Service Desk Agents

Diese Seite erklärt, wie Service-Desk-Agenten den Secure Service Desk verwenden können.

Das obere Menü des Secure Service Desk besteht aus den folgenden Elementen:

Admin: gibt Informationen über das Konto, mit dem Sie angemeldet sind, und welche Berechtigungen dieses Konto hat.
Service Desk: die Schnittstelle zur Durchführung von Service-Desk-Aktionen (für den Agenten; siehe Abschnitt unten für weitere Informationen).
Neues Passwort: um das Passwort des aktuellen Benutzers zu ändern.
Registrieren: Anzeigen und Ändern der Registrierungen für den aktuellen Benutzer.

Suchen nach einem Benutzer

Bevor Aktionen im Namen von Benutzern, die den Service Desk anrufen, durchgeführt werden können, muss der betreffende Benutzer im Active Directory gefunden werden.

Klicken Sie im oberen Menü auf Service Desk.
Geben Sie den Namen oder Benutzernamen des Benutzers im Suchfeld oben rechts ein und klicken Sie auf das Suchsymbol.
Wenn es nur eine Übereinstimmung gibt, werden die Informationen des Benutzers angezeigt. Bei Teilübereinstimmungen wird eine Liste möglicher Active Directory-Namen angezeigt.
Wählen Sie den richtigen Benutzer aus der Liste aus.

Überprüfen der Identität eines Benutzers

Solange die Identität eines Benutzers nicht überprüft wurde, erscheint ein rotes Benutzersymbol mit einem Durchstrich in der oberen rechten Ecke der Service-Desk-Oberfläche. Service-Desk-Agenten können die Identität des Benutzers, der den Secure Service Desk anruft, überprüfen, indem sie den Benutzer mit einem der Identitätsdienste authentifizieren lassen, bei denen der Benutzer zuvor registriert war. Beachten Sie, dass, wenn die Einstellung Identitätsüberprüfung erzwingen aktiviert wurde, die Identität des Benutzers überprüft werden muss, bevor andere Aktionen (Passwort zurücksetzen und Computer entsperren) durchgeführt werden können.

Sobald der Benutzer im Active Directory gefunden wurde (siehe Suchen nach einem Benutzer), klicken Sie auf die Registerkarte Identität überprüfen.
Klicken Sie auf den Identitätsdienst, mit dem sich der Benutzer authentifizieren soll. Der Benutzer wird auf seinem Computer zur Authentifizierung aufgefordert. Beachten Sie, dass der Service-Desk-Agent die Registerkarte Identität überprüfen geöffnet lassen sollte, bis der Benutzer authentifiziert ist.
Sobald die Authentifizierung erfolgt ist, erhält der Service-Desk-Agent eine Erfolgsseite, und alle anderen Service-Desk-Aktionen können durchgeführt werden.

Alternativ, wenn die registrierten Identitätsdienste nicht verwendet werden, kann der Service-Desk-Agent eine Textnachricht, E-Mail oder PingID-Push (Schnellüberprüfung) mit einem Code senden. Diese Nachricht wird an die im Active Directory mit dem Benutzer verknüpfte Mobilnummer gesendet oder erscheint in der PingID-App, wenn diese Option gewählt wurde. Sobald sie empfangen wurde, sollte der Benutzer entweder den Code dem Service-Desk-Agenten vorlesen, um seine Identität zu bestätigen, oder die Push-Nachricht aus der PingID-App bestätigen. Beachten Sie, dass die Option, einen Code per Textnachricht zu senden, nicht auf dem Bildschirm erscheint, wenn die Mobiltelefonnummer des Benutzers nicht im Active Directory registriert wurde; die Option, eine Schnellüberprüfung zu senden, erscheint nicht, wenn die E-Mail des Benutzers nicht im Active Directory registriert wurde.

Schnellüberprüfung mit Symantec VIP und Okta

Die Schnellüberprüfung mit Symantec VIP/Okta funktioniert ähnlich wie PingID.

Hinweis

Stellen Sie sicher, dass der Benutzer bei Symantec VIP/Okta registriert ist, um diesen Identitätsdienst nutzen zu können.

Überprüfung durch Push-Benachrichtigung

(verfügbar, wenn der Benutzer ein Push-fähiges Gerät registriert und aktiv mit Symantec VIP/Okta hat oder wenn Textnachrichten für Okta aktiviert wurden)

Klicken Sie auf die Registerkarte Symantec VIP/Okta in der Schnellüberprüfung.
Klicken Sie auf Start; eine Push-Benachrichtigung wird an den zu überprüfenden Benutzer gesendet.

Hinweis

Für Okta, wenn der Benutzer Zugriff auf mehrere Benachrichtigungsmethoden hat, wird dem Service-Desk-Agenten ein zusätzlicher Bildschirm angezeigt, auf dem er auswählen kann, welche Art von Nachricht gesendet werden soll: Textnachricht, Push-Anfrage, Code eingeben. Wenn nur eine Methode verfügbar ist, wird diese automatisch ausgewählt. Weitere Informationen finden Sie im Abschnitt Überprüfung durch Code.
Der Benutzer kann die Push-Benachrichtigung bestätigen, wodurch seine Identität überprüft wird.

Überprüfung durch Code

Klicken Sie auf die Registerkarte Symantec VIP/Okta in der Schnellüberprüfung.
Klicken Sie auf Start.
Klicken Sie auf den Link Code eingeben.

Hinweis

Für Okta, wenn der Benutzer Zugriff auf mehrere Benachrichtigungsmethoden hat, wird dem Service-Desk-Agenten ein zusätzlicher Bildschirm angezeigt, auf dem er auswählen kann, welche Art von Nachricht gesendet werden soll: Textnachricht, Push-Anfrage, Code eingeben. Wenn nur eine Methode verfügbar ist, wird diese automatisch ausgewählt.
Im Falle von Symantec VIP, wenn der Benutzer die Symantec Desktop-App installiert hat, kann er den Code dort abrufen. Alternativ kann der Agent einen Code per SMS oder Telefonanruf senden lassen, indem er auf die entsprechende Schaltfläche klickt. Beachten Sie, dass diese Option automatisch angezeigt wird, wenn der Benutzer nur SMS-Benachrichtigungen aktiviert hat.
Lassen Sie den Benutzer den Code vorlesen und geben Sie ihn in das Feld ein, dann klicken Sie auf Überprüfen.

Manager-Identifikation

Es kann Situationen geben, in denen Benutzer aufgrund von Kommunikations-/Datenbeschränkungen nicht in der Lage sind, ihre Identität selbst zu überprüfen. In diesen Fällen kann es vorteilhaft sein, den Manager des Benutzers ihre Identität für sie bestätigen zu lassen.

Aktivieren der Manager-Identifikation

Gehen Sie in der Authentication Web zu Service Desk und rufen Sie die Registerkarte Einstellungen auf.
Aktivieren Sie das Kontrollkästchen Manager-Identifikation als Schnellüberprüfung.
Klicken Sie auf Speichern.

Verwendung der Manager-Identifikation als Schnellüberprüfung

Das folgende ist ein Beispiel dafür, wie diese Schnellüberprüfungsmethode verwendet werden kann.

Wenn der Benutzer den Service Desk anruft, klicken Sie auf Identität überprüfen.
Wählen Sie unter Schnellüberprüfung die Option Manager-Identifikation. Sie sehen eine Nachricht mit dem Hinweis "Sie können die Identität von [user_name] bestätigen, indem Sie eine Überprüfungsanfrage an den Manager von [user_name] senden."
Klicken Sie auf Start.
Der Manager (falls im Active Directory als solcher registriert) erhält eine E-Mail mit der Bitte, den Benutzer zu überprüfen. Es liegt am Manager (und dem betreffenden Benutzer), sicherzustellen, dass der richtige Benutzer überprüft wird (z. B. durch Anruf beim Benutzer).
Der Manager klickt in der Manager-Identifikations-E-Mail auf Weiter. Der Manager wird zu einem Browserfenster mit der Service-Desk-Überprüfungsanfrage weitergeleitet.
Der Manager klickt auf Überprüfen, um den Benutzer zu überprüfen.

Warnung

Es ist in diesen Szenarien unerlässlich, dass der Manager über den Anruf beim Service Desk informiert ist und sicherstellt, dass es tatsächlich der betreffende Benutzer ist, der versucht, sich verifizieren zu lassen.

Identitätsüberprüfung und Sicherheit

Wenn Identitätsüberprüfung erzwingen aktiviert ist, muss der Service-Desk-Agent die Identität des Benutzers überprüfen, bevor er das Passwort zurücksetzen oder den Computer des Benutzers entsperren kann, wodurch die Sicherheit der Interaktion erhöht wird. Sobald die Identität überprüft ist, basiert die Interaktion mit dem Service Desk auf der Erstellung sicherer Sitzungstoken, um die Integrität der Sitzung zu gewährleisten.

In einer typischen Service-Desk-Sitzung stellt der Service-Desk-Agent eine Identifikationsanfrage an den Benutzer, indem er einen der Identitätsdienste des Benutzers verwendet. Sobald sich der Benutzer mit dem Identitätsdienst authentifiziert hat, wird das sichere Token erstellt. Dieses Token wird für die Dauer der Sitzung zwischen dem spezifischen Service-Desk-Agenten und dem Benutzer geteilt. Jede Interaktion (Passwort zurücksetzen, Computer entsperren) wird gegen dieses Token validiert. Für die Dauer der Sitzung funktioniert das Token nur für den Service-Desk-Agenten, der die Identitätsüberprüfung initiiert hat, um Aktionen für den Benutzer durchzuführen, der seine Identität überprüft hat.

Rückverfolgbarkeit

Neben der Bereitstellung einer sicheren Möglichkeit zur Autorisierung von Aktionen vom Service Desk ermöglichen die Tokens auch die Erstellung eines kontinuierlichen Ereignisprotokolls, das mit jeder Service-Desk-Sitzung verbunden ist. Dadurch wird jede Sitzung nachvollziehbar und durchsuchbar. Alle Informationen zur Sitzung sind über das Berichtsmenü zugänglich. Weitere Informationen zu Protokollierungsfunktionen und Berichten finden Sie im obigen Abschnitt Berichterstattung.

Zurücksetzen von Benutzerpasswörtern

Sobald der Benutzer gefunden wurde (siehe Suchen nach einem Benutzer) und seine Identität überprüft wurde (siehe Überprüfen der Identität eines Benutzers), kann der Service-Desk-Agent das Passwort für den Benutzer zurücksetzen.

Klicken Sie auf die Registerkarte Passwort zurücksetzen.
Führen Sie eine der folgenden Aktionen aus:
1. Geben Sie manuell ein neues Passwort ein. Stellen Sie sicher, dass es den Passwortregeln entspricht, die unter dem Textfeld aufgeführt sind.
  
  Hinweis
  
  Diese Option ist nicht verfügbar, wenn die Option Systemgenerierte Passwörter in den Einstellungen aktiviert ist. Weitere Informationen finden Sie im Abschnitt Passwort zurücksetzen Einstellungen unten.
2. Klicken Sie auf die Schaltfläche Generieren. Dadurch wird ein neues Passwort generiert, das den Passwortregeln entspricht. Der Service-Desk-Agent kann dieses Passwort niemals sehen.
Aktivieren Sie unter Optionen die Option „[user] muss Passwort beim nächsten Anmelden ändern“, um sicherzustellen, dass der Benutzer sein Passwort beim nächsten Anmelden ändert.
Aktivieren Sie im Benachrichtigungsbereich die Kontrollkästchen für jede zu verwendende Benachrichtigungsmethode. Die folgenden Benachrichtigungsmethoden sind verfügbar (beachten Sie, dass mehr als eine Benachrichtigungsmethode gewählt werden kann):
- An Benutzer per E-Mail (die E-Mail wird an die im Active Directory mit dem Benutzer verknüpfte E-Mail-Adresse gesendet)
- An Benutzer per Textnachricht (der Text wird an die im Active Directory mit dem Benutzer verknüpfte Mobilnummer gesendet)
- An Manager per E-Mail (der Text wird an den im Active Directory mit dem Benutzer verknüpften Manager gesendet). Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- An Manager per Text (der Text wird an den im Active Directory mit dem Benutzer verknüpften Manager gesendet). Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- An benutzerdefinierte E-Mail. Verwenden Sie das Dropdown-Menü, um zwischen verschiedenen registrierten Domains zu wählen. Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- Durch Vorlesen an den Benutzer.
  
  Hinweis
  
  Wenn die Option Systemgenerierte Passwörter in den Einstellungen aktiviert wurde, kann der Service-Desk-Agent das neue Passwort nicht vorlesen.
Hinweis

Die E-Mail und Textnachricht des Benutzers sind nur sichtbar, wenn diese im Active Directory konfiguriert wurden. Senden an Manager und benutzerdefinierte E-Mail sind nur sichtbar, wenn die richtigen Optionen in den Einstellungen aktiviert wurden und wenn der Manager des Benutzers im Active Directory konfiguriert wurde. Weitere Informationen finden Sie im Abschnitt Passwort zurücksetzen Einstellungen unten.
Klicken Sie auf die Schaltfläche Passwort zurücksetzen.

Weitere Informationen zu Passwortzurücksetzungsoptionen (Einstellungen) finden Sie im Abschnitt Konfigurieren der Einstellungen für Secure Service Desk.

Entsperren von Benutzercomputern

Für Benutzer, deren Computer mit Bitlocker oder Symantec Endpoint Encryption verschlüsselt wurden, kann der Service Desk beim Entsperren eines gesperrten Computers helfen. Dem Service-Desk-Agenten werden eine Reihe von Bildschirmen präsentiert, die den Benutzer durch den Entsperrprozess führen und den erforderlichen Antwortschlüssel zum Entsperren des Computers bereitstellen.

Sobald die Identität des Benutzers überprüft wurde (siehe Überprüfen der Identität eines Benutzers), klicken Sie auf die Registerkarte Computer entsperren.
Wählen Sie die richtige Verschlüsselungssoftware (Bitlocker oder Symantec) entsprechend dem, was der Benutzer verwendet. Für Benutzer, die Symantec Endpoint Encryption verwenden, muss eine zusätzliche Auswahl getroffen werden, abhängig von der Art von Symantec:
1. Native Symantec Endpoint Encryption (erkennbar an der letzten Anmeldezeit, die auf dem Bildschirm angezeigt wird)
2. Symantec Endpoint Encryption für Bitlocker (Bildschirm des Benutzers zeigt Bitlocker-Wiederherstellung an)
3. Ältere Versionen von Symantec Endpoint Encryption (Bildschirm des Benutzers zeigt WDRT-Token an)
Abhängig von der Art der Verschlüsselung muss eine bestimmte Nummer vom Service-Desk-Agenten eingegeben werden.
1. Native Symantec Endpoint Encryption: Sequenznummer
2. Symantec Endpoint Encryption für Bitlocker: Wiederherstellungsschlüssel-ID
3. Ältere Versionen von Symantec Endpoint Encryption: Maschinen-/Festplatten-ID (UUID oder DISKID)
4. Native Bitlocker: Wiederherstellungsschlüssel-ID
Wählen Sie aus, wie der Wiederherstellungsschlüssel an den Benutzer übermittelt werden soll. Beachten Sie, dass mehrere Methoden gewählt werden können. Aktivieren Sie die gewünschte Methode oder keine, wenn der Service-Desk-Agent sich entscheidet, die Nummer nur dem Benutzer vorzulesen.
- An Benutzer per E-Mail (die E-Mail wird an die im Active Directory mit dem Benutzer verknüpfte E-Mail-Adresse gesendet)
- An Benutzer per Textnachricht (der Text wird an die im Active Directory mit dem Benutzer verknüpfte Mobilnummer gesendet)
- An Manager per E-Mail (der Text wird an den im Active Directory mit dem Benutzer verknüpften Manager gesendet). Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- An Manager per Text (der Text wird an den im Active Directory mit dem Benutzer verknüpften Manager gesendet). Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- An benutzerdefinierte E-Mail. Verwenden Sie das Dropdown-Menü, um zwischen verschiedenen registrierten Domains zu wählen. Diese Option ist nur sichtbar, wenn sie in den Einstellungen aktiviert ist, siehe Abschnitt Aktivieren zusätzlicher Benachrichtigungsmethoden unten.
- Durch Vorlesen an den Benutzer.
Klicken Sie auf Weiter; dem Service-Desk-Agenten wird ein Wiederherstellungsschlüssel präsentiert. Wenn keine der oben genannten Methoden (E-Mail oder Textnachricht) gewählt wurde, muss die Nummer dem Benutzer vorgelesen werden, damit er sie auf seinem Computer eingeben kann.

Hinweis

Für Benutzer, die native Symantec Endpoint Encryption verwenden, gibt es einen Prüfsummencode über dem Feld Wiederherstellungsschlüssel, der verwendet werden kann, um zu überprüfen, ob der Benutzer den richtigen Schlüssel in seinen Computer eingegeben hat (in diesem Fall sollten die Codes übereinstimmen).

Aktivieren zusätzlicher Benachrichtigungsmethoden

Zusätzlich zur E-Mail und zum Mobiltelefon des Benutzers können mehrere zusätzliche Benachrichtigungsmethoden aktiviert werden. Dies ist besonders hilfreich, wenn die E-Mail und die Mobilnummer des Benutzers nicht im Active Directory konfiguriert wurden. Die folgenden Methoden können aktiviert werden:

Senden an Manager (E-Mail und Textnachricht, wenn korrekt im Active Directory konfiguriert)
Senden an benutzerdefinierte E-Mail

Wählen Sie Service Desk in der linken Navigation.
Klicken Sie auf die Registerkarte Einstellungen.
Erweitern Sie Key Recovery-Optionen.
Aktivieren Sie Senden des Wiederherstellungsschlüssels an Manager aktivieren, um das Senden an einen Manager zu ermöglichen.
Aktivieren Sie Senden des Wiederherstellungsschlüssels an benutzerdefinierte E-Mail-Adressen aktivieren, um das Senden an benutzerdefinierte E-Mails zu ermöglichen.
Klicken Sie auf Speichern.

Überprüfen und Hinzufügen von Registrierungen

Im oberen Menü Registrieren können Sie sehen, mit welchen Identitätsdiensten der Benutzer registriert ist. Hier können Sie auch Registrierungen für Identitätsdienste (Persönliche E-Mail und Mobilcode (SMS)) ohne Benutzereingriff hinzufügen, wenn Ihr Administrator dies konfiguriert hat. Bestimmte Identitätsdienste können auch entfernt werden, damit der Benutzer sich erneut registrieren kann.

Registrierung hinzufügen

Wenn konfiguriert, können Service-Desk-Agenten Benutzer mit Persönlicher E-Mail und/oder Mobilcode (SMS) ohne Benutzereingriff registrieren.

Hinweis

Registrierungen können nur hinzugefügt werden, nachdem die Identität des Benutzers überprüft wurde. Weitere Informationen zur Identitätsüberprüfung finden Sie unter Überprüfen der Identität eines Benutzers.

Hinweis

Nur die Identitätsdienste, die korrekt konfiguriert sind, werden auf der Seite Registrierung hinzufügen angezeigt.

Hinzufügen einer Registrierung für einen Benutzer

Überprüfen Sie den Benutzer (siehe Überprüfen der Identität eines Benutzers für weitere Informationen)
Klicken Sie auf Registrierung
Klicken Sie im Abschnitt Benutzerregistrierungsinformationen auf die Schaltfläche Registrierung hinzufügen
Geben Sie die Telefonnummer oder die persönliche E-Mail des Benutzers ein und klicken Sie auf Code senden
Lassen Sie den Benutzer den erhaltenen Bestätigungscode dem Service-Desk-Agenten vorlesen
Geben Sie den Bestätigungscode in das Feld Code überprüfen ein und klicken Sie dann auf Registrierung hinzufügen

Hinweis

Sobald der Benutzer mit dem Identitätsdienst registriert ist, wird er in der Liste Registrierte Identitätsdienste angezeigt.

Überprüfen von Benutzerdetails

Dieser Abschnitt zeigt die Details für den Benutzer, auf den der Service-Desk-Agent derzeit zugreift. Er enthält Informationen zu Benutzerinformationen (im Active Directory registrierte Informationen), Passwortinformationen (Informationen zum Passwortablauf und Specops Authentication-Registrierung) und Verlauf (für diesen Benutzer im Service Desk aufgezeichnete Ereignisse).

Um Benutzerdetails zu überprüfen:

Finden Sie den Benutzer (siehe Suchen nach einem Benutzer).
Klicken Sie auf Benutzerdetails.
Verwenden Sie die Registerkarten, um Benutzerinformationen, Passwortinformationen und Verlauf anzuzeigen.