Gatekeeper Verwaltungstool

Das Gatekeeper Admin Tool bietet einen Überblick über die installierten Komponenten und kann verwendet werden, um die systemweiten Konfigurationseinstellungen zu verwalten, die während der Installation erstellt wurden.

Gatekeeper

Die folgenden Einstellungen können über die Registerkarte Gatekeeper konfiguriert werden.

Gatekeeper Admin Tool aktualisieren

Weitere Informationen zum Upgrade auf die neueste Version von Specops Authentication finden Sie unter Upgrade.

Zertifikate anzeigen

Die Zertifikate für sowohl den Gatekeeper Client als auch die Gatekeeper Backend-Authentifizierung können durch Klicken auf den Anzeigen-Link aufgerufen werden.

Proxy-Einstellungen ändern

Wenn Ihre Organisation einen Forward-Proxy-Server verwendet, um den Internetverkehr extern zu leiten, müssen Sie den Proxy-Server so konfigurieren, dass der Gatekeeper das Internet erreichen kann. Klicken Sie auf Bearbeiten in der Proxy-Zeile und geben Sie die Adresse als vollständige URL an, einschließlich des Protokolls und eines benutzerdefinierten Ports.

Gatekeeper ändern

Wenn Sie mehrere Gatekeeper haben, können Sie zwischen ihnen wechseln:

Klicken Sie oben links auf Ändern.
Markieren Sie im Fenster Gatekeeper auswählen den Gatekeeper, zu dem Sie wechseln möchten.
Klicken Sie auf OK.

Allgemeine Befehle

In der oberen rechten Ecke dieser Registerkarte befindet sich ein Feld mit allgemeinen Befehlen. Diese umfassen Folgendes:

Aktualisieren: aktualisiert die Informationen in der Registerkarte.
Auf neue Admin-Tool-Version prüfen: prüft, ob das Admin-Tool aktualisiert werden muss.
Migration von SPR: öffnet den Migrationsassistenten für die Migration von Specops Password Reset-Daten.
Caches auf allen Gatekeepers leeren: löscht alle Caches auf den Gatekeepers.

Offline-Gatekeeper verwalten

Um alle verfügbaren Gatekeeper korrekt aufzulösen, müssen alle Offline-Gatekeeper (nicht verwendete) korrekt entsorgt werden. Der empfohlene Weg, dies zu tun, ist über das Gatekeeper Admin Tool.

Gatekeeper abmelden (empfohlen)

Stellen Sie im Gatekeeper Admin Tool sicher, dass Sie auf den Gatekeeper zugegriffen haben, den Sie abmelden möchten (für Informationen zum Wechseln zu anderen Gatekeepers siehe den obigen Abschnitt Gatekeeper ändern).
Klicken Sie oben rechts im Feld Gatekeeper-Installation auf Abmelden.
Bestätigen Sie, dass Sie diesen Gatekeeper abmelden möchten, indem Sie im Fenster Gatekeeper abmelden auf Ja klicken.

Gatekeeper manuell entfernen

Falls aus irgendeinem Grund der Offline-Gatekeeper (nicht verwendet) nicht mit der oben genannten Methode abgemeldet wurde (z. B. weil der Server, auf dem er installiert war, aus irgendeinem Grund nicht mehr vorhanden ist), müssen zusätzliche manuelle Schritte unternommen werden.

Hinweis

Wenn ein nicht verwendeter Gatekeeper nicht im Gatekeeper Admin Tool abgemeldet wurde, müssen die verbleibenden Dateien manuell entfernt werden, damit der Gatekeeper korrekt aufgelöst werden kann.

Entfernen Sie den Gatekeeper aus der Cloud
1. Greifen Sie auf Authentication Web zu und klicken Sie auf Gatekeepers.
2. Markieren Sie den Gatekeeper, den Sie in der Liste abmelden möchten.
3. Klicken Sie auf Gatekeeper abmelden.
  
  Hinweis
  
  Dieser Abmeldevorgang ist nicht derselbe wie der, der vom Gatekeeper Admin Tool durchgeführt wird. Der Abmeldevorgang, der vom Gatekeeper Admin Tool initiiert wird, führt alle notwendigen Schritte zur Entsorgung des nicht verwendeten Gatekeepers durch und erfordert keine manuellen Schritte.
4. Klicken Sie im Bestätigungsfenster auf Abmelden.
Entfernen Sie den Service Connection Point (SCP) aus dem Active Directory.
1. Öffnen Sie auf dem Server, auf dem der Gatekeeper installiert ist, das Tool Active Directory-Benutzer und -Computer.
2. Stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind (obere Menüleiste Ansicht > Erweiterte Funktionen).
3. Navigieren Sie zu System > Specops > SpecopsAuthentication > Gatekeepers.
4. Klicken Sie mit der rechten Maustaste auf den richtigen Gatekeeper und wählen Sie Löschen.

Active Directory-Einstellungen

Die folgenden Einstellungen können über die Registerkarte Active Directory-Einstellungen konfiguriert werden.

Umfang der Verwaltung bearbeiten

Der Active Directory-Umfang bestimmt, welche Benutzer den Specops Authentication-Dienst nutzen können.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Zeile, in der der aktuelle Active Directory-Umfang angezeigt wird, und klicken Sie auf Bearbeiten.
Wählen Sie den gewünschten Active Directory-Umfang aus und klicken Sie auf Hinzufügen. Mehrere Standorte können ausgewählt werden, wenn Sie mehrere Verwaltungsbereiche wünschen.
Klicken Sie auf OK.

Passwortzurücksetzungen in Specops Authentication aktivieren

Sie können die uReset- und Secure Service Desk-Funktionen in Specops Authentication aktivieren. Für uReset können Endbenutzer häufige Aufgaben im Zusammenhang mit dem Passwortmanagement, einschließlich vergessener Passwörter, selbst erledigen. Diese Funktion ist gesperrt, es sei denn, Sie haben uReset als Teil Ihres Abonnements. Für Secure Service Desk ermöglicht dies die Verwaltung von Benutzern im Secure Service Desk. Diese Funktion ist gesperrt, es sei denn, Sie haben Secure Service Desk als Teil Ihres Abonnements.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Klicken Sie im Abschnitt Active Directory-Einstellungen in der Zeile Passwortzurücksetzungen zulassen auf Ändern.
Wählen Sie eine der folgenden Optionen, wenn Sie die Passwortzurücksetzungsfunktion aktivieren:
- Standard-Sicherheitsmodus: Alle Benutzer, die Mitglieder der Specops Authentication Service Desk Agents-Gruppe sind, können Passwörter für andere Benutzer zurücksetzen.
- Delegierter Sicherheitsmodus: Die Zugriffskontrolle für das Zurücksetzen von Passwörtern für andere Benutzer basiert auf der tatsächlichen Sicherheitskonfiguration (‚Passwort zurücksetzen‘-Berechtigung) im Active Directory.
Klicken Sie auf OK.

Mitglieder zu Sicherheitsgruppen hinzufügen/entfernen

Sie können zusätzliche Mitglieder zu den Gruppen Admin, Benutzeradmin, Gatekeepers und Reporting Readers hinzufügen. Benutzer, die Mitglieder der Admin-Gruppe sind, sind Portaladministratoren auf der Specops Authentication Web. Benutzer, die Mitglieder der Benutzeradmin-Gruppe sind, können auf die Benutzerverwaltungsfunktionen auf der Specops Authentication Web zugreifen. Benutzer, die Mitglieder der Gatekeepers-Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen.

Klicken Sie im Gatekeeper Admin Tool auf Active Directory-Einstellungen.
Suchen Sie die Sicherheitsgruppe, die Sie bearbeiten möchten, und klicken Sie auf Mitglieder bearbeiten.
Um ein Mitglied hinzuzufügen, klicken Sie auf Mitglied hinzufügen, geben Sie den Namen des Benutzers oder der Gruppe ein, die Sie hinzufügen möchten, und klicken Sie dann auf OK.
Um ein Mitglied zu entfernen, wählen Sie ein Mitglied aus der Liste der Gruppenmitglieder aus und klicken Sie auf Ausgewähltes Mitglied entfernen, und klicken Sie dann auf OK.
Klicken Sie auf OK.

Reporting Readers-Gruppe

Mitglieder der Sicherheitsgruppe Reporting Readers im Gatekeeper Admin Tool können sich bei Specops Authentication Web anmelden, um Berichte anzuzeigen. Sofern sie nicht auch Mitglieder anderer Sicherheitsgruppen sind, werden sie keine anderen Abschnitte in Specops Authentication Web sehen.

Hinweis

Mitglieder dieser Gruppe können alle Berichte sehen, die mit dem Konto zusammenhängen. Sie können nicht filtern, welche Berichte sichtbar sind oder nicht.

Bevorzugten Domänencontroller angeben

Standardmäßig verwendet Specops Authentication den nächstgelegenen verfügbaren Domänencontroller. Klicken Sie auf Ändern, um den bevorzugten Domänencontroller anzugeben.

Secure Access

Die folgenden Einstellungen können über die Registerkarte Secure Access konfiguriert werden.

Secure Access GPOs verwalten

Sie können die GPOs, die Sie mit der Secure Access-Funktion auf Specops Authentication verwenden möchten, markieren. Betroffene Benutzer authentifizieren sich mit einem zweiten Faktor, wenn sie sich bei ihrem Windows-Konto anmelden.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für MFA für Windows markiert auf GPOs markieren, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

NPS Companion GPOs verwalten

Sie können die GPOs, die Sie mit der NPS Companion (Radius)-Funktion auf Secure Access verwenden möchten, markieren. Betroffene Benutzer authentifizieren sich mit einem zweiten Faktor, wenn sie sich über Remotezugriff bei ihrem Windows-Konto anmelden. Weitere Informationen finden Sie auf dieser Seite.

Klicken Sie im Gatekeeper Admin Tool auf Secure Access.
Klicken Sie oben im Abschnitt GPOs für NPS Companion markiert auf GPOs markieren, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

Office 365

Über die Registerkarte Office 365 können Sie die GPOs markieren, die Sie mit Specops Authentication verwenden möchten. Betroffene Benutzer können ihre Authentifizierungs-, Bereitstellungs- und Lizenzierungseinstellungen über die Specops Authentication Web konfigurieren. Alternativ, wenn Sie möchten, dass Specops Authentication auf den während der Gatekeeper-Installation ausgewählten Bereich angewendet wird, überspringen Sie diesen Schritt und wählen Sie Cloud im letzten Schritt, wenn Sie Specops Authentication mit O365 konfigurieren.

Klicken Sie im Gatekeeper Admin Tool auf Office 365.
Klicken Sie auf GPOs markieren, wählen Sie die Gruppenrichtlinie aus und klicken Sie auf OK.

Nützliche Links aktualisieren

Klicken Sie auf Aktualisieren, um die Liste der nützlichen Links zu aktualisieren.

uReset

Die folgenden Einstellungen können über die Registerkarte uReset konfiguriert werden.

uReset GPOs verwalten

Sie können die GPOs, die Sie mit der Specops uReset-Funktion auf Specops Authentication verwenden möchten, markieren. Betroffene Benutzer können Passwortzurücksetzungen und -änderungen mit Specops uReset verwalten.

Klicken Sie im Gatekeeper Admin Tool auf uReset.
Klicken Sie auf GPOs markieren, wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf OK.

Endbenachrichtigungen in uReset verwalten

Die Benachrichtigungseinstellungen betreffen den Specops Client, eine optionale Komponente, die auf Arbeitsstationen installiert ist und Benutzer benachrichtigen kann, wenn sie sich im System registrieren müssen. Die Art der Erinnerungen, die Ihre Benutzer erhalten sollen, und wie oft sie diese erhalten sollen, können ebenfalls konfiguriert werden.

Klicken Sie im Gatekeeper Admin Tool auf uReset.
Suchen Sie im Abschnitt Client-Benachrichtigungs-GPOs das GPO (falls bereits konfiguriert), das Sie ändern möchten, und klicken Sie auf Bearbeiten, oder wenn noch keine GPOs konfiguriert wurden, klicken Sie auf GPO auswählen, markieren Sie dann in der Liste das richtige GPO und klicken Sie auf OK.
Konfigurieren Sie im Abschnitt Benutzerstatus-Überprüfungsintervall, wie oft der Specops Client den Registrierungsstatus des Benutzers überprüft. Ein Benutzer, der sich nicht bei Specops Authentication registriert hat, erhält eine Registrierungserinnerung.

Hinweis

Wenn Specops Password Policy ebenfalls verwendet wird, konfiguriert diese Einstellung auch, wie oft das Passwort des Benutzers auf Ablauf überprüft wird.
Im Abschnitt Wann die Registrierungserinnerung angezeigt werden soll können Sie konfigurieren, dass die Erinnerung bei den folgenden Ereignissen/Intervallen angezeigt wird (das Intervall bezieht sich auf das im vorherigen Schritt festgelegte Intervall):
- Beim Anmelden und bei jedem Intervall
- Nur beim Anmelden
- Bei jedem Intervall
- Nie
Hinweis

Wann die Registrierungserinnerung angezeigt wird, beeinflusst nicht die Passwortablauferinnerung.
Wählen Sie in den Einstellungen für den Registrierungsmodus eine der folgenden Optionen aus:
- Ballon-Tipp im Benachrichtigungsbereich: Durch Klicken auf die Erinnerung wird der Benutzer direkt zur Registrierungswebseite geleitet.
- Browser starten: Die Erinnerung öffnet ein Browserfenster mit der Registrierungswebseite.
- Nicht schließbaren Vollbildbrowser starten: Die Erinnerung öffnet ein Vollbild-Browserfenster mit der Registrierungswebseite, das nicht geschlossen werden kann, bis die Registrierung abgeschlossen ist.

Passwort-Reset-Link aktualisieren

Klicken Sie auf Aktualisieren, um die Liste der nützlichen Links zu aktualisieren.

E-Mail-Konfiguration

Wenn Sie nicht die Standardkonfiguration von Specops verwenden möchten, die Drittanbieter wie SendGrid verwendet, um E-Mail-Benachrichtigungen zu senden, können Sie Ihren eigenen SMTP-Anbieter in diesem Abschnitt des Gatekeeper Admin Tools konfigurieren. Informationen zum Bearbeiten der Standardkonfiguration von Specops in Specops Authentication Web finden Sie auf der Specops Authentication Web-Seite.

Hinweis

Die Konfiguration der SMTP-Einstellung im Gatekeeper Admin Tool deaktiviert jede Konfiguration in Specops Authentication Web.

SMTP-Einstellungen konfigurieren

SMTP-Einstellungen können auf drei Arten konfiguriert werden:

Verwendung der Standardkonfiguration von Specops (konfiguriert in Specops Authentication Web).
Verwendung von SMTP mit anonymem Zugriff
Verwendung von SMTP mit Basis-Authentifizierung

Klicken Sie auf Bearbeiten
Wählen Sie aus dem Dropdown-Menü aus, welche Art von Konfiguration Sie verwenden möchten (anonym oder Basis-Authentifizierung)
Geben Sie die Domäne für den SMTP-Server ein (Pflichtfeld)
Legen Sie die maximale Anzahl gleichzeitiger Verbindungen fest, die der Gatekeeper beim Senden von E-Mails verwenden wird.

Hinweis

Jedes Mal, wenn Änderungen in diesem Feld vorgenommen werden, müssen alle betroffenen Gatekeepers neu gestartet werden.

Hinweis

Der Standardwert für die maximale Anzahl gleichzeitiger Verbindungen ist auf 10 festgelegt. Bitte konsultieren Sie die Dokumentation Ihres SMTP-Servers, um zu erfahren, wie viele gleichzeitige Verbindungen erlaubt sind.
Geben Sie den SMTP-Port ein (Standard ist Port 25)
Verwenden Sie das Dropdown-Menü, um festzulegen, ob TLS (Transport-Level Security) verwendet werden soll.

Hinweis

Setzen Sie diese Option auf Ja, wenn Sie die Verschlüsselung für ausgehende E-Mails aktivieren möchten. Beachten Sie, dass die Aktivierung von TLS den SMTP-Port automatisch auf 587 setzt.

Hinweis

Beachten Sie, dass ein gültiges SSL-Zertifikat erforderlich ist, um TLS beim Senden von SMTP-E-Mails zu verwenden.
Geben Sie die Absender-E-Mail-Adresse (Pflichtfeld) und den Absender-Anzeigenamen ein
Nur für Basis-Authentifizierung: Geben Sie den SMTP-Benutzernamen und das Passwort ein
Klicken Sie auf OK
Klicken Sie im Erfolgsdialogfeld auf OK und starten Sie alle Gatekeepers neu, wenn die Option Maximale gleichzeitige Verbindung geändert wurde.

Microsoft Entra ID-Einstellungen

Sie können Microsoft Entra ID verwenden, um bei Zurücksetzung oder Änderung des Passworts zu synchronisieren. Um die Microsoft Entra ID-Einstellung im Gatekeeper Admin Tool zu konfigurieren, müssen Sie zuerst eine App in Microsoft Entra ID einrichten und ihr die richtigen Berechtigungen geben.

Anforderungen

Anforderung
Mandant in Microsoft Entra ID
Abonnements in Microsoft Entra ID

Eine App in Microsoft Entra konfigurieren

Melden Sie sich bei https://entra.microsoft.com/ an
Klicken Sie auf Microsoft Entra ID. Dies sollte Sie zum Verzeichnis Ihrer Organisation bringen.
Klicken Sie auf App-Registrierungen.
Klicken Sie auf Neue Registrierung.
Geben Sie einen Namen für die App im Feld Name ein.
Wählen Sie mit den Optionsfeldern den unterstützten Kontotyp aus (Einzelmandant oder Mehrmandant)
Klicken Sie auf Registrieren. Notieren Sie sich im folgenden App-Zusammenfassungsbildschirm im Abschnitt Essentials die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant). Diese werden für die Konfiguration verwendet.
Klicken Sie in der linken Navigation des App-Zusammenfassungsbildschirms auf Zertifikate & Geheimnisse.
Klicken Sie auf Neues Client-Geheimnis. Geben Sie eine Beschreibung ein und legen Sie einen Ablaufzeitraum mit dem Dropdown-Menü Ablauf fest, und klicken Sie dann auf Hinzufügen.
Kopieren und speichern Sie das Geheimnis in der Spalte Wert für das Passwort. Dies wird auch für die Konfiguration verwendet.

Hinweis

Wenn Sie einen Synchronisierungspunkt (Specops Password Sync) konfigurieren, beachten Sie, dass dieser Wert im Feld Anbieterpasswort in der Synchronisierungspunktkonfiguration eingefügt werden muss.
Klicken Sie in der (linkesten) linken Navigation des Microsoft Entra ID Admin Centers auf Microsoft Entra ID und dann auf Rollen und Administratoren.
Klicken Sie in der Liste auf eine Rolle, die zum Zurücksetzen von Passwörtern ausreichend ist.

Hinweis

Für einen Überblick über Rollen und deren Berechtigungen gehen Sie bitte zu Arbeiten mit Benutzern in Microsoft Graph. Beachten Sie, dass die Mindestanforderung für das Zurücksetzen von Passwörtern die Rolle Passwortadministrator ist.
Klicken Sie oben auf Zuweisungen hinzufügen. Die Seitenleiste Zuweisungen hinzufügen öffnet sich rechts.
Geben Sie im Suchfeld den registrierten App-Namen ein, klicken Sie auf die App in der Suchergebnisliste und klicken Sie dann unten auf Hinzufügen.

Nächste Schritte

Schreiben Sie die Anwendungs-ID (Client), Verzeichnis-ID (Mandant) und das Client-Geheimnis auf oder kopieren Sie sie, und fahren Sie dann mit der Konfiguration der Microsoft Entra ID-Einstellungen im Gatekeeper Admin Tool fort.

Das Gatekeeper Admin Tool konfigurieren

Wählen Sie im Gatekeeper Admin Tool Microsoft Entra ID-Einstellungen aus.
Klicken Sie im Feld Microsoft Entra ID-Einstellungen auf Bearbeiten.
Geben Sie die Client-ID (Anwendungs-ID (Client)) ein.
Geben Sie die Mandanten-ID (Verzeichnis-ID (Mandant)) ein.
Geben Sie das Client-Geheimnis (Client-Geheimniswert) ein.
Klicken Sie auf OK.
Klicken Sie im rechten Navigationsfeld auf Verbindung testen, um zu sehen, ob eine Verbindung zu Microsoft Entra ID hergestellt wurde.

Sobald die Verbindung hergestellt ist, beginnt der Gatekeeper mit der Synchronisierung mit Microsoft Entra ID bei Passwortzurücksetzung oder -änderung.

Windows-Identität

Dieser Abschnitt zeigt die Einstellungen für die Windows-Integrierte Authentifizierung. Diese Einstellungen können auch hier bearbeitet werden.

Hinweis

NTLM ist ein veraltetes Protokoll, das nur älteren Specops-Kunden zur Verfügung steht. Neue Kunden haben den Identitätsdienst standardmäßig deaktiviert und können nur zwischen Deaktiviert oder Kerberos wählen.

Die Windows-Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver gesendet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit der Windows-Identität und gewährt das Windows-Identitätsauthentifizierungstoken.

Integrierte Authentifizierung aktivieren

Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:

Hinweis

Es wird empfohlen, während der Installation von Gatekeepers den Kontotyp Gruppenverwaltete Dienstkonten zu verwenden. Weitere Informationen finden Sie unter gMSA.

Wählen Sie im Gatekeeper Admin Tool Windows-Identität aus.
Klicken Sie im Feld Einstellungen für integrierte Authentifizierung auf Bearbeiten.
Wählen Sie im Dropdown-Menü Authentifizierungsprotokoll auswählen das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.

Hinweis

Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Klicken Sie auf OK.
Fügen Sie die URL der integrierten Authentifizierung zu den Lokalen Intranet in den Internetoptionen für jeden Client hinzu.

Hinweis

Dies kann durch Hinzufügen der URL zur Liste der vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitsregisterkarte > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen zu letzterem finden Sie hier: Alternative Möglichkeiten zum Aktualisieren vertrauenswürdiger Sites. Beachten Sie, dass der hier referenzierte Blogbeitrag sich mit einer anderen URL befasst, obwohl der Prozess derselbe ist.

Weitere Informationen zur Windows-Identität finden Sie auf der Windows-Identitätsseite.