmeldebild sind die gleichen wie für das Logo (oben), mit Ausnahme der Größe. Das Anmeldebild hat eine maximale Breite von 235 Pixeln. Bilder mit weniger als 235 Pixeln Breite werden hochskaliert (was die Qualität des Bildes verringert), und Bilder mit mehr als 235 Pixeln Breite werden herunterskaliert. Das Seitenverhältnis des Originalbildes bleibt im gerenderten Bild immer erhalten.

Ändern der Farben

Verschiedene Farben in der Benutzeroberfläche können geändert werden, um das Erscheinungsbild Ihres Unternehmens widerzuspiegeln. Die Farben, die geändert werden können, sind:

Seitenhintergrund (Hauptinhaltsbereich der Seite)
Menü-Hintergrund (obere und seitliche Navigation)
Anmelde-Hintergrund (Anmeldeseite)
Standard-Schaltfläche (primäre Schaltflächen)
Sekundäre Schaltfläche (Schaltflächen wie Abbrechen usw.)
Hintergrund der Informationsbox (Textfelder mit zusätzlichen Informationen)

Um die Farbe zu ändern:

Wählen Sie im Stil-Tab das Kontrollkästchen in der Spalte Angepasst neben der Farbe aus, die Sie ändern möchten.
Wählen Sie die Farbe, die Sie verwenden möchten:
- Klicken Sie auf das Farbwähler-Symbol in der Spalte Farbe auswählen und wählen Sie die gewünschte Farbe aus, dann klicken Sie auf OK ODER
- Geben Sie den HTML-Farbcode (hexadezimaler Farbcode) in das Textfeld ein.

Um ein bestimmtes Element auf seine Standardfarbe zurückzusetzen, deaktivieren Sie das Angepasst-Kontrollkästchen für dieses Element und klicken Sie auf Speichern.

Um zur Standardfarbe für alle Elemente zurückzukehren, klicken Sie auf Standard.

Ändern der Texte

Verschiedene Texte, die dem Benutzer in Nachrichten und Benachrichtigungen präsentiert werden, können ebenfalls geändert werden.

Wählen Sie im Text-Tab die Sprache aus, die Sie ändern möchten, indem Sie auf den Tab für diese Sprache klicken.
Klicken Sie auf das Textelement, das Sie ändern möchten, zum Beispiel Zufrieden, Kopfzeile.
Wählen Sie Benutzerdefiniert verwenden.
Geben Sie den gewünschten Text in das Feld Benutzerdefinierter Text ein und klicken Sie auf Speichern. Die Spalte Angepasst in der Liste zeigt nun ein Häkchen beim geänderten Textelement, während der Aktuelle Wert den neuen Text anzeigt.

Um zum Standardtext zurückzukehren, klicken Sie auf das Textelement und wählen Sie Original verwenden, dann Speichern. Dies löscht den benutzerdefinierten Text. Beachten Sie, dass nur das Löschen des benutzerdefinierten Textes das Textelement nicht in den Standardzustand zurückversetzt (stattdessen bleibt das Textfeld dann leer).

Ändern der Namen von Identitätsdiensten

Die Namen einiger Identitätsdienste können geändert werden, um besser widerzuspiegeln, wie sie in Ihrer Organisation verwendet werden. Die Identitätsdienstnamen, die geändert werden können, sind:

Email (IdService_PrimaryEmail)
Manager-Identifikation (IdService_ManagerIdentification)
Mobiler Code (IdService_MobileCode)
Persönliche Email (IdService_AlternateEmail)
Sicherheitsfragen (IdService_QAndA)
Windows-Identität (IdService_WindowsIdentity)

Identitätsdienstnamen werden auf die gleiche Weise wie andere Texte in der Texttabelle geändert.

Anmeldung

Textelement	Beschreibung	Standardtext
Zufrieden, Kopfzeile	Wenn ein Benutzer sich mit genügend Identitätsdiensten angemeldet hat, um die Gewichtungsanforderungen zu erfüllen, wird er auf eine Seite geleitet, die ihm dies mitteilt und ihm die Möglichkeit gibt, den Anmeldeprozess fortzusetzen oder zu beenden. Dies ist die Kopfzeile auf dieser Seite.	Alles erledigt!
Zufrieden, Nachricht	Wenn ein Benutzer sich mit genügend Identitätsdiensten angemeldet hat, um die Gewichtungsanforderungen zu erfüllen, wird er auf eine Seite geleitet, die ihm dies mitteilt und ihm die Möglichkeit gibt, den Anmeldeprozess fortzusetzen oder zu beenden. Dies ist der Informationstext auf dieser Seite.	Sie haben genügend Sterne für Ihre Anmeldung gesammelt. Sie können Ihre Anmeldeinformationen verbessern, indem Sie mehr Sterne sammeln.
Registrierungen ändern, Nachricht	Dieser Text wird auf der Seite angezeigt, auf der der Benutzer während des Anmeldeprozesses Identitätsdienste auswählt. Insbesondere wird dieser Text verwendet, wenn der Benutzer Änderungen an einer bereits abgeschlossenen Anmeldung vornehmen möchte.	Fügen Sie Identitätsdienste hinzu oder ändern Sie sie aus den unten stehenden Listen. Stellen Sie sicher, dass Ihre Sternleiste nach den Änderungen noch voll ist.
Anweisungen	Dieser Text wird auf der Seite angezeigt, auf der der Benutzer während des Anmeldeprozesses Identitätsdienste auswählt.	Verwenden Sie die unten stehenden Identitätsdienste, um sich zu identifizieren, bis Sie genügend Sterne gesammelt haben, um die Sternleiste zu füllen.
Erinnerung, Kopfzeile	Dies ist die Kopfzeile, die auf der ersten Seite des Anmeldeassistenten angezeigt wird, bevor der Benutzer sein Passwort eingeben muss.	Anmeldeerinnerung
Erinnerung, Nachricht	Dieser Text wird auf der ersten Seite des Anmeldeassistenten angezeigt, bevor der Benutzer sein Passwort eingeben muss.	Sie müssen sich für den Password Reset-Dienst anmelden. Drücken Sie die Schaltfläche unten, um den Anmeldeassistenten zu starten.
Fertig, Nachricht	Dies wird auf der letzten Seite des Anmeldeprozesses angezeigt, nachdem der Benutzer sich mit allen verfügbaren Identitätsdiensten angemeldet hat oder die Option "Ich bin fertig" und nicht "Mehr Sterne sammeln" gewählt hat.	Sie haben die Anmeldung abgeschlossen, Sie können jetzt diesen Browser schließen und mit Ihrem Tag fortfahren.
Bereits angemeldet, Kopfzeile	Bereits angemeldet, Kopfzeile	Angemeldet
	Bereits angemeldet, Nachricht	Sie sind bereits angemeldet! Wenn Sie möchten, können Sie sich mit zusätzlichen Identitätsdiensten anmelden oder Änderungen an den Identitätsdiensten vornehmen, bei denen Sie angemeldet sind.

Mfa

Textelement	Beschreibung	Standardtext
Identitätsdienst auswählen, Nachricht	Dieser Text wird auf der Seite angezeigt, auf der der Benutzer während des Anmeldeprozesses Identitätsdienste auswählt.	Verwenden Sie die unten stehenden Identitätsdienste, um sich zu identifizieren, bis Sie genügend Sterne gesammelt haben, um die Sternleiste zu füllen.
Kann nicht anmelden, da keine Richtlinie, Kopfzeile	Dieser Titel wird angezeigt, wenn ein Benutzer, der keine konfigurierte Richtlinie hat, versucht, sich anzumelden.	Sie können sich nicht für diesen Dienst anmelden
Kann nicht anmelden, da keine Richtlinie, Nachricht	Diese Nachricht wird angezeigt, wenn ein Benutzer, der keine konfigurierte Richtlinie hat, versucht, sich anzumelden.	Es wurde keine Richtlinie für Sie für diesen Dienst konfiguriert.
Anmeldung fehlt, Kopfzeile	Diese Kopfzeile wird angezeigt, wenn ein Benutzer nicht für uReset angemeldet ist und versucht, sein Passwort zurückzusetzen.	Anmeldung fehlt
Passwort kann nicht zurückgesetzt werden, nicht bei uReset angemeldet	Dieser Text wird angezeigt, wenn ein Benutzer nicht für uReset angemeldet ist und versucht, sein Passwort zurückzusetzen.	Sie können Ihr Passwort nicht zurücksetzen, da Sie sich nicht für den Passwort-Reset-Dienst angemeldet haben.
Kann sich nicht von nicht vertrauenswürdiger IP anmelden	Dieser Text wird einem Endbenutzer angezeigt, wenn er versucht, sich anzumelden, aber aufgrund einer Verbindung von einem nicht vertrauenswürdigen Netzwerkstandort daran gehindert wird.	Sie können sich nicht bei der {0} Ressource anmelden, da Sie nicht von einem vertrauenswürdigen Netzwerkstandort aus verbinden.

Service Desk

Textelement	Beschreibung	Standardtext
Benutzer suchen	Dieser Text wird auf der {0} Startseite angezeigt.	Verwenden Sie das Suchfeld, um Benutzer zu finden. Sie können nach Kontonamen, E-Mail-Adressen oder echten Namen der Benutzer suchen.
Standardnachrichtentext für erweiterte Verifizierung	Während der erweiterten Verifizierung kann ein Service Desk-Agent eine Textnachricht mit einem Verifizierungslink an den Benutzer senden. Der Standardtext der Nachricht wird durch diese Textnachrichtenvorlage bestimmt. Er kann vom Service Desk-Agenten vor dem Senden geändert werden.	Verifizieren Sie Ihre Identität hier
Standard-E-Mail-Betreff für erweiterte Verifizierung	Während der erweiterten Verifizierung kann ein Service Desk-Agent eine E-Mail mit einem Verifizierungslink an den Benutzer senden. Der Standardtext der E-Mail wird durch diese E-Mail-Betreffvorlage bestimmt. Er kann vom Service Desk-Agenten vor dem Senden geändert werden.	Verifizieren Sie Ihre Identität
Standard-E-Mail-Text für erweiterte Verifizierung	Während der erweiterten Verifizierung kann ein Service Desk-Agent eine E-Mail mit einem Verifizierungslink an den Benutzer senden. Der Standardtext der E-Mail wird durch diese E-Mail-Textvorlage bestimmt. Er kann vom Service Desk-Agenten vor dem Senden geändert werden.	Verwenden Sie diesen Link, um Ihre Identität zu verifizieren
Anweisungen zur RSA SecurID-Token-Verifizierung	Beschreibt, wie Benutzer die Token-Verifizierung mit ihren RSA SecurID-Geräten handhaben. Dieser Text sollte angeben, ob die Verifizierung Token und/oder PIN erfordert. {0} wird durch 'RSA SecurID' ersetzt, aber das Hinzufügen dieses Platzhalters ist nicht erforderlich.	Geben Sie einen Code aus der {0} App ein.
Anweisungen zur RSA SecurID-Code-Verifizierung	Beschreibt, wie Benutzer die Token-Verifizierung mit ihren RSA SecurID-Geräten handhaben. Dieser Text sollte angeben, ob die Verifizierung Token und/oder PIN erfordert. {0} wird durch 'RSA SecurID' ersetzt, aber das Hinzufügen dieses Platzhalters ist nicht erforderlich.	Geben Sie einen Code aus der {0} App ein.
Passwort-Reset - Benachrichtigungstext für Benutzer	Beschreibt den Nachrichtentext für die Benachrichtigung über das Zurücksetzen des Benutzerpassworts. Dieser Text sollte die Details des Nachrichtentextes angeben. {password} wird durch das neue Benutzerpasswort ersetzt - dieser Platzhalter ist erforderlich. {upn} wird durch den Benutzer-UPN ersetzt - dieser Platzhalter ist nicht erforderlich. {changepasswordlink} wird durch den Passwort-Reset-Link ersetzt - dieser Platzhalter ist nicht erforderlich.	Ihr neues Passwort lautet:
Passwort-Reset - Benachrichtigungstext für Manager/Benutzerdefiniert	Beschreibt den Nachrichtentext für die Benachrichtigung über das Zurücksetzen des Manager-/Benutzerdefinierten Passworts. Dieser Text sollte die Details des Nachrichtentextes angeben. {password} wird durch das neue Benutzerpasswort ersetzt - dieser Platzhalter ist erforderlich. {upn} wird durch den Benutzer-UPN ersetzt - dieser Platzhalter ist nicht erforderlich. {changepasswordlink} wird durch den Passwort-Reset-Link ersetzt - dieser Platzhalter ist nicht erforderlich.	Das neue Passwort für {upn} lautet: {password}
Passwort-Reset - Benachrichtigungstext für Benutzer-SMS	Beschreibt den Nachrichtentext für die Benachrichtigung über das Zurücksetzen des Benutzerpassworts. {password} wird durch das neue Benutzerpasswort ersetzt - dieser Platzhalter ist erforderlich. {upn} wird durch den Benutzer-UPN ersetzt - dieser Platzhalter ist nicht erforderlich. {changepasswordlink} wird durch den Passwort-Reset-Link ersetzt - dieser Platzhalter ist nicht erforderlich.	Neues Passwort:

Passwortänderung/-zurücksetzung

Textelement	Beschreibung	Standardtext
Passwortänderung - Erfolg, Nachricht	Dieser Text wird angezeigt, wenn der Benutzer mit einem Passwort-Reset oder einer Passwortänderung fertig ist.	Ihr Passwort wurde geändert! Wenn Sie einen Windows-Computer verwenden, wird empfohlen, sich abzumelden und sich mit Ihrem neuen Passwort erneut anzumelden. Vergessen Sie auch nicht, Ihr neues Passwort beispielsweise in der E-Mail-App auf Ihrem Telefon zu aktualisieren, falls erforderlich.
Passwortänderung - Erfolg, Nachricht für sicheren Browser	Dieser Text wird angezeigt, wenn der Benutzer mit einem Passwort-Reset oder einer Passwortänderung fertig ist, die von der Windows-Identitätspasswortansicht aus gestartet wurde.	Ihr Passwort wurde geändert! Vergessen Sie nicht, Ihr neues Passwort beispielsweise in der E-Mail-App auf Ihrem Telefon zu aktualisieren, falls erforderlich.
Passwortänderung/-zurücksetzung - Anweisungen, Nachricht	Dieser Text wird über den Passwortregeln angezeigt, wenn ein Benutzer eine Passwortänderung oder einen Passwort-Reset durchführen möchte.
Passwortänderung/-zurücksetzung - Anweisungen, Nachricht auf Mobilgeräten	Dieser Text wird auf kleinen Geräten angezeigt, auf denen der Benutzer auf die Passwortanweisungen klickt, um sie zu erweitern, über den Passwortregeln, wenn ein Benutzer eine Passwortänderung oder einen Passwort-Reset durchführen möchte.	Anweisungen anzeigen
Passwortauswahlseite - Anweisungen	Dieser Text wird auf der Passwortstartseite angezeigt, auf der der Benutzer zwischen einer Passwortänderung und einem Passwort-Reset wählen kann.	Müssen Sie Ihr Passwort ändern? Wenn Sie Ihr aktuelles Passwort kennen, können Sie sich damit anmelden, um es zu ändern. Wenn Sie Ihr Passwort vergessen haben, können Sie die zweite Option verwenden, um sich anzumelden und dann Ihr Passwort zurückzusetzen.
Passwortauswahlseite - Titel	Dieser Text wird auf der Passwortstartseite angezeigt. Dies ist der Abschnittstitel.	Neues Passwort
Passwortauswahlseite - Passwort ändern-Schaltfläche	Diese Schaltfläche wird auf der Passwortstartseite angezeigt. Diese Schaltfläche initiiert eine Passwortänderung, wenn das Passwort bekannt ist.	Ich kenne mein Passwort
Passwortauswahlseite - Passwort zurücksetzen-Schaltfläche	Diese Schaltfläche wird auf der Passwortstartseite angezeigt. Diese Schaltfläche initiiert eine Passwortänderung, wenn das Passwort nicht bekannt ist.	Ich habe mein Passwort vergessen

Sonstiges

Textelement	Beschreibung	Standardtext
Benutzername-Etikett auf der Benutzernamenseite	Dieser Text wird angezeigt, wenn ein Benutzer während der Anmeldung seinen Benutzernamen eingibt.	Benutzername
Benutzername-Etikett auf der Passwortseite	Dieser Text wird angezeigt, wenn ein Benutzer während der Anmeldung seinen Benutzernamen eingibt.	Benutzername
Anweisungen zur RSA SecurID-Token-Verifizierung	Beschreibt, wie Benutzer die Token-Verifizierung mit ihren RSA SecurID-Geräten handhaben. Dieser Text sollte angeben, ob die Verifizierung Token und/oder PIN erfordert. {0} wird durch 'RSA SecurID' ersetzt, aber das Hinzufügen dieses Platzhalters ist nicht erforderlich.	Geben Sie einen Code aus der {0} App ein.
Anweisungen zur RSA SecurID-Code-Verifizierung	Beschreibt, wie Benutzer die Token-Verifizierung mit ihren RSA SecurID-Geräten handhaben. Dieser Text sollte angeben, ob die Verifizierung Token und/oder PIN erfordert. {0} wird durch 'RSA SecurID' ersetzt, aber das Hinzufügen dieses Platzhalters ist nicht erforderlich.	Geben Sie einen Code aus der {0} App ein.
Entsperrauswahlseite - Anweisungen	Dieser Text wird auf der Entsperrstartseite angezeigt, auf der der Benutzer sein Konto entsperren kann, wenn das Passwort bekannt ist.	Wenn Sie Ihr aktuelles Passwort kennen, das Konto jedoch gesperrt ist, können Sie es entsperren, um sich anmelden zu können.
Entsperrauswahlseite - Titel	Dieser Text wird auf der Entsperrstartseite angezeigt. Dies ist der Abschnittstitel.	Konto entsperren

Identitätsdienst

Textelement	Beschreibung	Standardtext
Anzeigename für Windows-Identität	Dieser Text ersetzt den Anzeigenamen für den Windows-Identitätsdienst, wo der Identitätsdienst verwendet wird.	Windows-Identität
Anzeigename für mobilen Code	Dieser Text ersetzt den Anzeigenamen für den mobilen Code-Identitätsdienst, wo der Identitätsdienst verwendet wird.	Mobiler Code
Anzeigename für Email	Dieser Text ersetzt den Anzeigenamen für den Email-Identitätsdienst, wo der Identitätsdienst verwendet wird.	Email
Anzeigename für persönliche Email	Dieser Text ersetzt den Anzeigenamen für den persönlichen Email-Identitätsdienst, wo der Identitätsdienst verwendet wird.	Persönliche Email
Anzeigename für Manager-Identifikation	Dieser Text ersetzt den Anzeigenamen für den Manager-Identifikationsdienst, wo der Identitätsdienst verwendet wird.	Manager-Identifikation
Anzeigename für Sicherheitsfragen	Dieser Text ersetzt den Anzeigenamen für den Sicherheitsfragen-Identitätsdienst, wo der Identitätsdienst verwendet wird.	Sicherheitsfragen

First Day Password

Textelement	Beschreibung	Standardtext
First Day Password Startseitentitel	Titel für die First Day Password-Landingpage	Passwort festlegen
First Day Password Startseitenbeschreibung	Beschreibung auf der First Day Password-Landingpage	Es ist an der Zeit, Ihr erstes Passwort auszuwählen. Auf der nächsten Seite sehen Sie eine Liste von Regeln und Einschränkungen, wie ein Passwort aufgebaut werden kann. Sobald Sie mit Ihrem Passwort zufrieden sind, müssen Sie es im zweiten Feld wiederholen.
Ungültige First Day Password URL-Nachricht	Information für den Endbenutzer, wenn der Link abgelaufen oder ungültig ist	Dieser Link zum Festlegen Ihres Passworts ist abgelaufen oder ungültig, wenden Sie sich an Ihren Administrator, um Hilfe zu erhalten.
Nicht berechtigt für First Day Password	Fehlermeldung, wenn ein Benutzer nach der Anmeldung nicht berechtigt ist für First Day Password	Sie sind derzeit nicht berechtigt für den First Day Password-Prozess.
First Day Password initiale Passwortinformationen festlegen	Optionale Informationen, die dem Benutzer oben auf der Zurücksetzseite angezeigt werden, wenn er sein erstes Passwort festlegt.
First Day Password abgeschlossene Nachricht	Dieser Text wird angezeigt, wenn der First Day Password-Benutzer mit der Passworteinrichtung fertig ist.	Ihr Windows-Passwort wurde jetzt festgelegt.

Eine Fallback-Sprache festlegen

Die Fallback-Sprache ermöglicht es Administratoren, sekundäre benutzerdefinierte Sprachstrings festzulegen, falls keine benutzerdefinierten Strings in der Sprache existieren, die der Endbenutzer als seine Schnittstellensprache festgelegt hat. Dies bedeutet, dass Administratoren sicherstellen können, dass dem Benutzer immer der richtige Text angezeigt wird.

Gehen Sie in Authentication Web zu Anpassung > Texte
Klicken Sie auf den Tab der Sprache, die Sie als Fallback-Sprache festlegen möchten, und klicken Sie auf Als Fallback-Sprache festlegen. Die Fallback-Sprache wird fett markiert.

Hinweis

Wenn eine Sprache als Fallback-Sprache festgelegt wurde, ermöglicht die Schaltfläche, die Fallback-Sprache zu deaktivieren, andernfalls ermöglicht sie, sie festzulegen.

Die Reihenfolge, in der Textstrings dem Benutzer angezeigt werden, ist wie folgt:

Benutzerdefinierter Wert für die aktuelle Sprache des Benutzers.
Benutzerdefinierter Wert für die Fallback-Sprache (wenn kein benutzerdefinierter Wert für die aktuelle Sprache existiert).
Standardtext für die aktuelle Sprache (wenn es keine benutzerdefinierten Werte für die aktuelle Sprache oder die Fallback-Sprache gibt).

Diese Funktion kann verwendet werden, um sicherzustellen, dass wichtige benutzerdefinierte Nachrichten immer den Benutzern angezeigt werden, auch wenn nicht alle verfügbaren Sprachen mit derselben benutzerdefinierten Nachricht aktualisiert wurden. Beispiel: Wenn Sie eine benutzerdefinierte Nachricht für die Nachricht "Anmeldung abgeschlossen" (Enroll_Completed_Message) auf Französisch haben, können Sie Englisch als Fallback-Sprache festlegen und sicherstellen, dass der Enroll_Complete_Message-String in Englisch ebenfalls einen benutzerdefinierten Wert hat. Wenn ein Benutzer seine Sprache auf etwas anderes als Französisch oder Englisch eingestellt hat, sieht er trotzdem die englische Nachricht, auch wenn es keinen benutzerdefinierten Text für seine aktuelle Sprache gibt.

Berichterstattung

Das Berichterstattung-Menü enthält mehrere hilfreiche Berichte. Durchsuchen Sie die verfügbaren Tabs, um die Berichte anzuzeigen.

Nutzung: Im Nutzung-Tab können Sie abgeschlossene Anmeldungen, abgeschlossene Authentifizierungen sowie Textnachrichtenaktivitäten (wie Benachrichtigungen oder Mobile Code (SMS)-Nutzung) anzeigen.
Prüfung: Im Prüfung-Tab können Sie Ereignisänderungen in uReset verfolgen. Klicken Sie auf Ereignisse abrufen für eine vollständige Liste der Ereignisse. Alternativ filtern Sie nach Ressource oder Datum. Die Ergebnisse werden angezeigt, und Sie können auf jedes Ereignis klicken, um weitere Details zu erhalten.
Systemereignisse: Im Systemereignisse-Tab können Sie die von uReset durchgeführten Protokolloperationen anzeigen. Die angezeigten Informationen, Warnungen und Fehler sind für Administratoren gedacht, die für die Fehlerbehebung des Systems verantwortlich sind. Klicken Sie auf Suchen ohne Filterinformationen für eine vollständige Liste der Aktivitäten. Alternativ filtern Sie die Aktivitäten nach Typ, Schweregrad, Datum, Benutzer, Ereignisname und Aktivitäts-ID. Die Ergebnisse werden angezeigt. Sie können auf jedes Ereignis klicken, um weitere Details, einschließlich Fehlerbehebungsinformationen, zu erhalten.
Nicht angemeldete Benutzer: Im Nicht angemeldete Benutzer-Tab können Sie den Anmeldefortschritt verfolgen, indem Sie Berichte zu Benutzeranmeldungen generieren und exportieren.

Abonnements

Sie können den Status Ihres uReset-Abonnements, einschließlich aktivierter Funktionen und Identitätsdienste, im Abonnements-Tab einsehen. Sie können auch Nutzungsstatistiken anzeigen, einschließlich abgeschlossener Authentifizierungen pro Monat und insgesamt.

Konto

Im Konto-Menü können Sie mehrere Domänen zu Ihrem Specops Authentication-Organisationskonto hinzufügen, CAPTCHA-Einstellungen verwalten und Ihre benutzerdefinierten E-Mail-Einstellungen verwalten.

Domänen

Um mehrere Domänen zu Ihrem uReset-Organisationskonto hinzuzufügen.

Wählen Sie Konto in Authentication Web.
Klicken Sie im Domänennamen-Tab auf Neu hinzufügen.
Geben Sie den Domänennamen in das Feld Domänenname ein und klicken Sie auf Speichern.

Sie können Domänen, die mit Ihrem Konto verknüpft sind, als verifiziert kennzeichnen, um ein zusätzliches Maß an Sicherheit zu gewährleisten. Weitere Informationen finden Sie unter Domänenverifizierung hier.

Domänennamenschutz stellt sicher, dass Ihr Specops Authentication-Konto nicht automatisch mit Ihrem registrierten Domänennamen aufgerufen werden kann. Weitere Informationen finden Sie unter Domänennamenschutz hier.

Bevorzugte Domäne

Wenn Sie mehrere Domänen registriert haben, können Sie eine davon als bevorzugte Domäne festlegen. Diese wird dann in allen URLs angezeigt, die mit Specops Authentication verknüpft sind, nach dem ?domain= Parameter (Admin-Seiten, Anmeldung usw.).

Bevorzugte Domäne festlegen

Wählen Sie Konto in Authentication Web
Klicken Sie in der Domänennamen-Liste auf Bearbeiten für die Domäne, die Sie als bevorzugte Domäne festlegen möchten.
Wählen Sie das Kontrollkästchen Als bevorzugte Domäne festlegen.
Klicken Sie auf Speichern

CAPTCHA

In diesem Tab können Sie die Einstellungen konfigurieren, um ein CAPTCHA dynamisch anzuzeigen. CAPTCHA wird verwendet, um das automatisierte Sammeln von Benutzernamen zu verhindern. Diese Einstellung schützt die Endpunkte, an denen ein Benutzer seinen Benutzernamen eingibt. Wenn CAPTCHA aktiviert ist, wird bei verdächtigen Zugriffsversuchen auf die Endpunkte der Benutzer mit einer CAPTCHA-Herausforderung konfrontiert. Die Google reCAPTCHA-Technologie wird verwendet. Es wird empfohlen, CAPTCHA zu aktivieren.

Sie können CAPTCHA auf eine der folgenden Optionen einstellen:

Captcha deaktivieren: deaktiviert CAPTCHA vollständig.
Captcha für Anfragen aus nicht vertrauenswürdigen Netzwerkstandorten aktivieren: Wenn Vertrauenswürdige Netzwerkstandorte aktiviert sind, wird diese Option CAPTCHA nur für Benutzer aktivieren, die sich von IP-Adressen außerhalb Ihrer vertrauenswürdigen Netzwerkstandorte verbinden.
Captcha immer aktivieren: aktiviert Captcha für alle Benutzer.

CAPTCHA für ADAL-Browser

Der ADAL-Browser ist ein benutzerdefinierter Browser von Microsoft, der verwendet wird, um eine delegierte Authentifizierung durchzuführen, zum Beispiel von Microsoft Outlook oder Microsoft Word. Diese Browser sind nicht vollständig kompatibel mit Google reCAPTCHA, und der Endbenutzer kann mit vielen CAPTCHA-Herausforderungen in Folge konfrontiert werden. Um zu verhindern, dass Benutzer mit mehreren CAPTCHA-Herausforderungen konfrontiert werden, können Sie das Kontrollkästchen CAPTCHA in ADAL-Browsern aktivieren.

E-Mail-Einstellungen

Hinweis

Wenn SMTP-Einstellungen im Gatekeeper Admin Tool konfiguriert wurden, um Ihren eigenen SMTP-Anbieter anstelle der Specops-Standardkonfiguration (die Drittanbieter wie SendGrid verwendet) zu verwenden, wird dieser Abschnitt deaktiviert. Um die Standardkonfiguration zu verwenden und die E-Mail-Einstellungen hier zu konfigurieren, melden Sie sich im Gatekeeper Admin Tool an, gehen Sie zu E-Mail-Konfiguration, klicken Sie auf Bearbeiten und ändern Sie das Dropdown-Menü auf Specops-Standardkonfiguration. Klicken Sie dann zweimal auf OK.

Wenn Sie möchten, dass Anmeldungs-, Authentifizierungs- und Benutzeridentitätsüberprüfungs-E-Mails von einer benutzerdefinierten E-Mail-Adresse gesendet werden, können Sie dies hier konfigurieren.

Hinweis

Das Festlegen dieser E-Mail-Adresse ändert nicht Ihre Benachrichtigungseinstellungen (z. B. für Specops uReset-Benachrichtigungen).

Klicken Sie auf den Tab E-Mail-Einstellungen
Klicken Sie auf die aktuelle E-Mail, um die E-Mail-Einstellungen einzugeben
Legen Sie den Absender-Anzeigenamen, die Absenderadresse fest und wählen Sie die Domain aus dem Dropdown-Menü aus.

Hinweis

Nur Ihre verifizierten Domains und alle zusätzlichen Domains, die Sie registriert haben, werden im Dropdown-Menü angezeigt. Weitere Informationen zu E-Mail-Benachrichtigungen von SA finden Sie in diesem Knowledge Base-Artikel.
Klicken Sie auf Speichern

Hinweis

Durch Klicken auf Auf Systemstandard zurücksetzen werden die E-Mail-Einstellungen auf die von Specops festgelegte Standard-E-Mail-Adresse (von specopssoft.com) zurückgesetzt. Dadurch wird die aktuelle E-Mail-Einstellung gelöscht.

DKIM-Datensätze für E-Mails konfigurieren

DomainKeys Identified Mail (DKIM) ist ein Authentifizierungsstandard, der verwendet wird, um E-Mail-Spoofing zu verhindern. Insbesondere versucht DKIM, das Spoofing einer Domain zu verhindern, die zum Versenden von E-Mails verwendet wird.

DKIM verwendet das Konzept eines Domaininhabers, der die DNS-Einträge für eine Domain kontrolliert. Beim Senden von E-Mails mit aktiviertem DKIM signiert der sendende Server die Nachrichten mit einem privaten Schlüssel. Ein Domaininhaber fügt auch einen DKIM-Eintrag hinzu, der ein modifizierter TXT-Eintrag ist, zu den DNS-Einträgen auf der sendenden Domain. Dieser TXT-Eintrag enthält einen öffentlichen Schlüssel, der von empfangenden Mailservern verwendet wird, um die Signatur einer Nachricht zu überprüfen.

Senden Sie eine Anfrage für DKIM an den Produktsupport (Sie können dieses Formular verwenden).
Der Produktsupport generiert einen DKIM-Eintrag, der Ihnen zugesandt wird.
Fügen Sie den DKIM-Eintrag zu Ihrem DNS-Eintrag hinzu.
Sobald er hinzugefügt wurde, kann der Produktsupport das Vorhandensein des Eintrags überprüfen.

Informationen

Der Tab Informationen zeigt Informationen zum Erstellungsdatum des Kontos und dem Datum, an dem die Nutzungsbedingungen akzeptiert wurden.

Konto löschen

Konten können durch Kontaktaufnahme mit Specops gelöscht werden.

Benutzerzählung

Sie können die Anmeldestatistiken, die auf der Berichtsseite zu finden sind, aktualisieren, indem Sie eine neue Benutzerzählung starten. Standardmäßig wird die nächtliche Benutzerzählung um 4:00 Uhr UTC durchgeführt.

Die letzten Zählstatistiken sind ebenfalls auf der Seite zu finden.

Benutzerzählungszeit konfigurieren

Hier können Sie konfigurieren, zu welcher Zeit die Benutzerzählung auf dem Gatekeeper ausgeführt wird.

Legen Sie die Zeit fest, zu der die Benutzerzählung ausgeführt werden soll.

Hinweis

Die Zeit wird in koordinierter Weltzeit (UTC) festgelegt.
Markieren Sie das Kontrollkästchen Anmeldeerinnerungen senden, wenn die Zählung abgeschlossen ist, um Anmeldeerinnerungen an Benutzer zu senden, wann immer die Benutzerzählung ausgeführt wird.
Klicken Sie auf Einstellungen speichern.

Benutzerzählung manuell starten

Die Benutzerzählung kann jederzeit durch Klicken auf die Schaltfläche Zählung starten gestartet werden.

Secure Service Desk

Der Secure Service Desk bietet alle notwendigen Werkzeuge für Ihre Service-Desk-Agenten, um Benutzern zu helfen, die mit Authentifizierungsproblemen anrufen. Specops Service Desk Agents können Benutzern helfen, ihre Passwörter zurückzusetzen oder ihre Computer zu entsperren (wenn sie mit Bitlocker oder Symantec verschlüsselt sind) in einer sicheren und benutzerfreundlichen Umgebung, während Specops Service Desk User Verifiers Benutzer überprüfen und Anmeldungen prüfen können. Der Service Desk hält auch Benutzerinformationen und Statistiken bereit.

Hinweis

Hinweis zu Telefonnummern im Active Directory

Wichtig: Damit Textnachrichten im Service Desk korrekt funktionieren, muss die im Active Directory registrierte Mobiltelefonnummer dem E.164-Nummerierungsplanformat entsprechen. Das bedeutet, dass Mobiltelefonnummern folgendes Format haben müssen: +[Ländercode][Teilnehmernummer ohne führende Null]. Zum Beispiel sollte für die schwedische (Ländercode 46) Telefonnummer 073-3123456 die Nummer in AD +46733123456 sein; für die US-amerikanische (Ländercode 1) Telefonnummer 415 555 2671 sollte das Format in AD +14155552671 sein.

Beachten Sie, dass das Registrieren von Telefonnummern im Active Directory in einem anderen Format dazu führt, dass der Specops Service Desk Agent keine Textnachrichten an den betreffenden Benutzer senden kann.

Rollen von Secure Service Desk-Agenten

Es gibt zwei verschiedene Arten von Secure Service Desk-Agenten: Specops Service Desk Agent und Specops Service Desk User Verifier. Diese beiden Arten von Agenten haben jeweils unterschiedliche Berechtigungen:

Specops Service Desk Agent hat Berechtigungen, um alle Aktionen im Secure Service Desk durchzuführen.

Specops Service Desk User Verifier kann die folgenden Aktionen durchführen:

Identität verifizieren (sowohl schnelle als auch erweiterte Verifizierung)
Benutzeranmeldungen anzeigen
Anmeldelinks an Benutzer senden

Eine Richtlinie für den Zugriff auf den Secure Service Desk konfigurieren

Für zusätzliche Sicherheit können Sie Multi-Faktor-Authentifizierungsrichtlinien für Benutzer (typischerweise Specops Service Desk Agents) konfigurieren, die auf den Service Desk zugreifen.

Klicken Sie im linken Navigationsbereich auf Service Desk.
Klicken Sie auf die Schaltfläche Konfigurieren, um die Richtlinie zu konfigurieren.
Konfigurieren Sie die Richtlinie und klicken Sie dann auf Speichern.

Einstellungen für Secure Service Desk konfigurieren

Auf der Seite Einstellungen können Sie Folgendes konfigurieren:

Identitätsverifizierung
Verifizierungs-Override-URL
Passwort-Zurücksetzungsoptionen
Benutzer-Datenschutzoptionen
Key Recovery-Optionen
Anmeldeoptionen

Identitätsverifizierung

Erzwingung der Identitätsverifizierung

Wenn diese Einstellung aktiviert ist, kann das Passwort des Benutzers nicht zurückgesetzt werden, noch kann sein Computer vom Service Desk entsperrt werden, bis die Identität des Benutzers verifiziert wurde, indem er sich mit einem der Identitätsdienste authentifiziert, bei denen er sich zuvor angemeldet hat.

Klicken Sie im linken Navigationsbereich auf Service Desk.
Klicken Sie auf die Schaltfläche Einstellungen, um die Einstellungen zu konfigurieren.
Klicken Sie auf den Abschnitt Identitätsverifizierung.
Aktivieren Sie das Kontrollkästchen Erzwingung der Identitätsverifizierung und klicken Sie auf Speichern.

Hinweis

Wenn Benutzer RSA-Hardware-Token mit PIN haben, wird RSA die erforderliche erweiterte Verifizierungsoption sein.

Aktivierte Verifizierungsmethoden konfigurieren

Standardmäßig sind alle verfügbaren (und zukünftigen) Verifizierungsmethoden im Service Desk aktiviert. Wenn Sie steuern möchten, welche Verifizierungsmethoden im Service Desk verwendet werden können, können Sie dies hier tun.

Hinweis

Denken Sie daran, dass, wenn diese Einstellung aktiviert ist, neu eingeführte Verifizierungsmethoden über diese Einstellungen aktiviert werden müssen, bevor sie im Service Desk verwendet werden können.

Klicken Sie im linken Navigationsbereich auf Service Desk.
Klicken Sie auf die Schaltfläche Einstellungen, um die Einstellungen zu konfigurieren.
Klicken Sie auf den Abschnitt Identitätsverifizierung.
Klicken Sie auf die Schaltfläche Aktivierte Verifizierungsmethoden konfigurieren.
Aktivieren Sie das Kontrollkästchen Nur explizit aktivierte Verifizierungsmethoden verwenden.
Aktivieren oder deaktivieren Sie die Verifizierungsmethoden Ihrer Wahl, indem Sie auf deren Statusschaltfläche klicken.

Verifizierungs-Override-URL

Hier können Sie eine Verifizierungs-Override-URL eingeben, die einem Service Desk-Agenten angezeigt wird, wenn die Verifizierungs-URL nicht direkt an den Benutzer gesendet werden kann. Der Service Desk-Agent kann dann die URL dem Benutzer vorlesen. Weitere Informationen zu dieser Funktion und ihrer Einrichtung finden Sie auf der Override-URL-Seite.

Passwort-Zurücksetzungsoptionen

Die folgenden Optionen können in den Passwort-Zurücksetzungseinstellungen aktiviert werden:

Benutzer zwingen, das Passwort nach dem Zurücksetzen zu ändern

Hinweis

Wenn diese Option aktiviert ist, können Service Desk-Agenten keine Passwörter manuell für Zurücksetzungen eingeben. Das neue Passwort wird dem Benutzer per E-Mail oder Textnachricht gesendet.
Manuelle Passwort-Override erlauben (um systemgenerierte Passwörter zu überschreiben, wenn die Option Systemgenerierte Passwörter aktiviert wurde)
Nur systemgenerierte Passwörter erlauben (um die Generierung von Passwörtern durch das System zu aktivieren; der Specops Service Desk Agent kann das generierte Passwort nicht lesen)
Benachrichtigungen (siehe den Abschnitt Zusätzliche Benachrichtigungsmethoden aktivieren unten)

Zusätzliche Benachrichtigungsmethoden aktivieren

Dieser Abschnitt ermöglicht die Konfiguration der Benachrichtigungsmöglichkeiten für den Specops Service Desk Agent. Zusätzlich zur E-Mail und Mobiltelefon des Benutzers können mehrere zusätzliche Benachrichtigungsmethoden aktiviert werden. Dies ist besonders hilfreich, wenn die E-Mail und Mobilnummer des Benutzers nicht im Active Directory konfiguriert wurden. Die folgenden Einstellungen können aktiviert werden:

Senden neuer Passwörter per E-Mail oder Textnachricht aktivieren: Wenn diese Option aktiviert ist, stehen die E-Mail- und Textbenachrichtigungsmethoden dem Specops Service Desk Agent zur Verfügung (vorausgesetzt, dass die Attribute für den Benutzer im Active Directory korrekt konfiguriert sind)
An benutzerdefinierte E-Mail: ermöglicht das Senden von Benachrichtigungs-E-Mails an andere E-Mail-Adressen als die im Active Directory registrierten.
An Manager: ermöglicht das Senden von Benachrichtigungen an den Manager des Benutzers (E-Mail und Textnachricht, wenn korrekt im Active Directory konfiguriert)
Wählen Sie im linken Navigationsbereich Service Desk.
Klicken Sie auf den Tab Einstellungen.
Erweitern Sie Passwort-Zurücksetzungsoptionen.
Aktivieren Sie Senden neuer Passwörter an Manager aktivieren, um das Senden an einen Manager zu ermöglichen.
Aktivieren Sie Senden neuer Passwörter an benutzerdefinierte E-Mail-Adressen aktivieren, um das Senden an benutzerdefinierte E-Mails zu ermöglichen.

Hinweis

Diese Option ist nicht verfügbar, wenn die Option Systemgenerierte Passwörter aktiviert wurde. Dies ist eine Sicherheitsvorkehrung, um zu vermeiden, dass der Specops Service Desk Agent das generierte Passwort lesen kann.
Klicken Sie auf Speichern

Benutzer-Datenschutzoptionen

Diese Optionen können verwendet werden, um den Zugriff von Specops Service Desk Agents auf bestimmte Benutzerinformationen einzuschränken. Die folgenden Optionen stehen zur Verfügung:

Teil der Nummer: ermöglicht das Anzeigen, Verbergen oder nur teilweise Anzeigen der Telefonnummer des Benutzers für den Specops Service Desk Agent.
Anzeigen/Verbergen (E-Mail): ermöglicht das Anzeigen oder Verbergen der E-Mail-Adresse des Benutzers für den Service Desk-Agenten.

Telefonnummer und/oder E-Mail-Adresse eines Benutzers verbergen

Wählen Sie im linken Navigationsbereich Service Desk.
Klicken Sie auf den Tab Einstellungen.
Erweitern Sie Benutzer-Datenschutzoptionen.
Stellen Sie das erste Dropdown-Menü auf Verbergen, um die Telefonnummer des Benutzers aus der Ansicht des Service Desk-Agenten zu verbergen. Beachten Sie, dass es auch möglich ist, einen Teil der Telefonnummer dem Service Desk-Agenten anzuzeigen.
Stellen Sie das zweite Dropdown-Menü auf Verbergen, um die E-Mail-Adresse des Benutzers aus der Ansicht des Service Desk-Agenten zu verbergen.
Klicken Sie auf Speichern

Key Recovery-Optionen

Dieser Abschnitt ermöglicht es Ihnen, zusätzliche Benachrichtigungen für Key Recovery-Operationen zu konfigurieren:

Senden des Recovery Keys an Manager aktivieren: ermöglicht das Senden des Recovery Keys an den Manager des Benutzers, wenn korrekt im Active Directory konfiguriert.
Senden des Recovery Keys an benutzerdefinierte E-Mail-Adressen aktivieren: ermöglicht das Senden des Recovery Keys an andere E-Mails als die, die mit dem Benutzer im Active Directory verbunden sind. Die benutzerdefinierten E-Mails müssen in den registrierten Domains sein.

Anmeldeoptionen

Hier können Sie konfigurieren, ob Specops Service Desk Agents Benutzer für bestimmte Identitätsdienste ohne Benutzereingriff anmelden können. Diese Funktion kann nur verwendet werden, wenn der Benutzer verifiziert wurde. Weitere Informationen zu dieser Funktion finden Sie im Anmeldeabschnitt.

Anmeldehinzufügung konfigurieren

Gehen Sie zu Secure Service Desk > Einstellungen
Öffnen Sie Anmeldeoptionen
Aktivieren Sie die Option Service Desk-Agenten erlauben, Benutzer anzumelden
Stellen Sie sicher, dass die Identitätsdienste korrekt konfiguriert sind, um das Hinzufügen von Anmeldungen zu ermöglichen.
Hinweis

Die Einstellung Mobilnummer in AD aktualisieren muss auf eine der folgenden Optionen gesetzt sein:
- Immer
- Wenn Nummer im Active Directory fehlt
- Im Benutzerunterobjekt speichern (verschlüsselt)
Beachten Sie auch, dass, wenn die Einstellung auf Wenn Nummer im Active Directory fehlt gesetzt ist und die Nummer bereits im Active Directory vorhanden ist, die Anmeldehinzufügungsfunktion nicht funktioniert.

Fehlerbehebung bei Anmeldehinzufügung

Wenn die Schaltfläche Anmeldehinzufügung nicht zugänglich ist, sollten Administratoren Folgendes überprüfen:

Überprüfen Sie, ob Anmeldehinzufügung in den Secure Service Desk-Einstellungen (Anmeldeoptionen) aktiviert ist.
Überprüfen Sie, ob die Identitätsdienste Mobile Code (SMS) und/oder Persönliche E-Mail aktiviert sind.
Überprüfen Sie, ob die Einstellungen für den Identitätsdienst Mobile Code (SMS) das Hinzufügen der Mobilnummer des Benutzers zu AD erlauben.

Hinweis

Die Funktion wird auch nicht verfügbar sein, wenn die Einstellung Mobilnummer in AD aktualisieren auf Wenn Nummer im Active Directory fehlt gesetzt ist und bereits eine Nummer in AD vorhanden ist.

Sprachoptionen

Die Sprachoptionen ermöglichen es Ihnen, die bevorzugte Sprache für E-Mails und SMS festzulegen, die vom Secure Service Desk gesendet werden.

Gehen Sie zu Secure Service Desk > Einstellungen.
Öffnen Sie Sprachoptionen.
Aktivieren Sie das Kontrollkästchen Bevorzugte Sprache verwenden.
Wählen Sie im Sprach-Dropdown die Sprache aus, die Sie als bevorzugte Sprache verwenden möchten.
Klicken Sie auf Speichern

E-Mails und Texte für Manager-Identifikation anpassen

Eine der Schnellverifizierungsoptionen besteht darin, dass der Manager eines Benutzers den Benutzer identifiziert. Dies geschieht durch das Senden eines Verifizierungslinks an den Manager des Benutzers per Textnachricht oder E-Mail. Diese Nachrichten können im Identitätsdienst Manager-Identifikation angepasst werden.

Klicken Sie im linken Navigationsbereich auf Identitätsdienste
Klicken Sie auf Manager-Identifikation
Wählen Sie den Tab Service Desk-Konfiguration oben aus
Geben Sie die Betreff- und Inhalt-Texte der Nachricht ein
Hinweis

In den Feldern Betreff sowie Inhalt können Platzhaltertexte verwendet werden. Die folgenden Platzhalter sind verfügbar:
- %UserDisplayName%: fügt den Anzeigenamen des Benutzers ein, der identifiziert werden muss
- %UserUPN%: fügt den UPN des Benutzers aus dem Active Directory ein
- %ManagerVerificationUrl%: fügt die Verifizierungs-URL ein, die der Manager anklicken kann, um den Benutzer zu verifizieren
- %ManagerDisplayName%: fügt den Anzeigenamen des Managers ein
- %ServiceDeskUserDisplayName%: fügt den Anzeigenamen des Service Desk-Agenten ein, der die Nachricht sendet
Markieren Sie das Kontrollkästchen Aktiviert, um die Nachricht zu aktivieren

Hinweis

Um die benutzerdefinierte Nachricht (vorübergehend) zu deaktivieren, entfernen Sie das Häkchen aus diesem Kontrollkästchen.
Klicken Sie auf Speichern

Specops Secure Access

Specops Secure Access bringt die Zwei-Faktor-Authentifizierung auf den Windows-Anmeldebildschirm; es erfordert, dass Benutzer sich mit einem zusätzlichen Identitätsdienst neben ihrem Haupt-Windows-Passwort authentifizieren, wenn sie sich an ihrem Computer anmelden. Dies bietet eine zusätzliche Sicherheitsebene. Secure Access ist darauf ausgelegt, die Sicherheit mit minimalen Auswirkungen auf die Benutzer zu erhöhen. Der Authentifizierungsprozess ist flexibel, da Benutzer selbst wählen können, welchen zusätzlichen Identitätsdienst sie als zweiten Faktor verwenden möchten.

Derzeit können die folgenden Identitätsdienste mit Secure Access konfiguriert werden:

Mobile Code
Yubikey
Specops:ID
Duo

Eine Secure Access-Richtlinie konfigurieren

Das Einrichten von Secure Access besteht darin, eine Richtlinie zu konfigurieren, die die Identitätsdienste umfasst, auf die Ihre Benutzer Zugriff haben.

Gehen Sie im linken Navigationsbereich der Specops Authentication Web zu MFA für Windows
Klicken Sie auf den Tab MFA für Windows und dann auf Konfigurieren für die Richtlinie.
Klicken Sie auf das Plus-Symbol für die Identitätsdienste, die Sie in die Richtlinie aufnehmen möchten.
Klicken Sie auf Speichern

Eine NPS Companion-Richtlinie konfigurieren

Der Microsoft Network Policy Server (NPS) wird über den NPS Companion mit RADIUS aufgerufen, um die Zwei-Faktor-Authentifizierung für den Fernzugriff zu ermöglichen. Hier können Sie eine Richtlinie für diese Benutzer konfigurieren.

Gehen Sie im linken Navigationsbereich der Specops Authentication Web zu MFA für Windows
Klicken Sie auf den Tab NPS Companion und dann auf Konfigurieren für die Richtlinie.
Klicken Sie auf das Plus-Symbol für die Identitätsdienste, die Sie in die Richtlinie aufnehmen möchten.
Klicken Sie auf Speichern

Endbenutzer

Um eine Backup-Authentifizierungsmethode bereitzustellen (z. B. in Fällen, in denen kein Online-Zugang verfügbar ist), müssen Benutzer einen Kontoregistrierungseintrag in ihrer Authenticator-App konfigurieren.

Hinweis

Wenn Benutzer zum ersten Mal auf Secure Access zugreifen und sich noch nicht bei Specops Authentication angemeldet haben, müssen sie sich zuerst anmelden.

Klicken Sie auf die Schaltfläche Registrieren.
Ein sicheres Browserfenster wird geöffnet. Folgen Sie den Anweisungen im Browser, um sich bei Specops Authentication anzumelden.

Offline-Authentifizierungsregistrierung einrichten (Erstes Anmeldeverfahren)

Hinweis

Eine Authenticator-App wie Microsoft Authenticator oder Google Authenticator ist erforderlich, um die Offline-Authentifizierung einzurichten.

Melden Sie sich mit Ihrem Haupt-Windows-Passwort und einem zweiten Faktor, den Sie aus der Liste ausgewählt haben, an Ihrem Computer an.
Der Secure Access-Bildschirm zeigt einen QR-Code an
Öffnen Sie Ihre Authenticator-App und erstellen Sie einen neuen Eintrag.
Scannen Sie den QR-Code innerhalb der Authenticator-App.
Geben Sie den von der Authenticator-App generierten Code ein.
Klicken Sie auf OK.

Bei nachfolgenden Anmeldungen muss sich der Benutzer mit seinem Haupt-Windows-Passwort und einem zweiten Faktor seiner Wahl anmelden.

Offline-Authentifizierung

In Situationen, in denen Benutzer keine Verbindung zum Internet herstellen können, kann Secure Access weiterhin verwendet werden, indem die Authenticator-App des Benutzers als zweiter Faktor verwendet wird (siehe oben, vorheriger Abschnitt zum ersten Login).

In Fällen, in denen der Computer des Benutzers offline ist, wird ihm Folgendes angezeigt:

Melden Sie sich mit Ihrem Haupt-Windows-Passwort an Ihrem Computer an.
Der Secure Access-Bildschirm zeigt einen Serververbindungsfehler an.
Klicken Sie auf die Schaltfläche Offline-Code.
Öffnen Sie Ihre Authenticator-App und finden Sie den MFA-Kontoregistrierungseintrag.
Geben Sie den Code aus Ihrer Authenticator-App ein.
Klicken Sie auf OK.