Dynamische Richtlinien für die Multi-Faktor-Authentifizierung

Dynamische Multi-Faktor-Authentifizierung (DMFA) ermöglicht es Benutzern, sich mit mehreren Identitätsdiensten zu registrieren und zu authentifizieren. Dies ist eine flexible und sichere Möglichkeit für Benutzer, sich bei ihren Office 365-Konten anzumelden. Wenn Sie Administrator sind, können Sie eine Richtlinie erstellen und konfigurieren, die den Anforderungen Ihrer Organisation entspricht. Sie können entscheiden, welche Identitätsdienste zur Authentifizierung verwendet werden können und wie sicher jeder einzelne ist.

DMFA wird bei der Anmeldung über die Specops Authentication-Plattform verwendet. Dies umfasst:

Verwaltung von Benutzern
Zurücksetzen oder Ändern von Benutzerpasswörtern
Anmeldung von Benutzern bei Office 365
Anmeldung zur Änderung der Registrierung

Bei der Erstellung einer DMFA-Richtlinie wird empfohlen, Ihren Benutzern eine vielfältige Auswahl an Identitätsdiensten zu bieten und sie zu ermutigen, sich mit so vielen wie möglich zu registrieren. Je mehr Identitätsdienste ein Benutzer registriert hat, desto unwahrscheinlicher ist es, dass er von seinem Konto ausgesperrt wird.

Beispiel: Wenn ein Benutzer die Antworten auf seine Geheimen Fragen vergisst und sich mit mehreren anderen Identitätsdiensten registriert hat, kann er sich dennoch erfolgreich mit einem dieser Dienste authentifizieren.

Hinweis: Wenn ein Benutzer die Registrierung abschließt, wird eine Nachricht angezeigt, die fragt, ob er zusätzliche Sterne sammeln möchte, indem er sich mit mehr Identitätsdiensten registriert, als erforderlich.

Es gibt viele verschiedene Arten von Identitätsdiensten zur Auswahl, darunter:

Soziale Medien
Geheime Fragen
Mobiler Code (SMS)
Fingerabdruck-Scans
Authentifikatoren

Erforderliche Identitätsdienste

Sie können einen Identitätsdienst als „erforderlich“ markieren. Dies bedeutet, dass er obligatorisch ist und Ihre Benutzer sich damit registrieren und authentifizieren müssen.

Beispiel: Wenn Sie das Kontrollkästchen Erforderlich für Mobilen Code (SMS) und Windows-Identität auswählen, werden diese für alle Benutzer obligatorisch.

Erforderliches Textfeld

Geschützte Identitätsdienste

Sie können einen Identitätsdienst als „geschützt“ markieren. Bevor ein Benutzer sich mit einem geschützten Identitätsdienst authentifizieren kann, muss er sich zuerst mit einem oder mehreren anderen Identitätsdiensten authentifizieren. Dies soll verhindern, dass externe Parteien versuchen, durch Erraten der Anmeldedaten auf ein Benutzerkonto zuzugreifen.

Beispiel: Ein Benutzer könnte während der Registrierung Google Authenticator, Mobilen Code (SMS) und Windows-Identität wählen. Wenn Windows-Identität in der DMFA-Richtlinie als „geschützt“ markiert wurde, muss der Benutzer sich mit Google Authenticator oder Mobilen Code (SMS) authentifizieren, bevor er seine Windows-Identitätsanmeldedaten eingeben darf.

Geschütztes Kontrollkästchen

Ein Identitätsdienst kann sowohl als erforderlich als auch als geschützt markiert werden.

Erforderliche und geschützte Kontrollkästchen

Gewicht

Sie können das erforderliche Gewicht für die Registrierung und Authentifizierung mithilfe der Sternleisten im Abschnitt Regeln bearbeiten festlegen.

Benutzer müssen genügend Identitätsdienste verwenden, um das erforderliche Gewicht zu erreichen. Zum Beispiel: Wenn Sie 5 Sterne als erforderliches Gewicht für die Registrierung und Authentifizierung auswählen, müssen sich Benutzer mit genügend Identitätsdiensten registrieren und authentifizieren, um insgesamt 5 Sterne zu erreichen.

Konfigurationsrichtlinie für die Registrierung

Hinweis: Das erforderliche Gewicht für die Authentifizierung kann nicht höher sein als das erforderliche Gewicht für die Registrierung. Dies soll den Benutzern so viel Flexibilität wie möglich geben. Wenn ein Benutzer plötzlich nicht mehr in der Lage ist, sich mit einem bestimmten Identitätsdienst zu authentifizieren, kann er stattdessen einen der anderen verwenden, mit denen er sich registriert hat.

Beispiel: Sie könnten eine Richtlinie erstellen, die erfordert, dass sich ein Benutzer mit 3 Identitätsdiensten registriert, aber er muss sich nur mit 2 authentifizieren. Wenn sich ein Benutzer mit Mobilen Code (SMS), Geheimen Fragen und Google registriert und plötzlich nicht mehr in der Lage ist, sich mit Mobilen Code (SMS) zu authentifizieren, weil sein Telefon nicht funktioniert, kann er sich stattdessen mit seinen Geheimen Fragen authentifizieren.

Sie können das Gewicht für die verschiedenen Identitätsdienste festlegen, um deren relative Sicherheitsstufe darzustellen. Wählen Sie das Gewicht aus, indem Sie die gewünschte Anzahl von Sternen aktivieren.

Beispiel: Sie könnten entscheiden, dass Mobiler Code (SMS) 3 Sterne wert ist, Mobile BankID 2 Sterne wert ist und Google Authenticator 1 Stern wert ist, und so weiter.

Gewicht pro Identitätsdienst

Hinweis: Standardmäßig beträgt das maximale Gewicht, das jedem Identitätsdienst zugewiesen werden kann, 3 Sterne. Sie können dies auf maximal 5 Sterne erhöhen, wenn Sie einen Identitätsdienst sicherer machen möchten. Dies erfolgt über die – oder + Schaltflächen am unteren Rand der Seite.

Wenn Sie das maximale Gewicht pro Identitätsdienst erhöhen, erhöht sich die Anzahl der Sterne, die in den Sternleisten Erforderliches Gewicht für die Registrierung und Erforderliches Gewicht für die Authentifizierung oben auf der Seite verfügbar sind.

Beispiel: Wenn das maximale Gewicht pro ID-Dienst auf 4 gesetzt ist, gibt es 16 Sterne in den Balken Erforderliches Gewicht für die Registrierung und Erforderliches Gewicht für die Authentifizierung.

Maximales Gewicht

Konfigurieren einer Richtlinie

Klicken Sie im Specops Gatekeeper Admin Tool im Abschnitt Nützliche Links auf den Link Admin-Seiten.
Melden Sie sich mit Ihren Anmeldedaten an.
Klicken Sie auf Richtlinien.
Klicken Sie in den Abschnitten Registrierung oder Admin auf Konfigurieren.
Wählen Sie die Identitätsdienste aus, die den Benutzern zur Verfügung stehen sollen. Um einen Identitätsdienst zur Richtlinie hinzuzufügen, wählen Sie ihn aus der Liste Nicht ausgewählte Identitätsdienste aus, und er wird in der Liste Ausgewählte Identitätsdienste angezeigt.
Geben Sie im Abschnitt Regeln bearbeiten an, wie viele Sterne gesammelt werden müssen, bevor ein Benutzer die Sternleiste füllen und sich registrieren kann, sowie das erforderliche Gewicht für die Authentifizierung. Siehe den Abschnitt Gewicht oben.
Legen Sie das Gewicht für jeden Identitätsdienst fest, indem Sie eine bestimmte Anzahl von Sternen auswählen.
Wählen Sie das Kontrollkästchen Erforderlich, um einen Identitätsdienst obligatorisch zu machen. Siehe den Abschnitt Erforderliche Identitätsdienste oben.
Wählen Sie das Kontrollkästchen Geschützt, um es zu einem geschützten Identitätsdienst zu machen. Siehe den Abschnitt Geschützte Identitätsdienste oben.
Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Adaptive Registrierungsrichtlinien

Eine Registrierungsrichtlinie (die vorschreibt, wie sich Benutzer authentifizieren müssen, um ihre Registrierung zu ändern) ist adaptiv.

Wie bei allen Richtlinien enthält eine Registrierungsrichtlinie ein erforderliches Gewicht für die Authentifizierung und eine Liste von Identitätsdiensten, aus denen jeder Benutzer wählen muss. Wie oben beschrieben, muss ein Benutzer, um sich erfolgreich mit einer Richtlinie anzumelden, genügend Identitätsdienste verwenden, um das erforderliche Authentifizierungsgewicht zu erreichen. Im Gegensatz zu anderen Richtlinien sind Registrierungsrichtlinien jedoch einzigartig, da Benutzer sich bei der Anmeldung nicht unbedingt das erforderliche Authentifizierungsgewicht erreichen müssen.

Zum Beispiel: Wenn ein Benutzer nur mit zwei Identitätsdiensten registriert ist und die Registrierungsrichtlinie besagt, dass ein Benutzer drei Identitätsdienste verwenden muss, um sich anzumelden, darf sich dieser Benutzer dennoch mit seinen zwei Identitätsdiensten anmelden. Wann immer ein Benutzer sich mit genügend Identitätsdiensten registriert hat, um das erforderliche Authentifizierungsgewicht der Registrierungsrichtlinie zu erfüllen, wird die Anmeldung mit der Registrierungsrichtlinie wie bei anderen Richtlinien sein.

Hinweis: Windows-Identität ist der einzige obligatorische Identitätsdienst, und alle Benutzer sind automatisch damit registriert. Windows-Identität ist immer in einer Registrierungsrichtlinie vorhanden und kann nicht entfernt werden.

Sicherheitsmodi für die Registrierung

Wenn sich Benutzer zum ersten Mal registrieren, müssen sie sich durch Eingabe ihres Windows-Passworts identifizieren. Nachfolgende Änderungen an der Registrierung (erneute Registrierung) erfordern die Identifizierung mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort, wenn der Sicherheitsmodus auf Mittel oder Hoch eingestellt ist.

Es stehen drei Sicherheitsmodi für Administratoren zur Verfügung: Niedrige Sicherheit, Mittlere Sicherheit und Hohe Sicherheit. Diese Sicherheitsmodi spiegeln die relative Stärke der konfigurierten Richtlinien wider und bestimmen teilweise, mit welchen Identitätsdiensten sich der Benutzer erneut registrieren muss (wann immer Benutzer ihre Registrierung ändern müssen).

Niedrige Sicherheit: Benutzer müssen nur ihr Windows-Passwort zur Identifizierung angeben.
Mittlere Sicherheit: Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort identifizieren.
Hohe Sicherheit: Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten starken Identitätsdienst oder zwei schwachen (falls sie sich nicht mit starken Identitätsdiensten registriert haben) zusätzlich zu ihrem Windows-Passwort identifizieren. Schwache Identitätsdienste, wie Sicherheitsfragen, werden dem Benutzer nicht als Option präsentiert, es sei denn, sie haben sich nur mit schwachen Identitätsdiensten registriert.

Hinweis

Die niedrigen oder mittleren Modi werden automatisch festgelegt, abhängig von den Richtlinienkonfigurationen. Der hohe Sicherheitsmodus muss von Administratoren aktiviert werden, um eine erneute Registrierung mit starken Identitätsdiensten zu erzwingen.