Specops Authentifizierungs-Web

Das Specops Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für seine verschiedenen Ressourcen. Sobald Sie den Gatekeeper installiert und konfiguriert haben, können Benutzer, die Mitglieder der Authentication Admin Group sind, die Lösung weiter vom Specops Authentication Web aus konfigurieren:

US-Rechenzentrum: https://login.specopssoft.com/authentication/admin
EU-Rechenzentrum: https://eu.login.specopssoft.com/authentication/admin

Für weitere Informationen und allgemeine Verwaltung siehe Specops Authentication Web.

Die Konfigurationsschritte, die spezifisch für Specops Secure Service Desk sind, werden unten beschrieben.

Hinweis

Hinweis zu Telefonnummern in Active Directory

Wichtig: Damit das Versenden von Textnachrichten im Service Desk korrekt funktioniert, muss die in Active Directory registrierte Mobiltelefonnummer dem E.164-Nummerierungsplanformat entsprechen. Das bedeutet, dass Mobiltelefonnummern folgendes Format haben müssen: +[Ländercode][Teilnehmernummer ohne führende Null]. Zum Beispiel sollte für die schwedische (Ländercode 46) Telefonnummer 073-3123456 die Nummer in AD +46733123456 sein; für die US-amerikanische (Ländercode 1) Telefonnummer 415 555 2671 sollte das Format in AD +14155552671 sein.

Hinweis: Die Registrierung von Telefonnummern in Active Directory in einem anderen Format führt dazu, dass der Specops Service Desk Agent keine Textnachrichten an den betreffenden Benutzer senden kann.

Rollen von Secure Service Desk Agenten

Es gibt zwei verschiedene Arten von Secure Service Desk Agenten: Specops Service Desk Agent und Specops Service Desk User Verifier. Diese beiden Arten von Agenten haben jeweils unterschiedliche Berechtigungen:

Specops Service Desk Agent hat die Berechtigung, alle Aktionen im Secure Service Desk auszuführen.

Specops Service Desk User Verifier kann die folgenden Aktionen ausführen:

Identität verifizieren (sowohl schnelle als auch erweiterte Verifizierung)
Benutzeranmeldungen anzeigen
Anmeldelinks an Benutzer senden

Konfigurieren einer Richtlinie für den Zugriff auf den Secure Service Desk

Für zusätzliche Sicherheit können Sie Multi-Faktor-Authentifizierungsrichtlinien für Benutzer (typischerweise Specops Service Desk Agents) konfigurieren, die auf den Service Desk zugreifen.

Melden Sie sich beim Specops Authentication Web an und klicken Sie in der linken Navigation auf Service Desk.
Klicken Sie auf Konfigurieren, um die Richtlinie zu konfigurieren.
Klicken Sie auf das Plus-Symbol für die Identitätsdienste, die Sie in die Richtlinie aufnehmen möchten.
Klicken Sie auf Speichern.

Konfigurieren von Einstellungen für den Secure Service Desk

Auf der Seite Einstellungen können Sie Folgendes konfigurieren:

Identitätsverifizierung
Verifizierungs-Override-URL
Optionen zum Zurücksetzen des Passworts
Optionen für den Datenschutz der Benutzer
Optionen für die Schlüsselwiederherstellung
Anmeldeoptionen

Identitätsverifizierung

Erzwingen der Identitätsverifizierung

Wenn diese Einstellung aktiviert ist, kann das Passwort des Benutzers nicht zurückgesetzt werden, noch kann sein Computer vom Service Desk entsperrt werden, bis die Identität des Benutzers durch Authentifizierung mit einem der zuvor registrierten Identitätsdienste verifiziert wurde.

Klicken Sie in der linken Navigation auf Service Desk.
Klicken Sie auf die Schaltfläche Einstellungen, um die Einstellungen zu konfigurieren.
Klicken Sie auf den Abschnitt Identitätsverifizierung.
Aktivieren Sie das Kontrollkästchen Identitätsverifizierung erzwingen und klicken Sie auf Speichern.

Hinweis

Wenn Benutzer RSA-Hardware-Token mit PIN haben, wird RSA die erforderliche erweiterte Verifizierungsoption sein.

Konfigurieren der aktivierten Verifizierungsmethoden

Standardmäßig sind alle verfügbaren (und zukünftigen) Verifizierungsmethoden im Service Desk aktiviert. Wenn Sie steuern möchten, welche Verifizierungsmethoden im Service Desk verwendet werden können, können Sie dies hier tun.

Hinweis

Denken Sie daran, dass neu eingeführte Verifizierungsmethoden, wenn diese Einstellung aktiviert ist, über diese Einstellungen aktiviert werden müssen, bevor sie im Service Desk verwendet werden können.

Klicken Sie in der linken Navigation auf Service Desk.
Klicken Sie auf die Schaltfläche Einstellungen, um die Einstellungen zu konfigurieren.
Klicken Sie auf den Abschnitt Identitätsverifizierung.
Klicken Sie auf die Schaltfläche Aktivierte Verifizierungsmethoden konfigurieren.
Aktivieren Sie das Kontrollkästchen Nur explizit aktivierte Verifizierungsmethoden verwenden.
Aktivieren oder deaktivieren Sie die Verifizierungsmethoden Ihrer Wahl, indem Sie auf deren Statusschaltfläche klicken.

Verifizierungs-Override-URL

Hier können Sie eine Verifizierungs-Override-URL eingeben, die einem Service Desk Agenten angezeigt wird, wenn die Verifizierungs-URL nicht direkt an den Benutzer gesendet werden kann. Der Service Desk Agent kann dann die URL dem Benutzer vorlesen. Weitere Informationen zu dieser Funktion und ihrer Einrichtung finden Sie auf der Override-URL-Seite.

Optionen zum Zurücksetzen des Passworts

Die folgenden Optionen können in den Einstellungen zum Zurücksetzen des Passworts aktiviert werden:

Vom Benutzer verlangen, das Passwort nach dem Zurücksetzen zu ändern

Hinweis

Wenn diese Option aktiviert ist, können Service Desk Agenten keine Passwörter manuell für Zurücksetzungen eingeben. Das neue Passwort wird dem Benutzer in einer E-Mail oder Textnachricht gesendet.
Manuelles Überschreiben von Passworten zulassen (um systemgenerierte Passwörter zu überschreiben, wenn die Option Systemgenerierte Passwörter aktiviert wurde)
Nur vom System erstellte Passwörter erlauben (um die Generierung von Passwörtern durch das System zu aktivieren; der Specops Service Desk Agent kann das generierte Passwort nicht lesen)
Benachrichtigungen (siehe den Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten)

Aktivieren zusätzlicher Benachrichtigungsmethoden

Dieser Abschnitt ermöglicht die Konfiguration der Benachrichtigungsmöglichkeiten für den Specops Service Desk Agent. Zusätzlich zur E-Mail und Mobiltelefon des Benutzers können mehrere zusätzliche Benachrichtigungsmethoden aktiviert werden. Dies ist besonders hilfreich, wenn die E-Mail und Mobilnummer des Benutzers nicht in Active Directory konfiguriert wurden. Die folgenden Einstellungen können aktiviert werden:

Sendeerlaubnis neuer Passwörter per E-Mail oder SMS aktivieren: Wenn diese Option aktiviert ist, stehen die E-Mail- und Textbenachrichtigungsmethoden dem Specops Service Desk Agent zur Verfügung (vorausgesetzt, dass die Attribute für den Benutzer in Active Directory korrekt konfiguriert sind)
An benutzerdefinierte E-Mail: Ermöglicht das Versenden von Benachrichtigungs-E-Mails an andere E-Mail-Adressen als die in Active Directory registrierten.
An Vorgesetzten: Ermöglicht das Versenden von Benachrichtigungen an den Manager des Benutzers (E-Mail und Textnachricht, wenn in Active Directory korrekt konfiguriert)
Wählen Sie Service Desk in der linken Navigation.
Klicken Sie auf die Registerkarte Einstellungen.
Erweitern Sie Optionen zum Zurücksetzen des Passworts.
Aktivieren Sie Senden von neuen Passworten an Vorgesetzte aktivieren, um das Versenden an einen Manager zu ermöglichen.
Aktivieren Sie Senden von neuen Passworten an benutzerdefinierte E-Mail-Adressen aktivieren, um das Versenden an benutzerdefinierte E-Mails zu ermöglichen.

Hinweis

Diese Option ist nicht verfügbar, wenn die Option Systemgenerierte Passwörter aktiviert wurde. Dies ist eine Sicherheitsvorkehrung, um zu vermeiden, dass der Specops Service Desk Agent das generierte Passwort lesen kann.
Klicken Sie auf Speichern

Optionen für den Datenschutz der Benutzer

Diese Optionen können verwendet werden, um den Zugriff von Specops Service Desk Agenten auf bestimmte Benutzerinformationen einzuschränken. Die folgenden Optionen sind verfügbar:

Teil der Nummer: Ermöglicht das Anzeigen, Ausblenden oder nur teilweise Anzeigen der Telefonnummer des Benutzers für den Specops Service Desk Agent.
Anzeigen/Ausblenden (E-Mail): Ermöglicht das Anzeigen oder Ausblenden der E-Mail-Adresse des Benutzers für den Service Desk Agent.

Ausblenden der Telefonnummer und/oder E-Mail-Adresse eines Benutzers

Wählen Sie Service Desk in der linken Navigation.
Klicken Sie auf die Registerkarte Einstellungen.
Erweitern Sie die Datenschutzoptionen für Benutzer.
Setzen Sie das erste Dropdown-Menü auf Ausblenden, um die Telefonnummer des Benutzers aus der Ansicht des Service Desk Agenten auszublenden. Beachten Sie, dass es auch möglich ist, einen Teil der Telefonnummer dem Service Desk Agenten anzuzeigen.
Setzen Sie das zweite Dropdown-Menü auf Ausblenden, um die E-Mail-Adresse des Benutzers aus der Ansicht des Service Desk Agenten auszublenden.
Klicken Sie auf Speichern

Optionen für die Schlüsselwiederherstellung

Dieser Abschnitt ermöglicht es Ihnen, zusätzliche Benachrichtigungen für Schlüsselwiederherstellungsoperationen zu konfigurieren:

Senden von Wiederherstellungsschlüsseln an Vorgesetzte aktivieren: Ermöglicht das Versenden des Wiederherstellungsschlüssels an den Manager des Benutzers, wenn in Active Directory korrekt konfiguriert.
Senden von Wiederherstellungsschlüsseln an benutzerdefinierte E-Mail-Adressen aktivieren: Ermöglicht das Versenden des Wiederherstellungsschlüssels an andere E-Mails als die mit dem Benutzer in Active Directory verbundenen. Die benutzerdefinierten E-Mails müssen in den registrierten Domains sein.

Anmeldeoptionen

Hier können Sie konfigurieren, ob Specops Service Desk Agenten Benutzer für bestimmte Identitätsdienste ohne Benutzereingriff anmelden können. Diese Funktion kann nur verwendet werden, wenn der Benutzer verifiziert wurde. Weitere Informationen zu dieser Funktion finden Sie im Abschnitt Registrierung auf der Anpassungsseite.

Konfigurieren der Anmeldehinzufügung

Gehen Sie zu Sicherer Service Desk > Einstellungen
Öffnen Sie Registrierungsoptionen
Aktivieren Sie die Option Ermöglichen, dass Service Desk Agenten Benutzer anmelden
Stellen Sie sicher, dass die Identitätsdienste korrekt konfiguriert sind, um das Hinzufügen von Anmeldungen zu ermöglichen.
Hinweis

Die Einstellung Mobilnummer in AD aktualisieren muss auf eine der folgenden Optionen gesetzt sein:
- Immer
- Wenn Nummer in Active Directory fehlt
- Im Benutzerunterobjekt speichern (verschlüsselt)
Beachten Sie auch, dass, wenn die Einstellung auf Wenn Nummer in Active Directory fehlt gesetzt ist und die Nummer bereits in Active Directory vorhanden ist, die Anmeldehinzufügungsfunktion nicht funktioniert.

Fehlerbehebung bei der Anmeldehinzufügung

Wenn die Schaltfläche Registrierung hinzufügen nicht zugänglich ist, sollten Administratoren Folgendes überprüfen:

Überprüfen Sie, ob Registrierung hinzufügen in den Secure Service Desk Einstellungen (Anmeldeoptionen) aktiviert ist.
Überprüfen Sie, ob die Identitätsdienste Mobile Code (SMS) und/oder Persönliche E-Mail aktiviert sind.
Überprüfen Sie, ob die Einstellungen für den Identitätsdienst Mobile Code (SMS) das Hinzufügen der Mobilnummer des Benutzers zu AD erlauben.

Hinweis

Die Funktion wird auch nicht verfügbar sein, wenn die Einstellung Mobilnummer in AD aktualisieren auf Wenn Nummer in Active Directory fehlt gesetzt ist und bereits eine Nummer in AD vorhanden ist.

Sprachoptionen

Die Sprachoptionen ermöglichen es Ihnen, die bevorzugte Sprache für E-Mails und SMS festzulegen, die vom Secure Service Desk gesendet werden.

Gehen Sie zu Sicherer Service Desk > Einstellungen.
Öffnen Sie Sprachoptionen.
Aktivieren Sie das Kontrollkästchen Bevorzugte Sprache verwenden.
Wählen Sie im Sprach-Dropdown die Sprache aus, die Sie als bevorzugte Sprache verwenden möchten.
Klicken Sie auf Speichern

Anpassen von E-Mails und Texten zur Manager-Identifikation

Eine der Optionen zur schnellen Verifizierung besteht darin, dass der Manager eines Benutzers den Benutzer identifiziert. Dies geschieht durch das Senden eines Verifizierungslinks an den Manager des Benutzers per Textnachricht oder E-Mail. Diese Nachrichten können im Identitätsdienst zur Manager-Identifikation angepasst werden.

Klicken Sie in der linken Navigation auf Identitätsservices
Klicken Sie auf Manager-Identifizierung
Wählen Sie die Registerkarte Service Desk Konfiguration oben aus
Geben Sie die Texte für Betreff und Textkörper der Nachricht ein
Hinweis

Sowohl im Betreff als auch im Textkörper können Platzhaltertexte verwendet werden. Die folgenden Platzhalter sind verfügbar:
- %UserDisplayName%: fügt den Anzeigenamen des Benutzers ein, der identifiziert werden muss
- %UserUPN%: fügt den UPN des Benutzers aus Active Directory ein
- %ManagerVerificationUrl%: fügt die Verifizierungs-URL ein, die der Manager anklicken kann, um den Benutzer zu verifizieren
- %ManagerDisplayName%: fügt den Anzeigenamen des Managers ein
- %ServiceDeskUserDisplayName%: fügt den Anzeigenamen des Service Desk Agenten ein, der die Nachricht sendet
Markieren Sie das Kontrollkästchen Aktiviert, um die Nachricht zu aktivieren

Hinweis

Um die benutzerdefinierte Nachricht (vorübergehend) zu deaktivieren, entfernen Sie das Häkchen aus diesem Kontrollkästchen.
Klicken Sie auf Speichern