Administrator-Registrierung

Specops Authentication für Specops Secure Service Desk ermöglicht Administratoren, Benutzer im System zu registrieren, ohne dass die Benutzer den Registrierungsprozess durchlaufen müssen. Dies kann mit jedem Identitätsdienst erreicht werden, der Identifikationsinformationen im Active Directory gespeichert hat.

Bevor Sie diesen Leitfaden verwenden, benötigen Sie:
Grundkenntnisse in PowerShell
PowerShell 4.0 oder höher
Specops Authentication für Specops Secure Service Desk konfiguriert mit einem aktiven Gatekeeper
Mitgliedschaft in der Specops Authentication für Secure Service Desk Admin-Gruppe
Das Specops Authentication für Secure Service Desk PowerShell-Modul – installiert mit den Verwaltungstools C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Identitätsdienste für die Registrierung

Administratoren können sich mit den folgenden Identitätsdiensten registrieren:

Persönliche E-Mail
Mobiler Code
Sicherheitsfragen
Yubikey
Mobile Bank ID
Google

Cmdlets

Die Cmdlets können von Administratoren verwendet werden, um Benutzer zu verwalten oder sie in Gruppen in Specops Authentication für Secure Service Desk zu registrieren.

Um das Modul zu importieren, führen Sie den folgenden Befehl in PowerShell auf Ihrem Gatekeeper-Server aus:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Nimmt die Parameter Username, IdentityServiceId und EnrollmentProof. Kann verwendet werden, um sich mit allen Identitätsdiensten außer: Sicherheitsfragen, Duo Security, Specops Fingerprint, Authenticatoren, Manager-Identifikation, Symantec VIP, LinkedIn und Windows Identity zu registrieren. Verwenden Sie das Get-SpecopsAuthenticationIdentityServices Cmdlet, um die IdentityServiceId Ihres Identitätsdienstes zu finden.

Beispiel für die Verwendung:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Mobiler Code (SMS) Admin-Registrierung

Die Mobiler Code (SMS) Admin-Registrierung erfordert das Aktualisieren des mobilen Attributs im Benutzerobjekt und der Registrierungsdaten im Blattobjekt. Ein Administrator kann das mobile Attribut in einem Benutzerkonto über das Active Directory-Verwaltungstool oder mit PowerShell aktualisieren. Wenn Sie das Standardattribut für Mobiltelefone verwenden, verwenden Sie den folgenden Befehl:

Set-ADUser -Identity user0020 -MobilePhone '+1-202-555-0191'

Wenn Sie die Mobilnummer in einem benutzerdefinierten Attribut speichern, müssen Sie stattdessen dieses Attribut angeben. Wenn sich die Mobilnummer beispielsweise im otherMobile-Attribut befindet, können Sie den folgenden Befehl verwenden:

Set-ADUser -Identity user0020 -Replace @{otherMobile='+1-202-555-0191'}

Für Gatekeeper Admin Tool 8.23 und später: nach dem Aktualisieren des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Für Gatekeeper Admin Tool 8.22 und früher: nach dem Aktualisieren des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Persönliche E-Mail Admin-Registrierung

Beispiel für die Verwendung:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Nimmt die Parameter Username, Answers und Language. Language ist ein optionaler 2-stelliger Sprachcode. Answers nimmt ein Array von Fragen und Antworten.

Beispiel für die Verwendung:

$questionsAndAnswers =
  @{'Question'='Wer bist du?'; 'Answer'='Niemand'},
  @{'Question'='Warum bist du hier?'; 'Answer'='Ich bin nicht'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Listet die Identitätsdienste auf, mit denen ein Benutzer registriert ist.

Beispiel für die Verwendung:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Listet alle Identitätsdienste auf, die in Ihrem Specops Authentication-Abonnement verfügbar sind.

Beispiel für die Verwendung:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Entfernt alle registrierten Identitätsdienste von einem Benutzer, außer automatisch registrierte, wie Windows Identity, Duo Security, Manager-Identifikation oder Symantec VIP.

Beispiel für die Verwendung:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Entfernt eine Identitätsdienstregistrierung von einem Benutzer.

Beispiel für die Verwendung:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint