Richtlinien

Specops-Richtlinien sind Sammlungen von Multi-Faktor-Authentifizierungsregeln, die von Specops Authentication verwendet werden. Diese Seite beschreibt, wie die Richtlinien für die Authentifizierung beim Anmelden bei den Specops Authentication Admin-Seiten konfiguriert werden, siehe Konfigurieren einer Richtlinie. Es wird auch erklärt, wie der Sicherheitsmodus für die Registrierung von Administratoren festgelegt wird, siehe Sicherheitsmodi für die Registrierung.

Separate Richtlinien können auch für einzelne Specops Authentication-Produkte konfiguriert werden.

Konfigurieren einer Richtlinie

Um eine Richtlinie zu konfigurieren und die Identitätsdienste einzubeziehen:

Melden Sie sich bei der Specops Authentication Web an und klicken Sie im linken Navigationsbereich auf Richtlinien.
Klicken Sie neben jeder Richtlinie auf Konfigurieren, um deren Authentifizierungsanforderungen festzulegen.
Klicken Sie auf das Plus-Symbol für die Identitätsdienste, die Sie in die Richtlinie aufnehmen möchten.
Sie müssen jedem ausgewählten Identitätsdienst ein Gewicht (Sternwert) zuweisen. Dies ermöglicht es Ihnen, denjenigen Identitätsdiensten, die Ihrer Meinung nach ein höheres Sicherheitsniveau bieten, einen höheren Wert zuzuweisen. Beispielsweise entspricht die Zuweisung des Specops Authenticator mit 2 Sternen zwei Identitätsdiensten im Wert von 1 Stern. Bitte beziehen Sie sich auf die Gewichtszuteilung für Identitätsdienste für zusätzliche Anleitungen.
Um zu verlangen, dass der Benutzer einen bestimmten Identitätsdienst verwendet, aktivieren Sie das Kontrollkästchen Erforderlich.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Registrierung.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Authentifizierung.

Hinweis

Die Anzahl der für die Authentifizierung erforderlichen Sterne muss gleich oder kleiner sein als die Anzahl der für die Registrierung erforderlichen Sterne.
Um den Registrierungs- oder Authentifizierungsprozess abzuschließen, muss der Benutzer die Sternleiste mit der von der Richtlinie festgelegten Anzahl von Sternen füllen.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Hinweis

Richtlinien können auch durch die Einstellungen für Geoblocking und Vertrauenswürdige Netzwerkstandorte beeinflusst werden.

Entfernen eines Identitätsdienstes aus einer Richtlinie

Um einen Identitätsdienst zu entfernen:

Klicken Sie auf Konfigurieren.
Entfernen Sie einen der Identitätsdienste aus Ihrer Richtlinie, indem Sie auf das Minus-Symbol neben dem Identitätsdienst klicken. Der Identitätsdienst wird in das Feld "Nicht ausgewählte Identitätsdienste" auf der rechten Seite verschoben.

Best Practices für die Richtlinienkonfiguration

Beim Konfigurieren von Richtlinien für mehrere Specops-Anwendungen (uReset, Authentication for O365 und Key Recovery) ist es wichtig zu beachten, dass bestimmte Konfigurationen den Registrierungsprozess für Benutzer nachteilig beeinflussen können.

Wenn Richtlinien für verschiedene Anwendungen eingerichtet sind, die unterschiedliche Identitätsdienste erfordern, muss sich der Benutzer mit mehr Diensten identifizieren, um die Anforderungen aller Anwendungen zu erfüllen. Die Konfiguration von Richtlinien zur Verwendung derselben Identitätsdienste verkürzt den Registrierungsprozess für Benutzer.

Für weitere Informationen zur Registrierung lesen Sie bitte das Best Practices-Dokument.

Schwache Identitätsdienste

Aufgrund der Natur einiger (selbstregistrierter) Identitätsdienste gelten diese als schwächer als andere. Die unten aufgeführten Identitätsdienste werden als schwach angesehen:

Sicherheitsfragen
Mobiler Code (SMS)
Persönliche E-Mail

Sicherheitsmodi für die Registrierung

Wenn sich Benutzer zum ersten Mal registrieren, müssen sie sich durch Eingabe ihres Windows-Passworts identifizieren. Nachfolgende Änderungen an der Registrierung (erneute Registrierung) erfordern die Identifizierung mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort, wenn der Sicherheitsmodus auf Mittel oder Hoch eingestellt ist.

Es stehen drei Sicherheitsmodi für Administratoren zur Verfügung: Niedrige Sicherheit, Mittlere Sicherheit und Hohe Sicherheit. Diese Sicherheitsmodi spiegeln die relative Stärke der konfigurierten Richtlinien wider und bestimmen teilweise, mit welchen Identitätsdiensten der Benutzer sich erneut registrieren muss (wann immer Benutzer ihre Registrierung ändern müssen).

Niedrige Sicherheit: Benutzer müssen nur ihr Windows-Passwort zur Identifizierung angeben.
Mittlere Sicherheit: Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort identifizieren.
Hohe Sicherheit: Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten starken Identitätsdienst oder zwei schwachen (falls sie sich nicht mit starken Identitätsdiensten registriert haben) zusätzlich zu ihrem Windows-Passwort identifizieren. Schwache Identitätsdienste, wie Sicherheitsfragen, werden dem Benutzer nicht als Option präsentiert, es sei denn, sie haben sich nur mit schwachen Identitätsdiensten registriert.

Hinweis

Benutzern werden Identitätsdienste zur (erneuten) Registrierung präsentiert, wenn der Benutzer zuvor mit diesem Dienst registriert war und er Teil einer Richtlinie ist, die den Benutzer betrifft. Die Windows-Identität des Benutzers ist immer Teil des (erneuten) Registrierungsverfahrens.

Die niedrigen oder mittleren Modi werden automatisch festgelegt, abhängig von den Richtlinienkonfigurationen. Der hohe Sicherheitsmodus muss von Administratoren aktiviert werden, um eine erneute Registrierung mit starken Identitätsdiensten zu erzwingen.

Automatisch registrierte Identitätsdienste und Sicherheitsmodi

Für mittlere und hohe Sicherheitsmodi müssen Benutzer, die von Richtlinien betroffen sind, die automatisch registrierte Identitätsdienste wie Duo Security und Okta umfassen, sich auf der Registrierungsseite mit dem automatisch registrierten Identitätsdienst authentifizieren. Das bedeutet, dass Benutzer ihre Registrierung bei Duo Security oder Okta abgeschlossen haben müssen, bevor sie sich bei Specops Authentication registrieren können.

Sperreinstellungen

Die Identitätsdienste Mobiler Code (SMS), E-Mail und Persönliche E-Mail können so konfiguriert werden, dass sie nach falschen Eingaben durch den Benutzer gesperrt werden. Um diese Sperreinstellungen zu konfigurieren, gehen Sie zum Menü Identitätsservices in der Authentication Web und klicken Sie auf das Einstellungssymbol neben dem betreffenden Identitätsdienst. Folgendes kann konfiguriert werden:

Sperrschwelle: bestimmt, wie oft falsche Eingaben gemacht werden können.
Sperrdauer in Minuten: bestimmt, wie lange der Identitätsdienst gesperrt bleibt.

Einstellung für vertrauenswürdige Netzwerkstandorte

Wenn die Einstellung Nur von vertrauenswürdigen Netzwerkstandorten aktiviert ist, können sich Benutzer nur dann registrieren, wenn sie sich von einem der von Administratoren festgelegten vertrauenswürdigen Netzwerkstandorte aus authentifizieren. Weitere Informationen finden Sie unter Vertrauenswürdige Netzwerkstandorte.