Inscripción del administrador

Specops Authentication para MFA para Windows permite a los administradores inscribir usuarios en el sistema, sin requerir que los usuarios pasen por el proceso de inscripción. Esto se puede lograr con cualquier servicio de identidad que tenga información de identificador almacenada en Active Directory.

Antes de usar esta guía, necesitas:
Conocimientos básicos de PowerShell
PowerShell 4.0 o posterior
Specops Authentication para MFA para Windows configurado con un Gatekeeper activo
Membresía en el grupo de administradores de Specops Authentication para MFA para Windows
El módulo de PowerShell de Specops Authentication para MFA para Windows – instalado con las herramientas de administración
- C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Servicios de identidad para inscripción

Los administradores pueden inscribirse con los siguientes servicios de identidad:

Correo electrónico personal
Código móvil
Preguntas secretas
Yubikey
ID de banco móvil
Google

Cmdlets

Los cmdlets pueden ser utilizados por los administradores al gestionar usuarios, o inscribirlos en lotes en Specops Authentication para MFA para Windows.

Para importar el módulo, ejecuta el siguiente comando en PowerShell en tu servidor Gatekeeper:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Toma los parámetros Username, IdentityServiceId y EnrollmentProof. Puede ser utilizado para inscribirse con todos los servicios de identidad excepto: Preguntas secretas, Duo Security, Specops Fingerprint, Authenticators, Identificación de gerente, Symantec VIP, LinkedIn y Windows Identity. Usa el cmdlet Get-SpecopsAuthenticationIdentityServices para encontrar el IdentityServiceId de tu Servicio de Identidad.

Ejemplo de uso:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Inscripción de administrador con Código móvil (SMS)

La inscripción de administrador con Código móvil (SMS) requiere actualizar el atributo móvil en el objeto de usuario y los datos de inscripción en el objeto hoja. Un administrador puede actualizar el atributo móvil en una cuenta de usuario desde la herramienta de administración de Active Directory, o con PowerShell. Si usas el atributo de teléfono móvil predeterminado, usa el siguiente comando:

Set-ADUser
  -Identity user0020
  -MobilePhone '+1-202-555-0191'

Si almacenas el número móvil en un atributo personalizado, necesitas proporcionar ese atributo en su lugar. Si, por ejemplo, el número móvil está en el atributo otherMobile, puedes usar el siguiente comando:

Set-ADUser
  -Identity user0020
  -Replace @{otherMobile='+1-202-555-0191'}

Para Gatekeeper Admin Tool 8.23 y posteriores: después de actualizar el atributo móvil puedes usar PowerShell para agregar la prueba en el objeto hoja.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Para Gatekeeper Admin Tool 8.22 y anteriores: después de actualizar el atributo móvil puedes usar PowerShell para agregar la prueba en el objeto hoja.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Inscripción de administrador con Correo electrónico personal

Ejemplo de uso:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Toma los parámetros Username, Answers y Language. Language es un código de idioma opcional de 2 dígitos. Answers toma un arreglo de preguntas y respuestas.

Ejemplo de uso:

$questionsAndAnswers =
  @{'Question'='Who are you?'; 'Answer'='No one'},
  @{'Question'='Why are you here?'; 'Answer'='I am not'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Enumera los servicios de identidad con los que un usuario está inscrito.

Ejemplo de uso:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Enumera todos los servicios de identidad disponibles en tu suscripción de Specops Authentication.

Ejemplo de uso:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Elimina todos los servicios de identidad inscritos de un usuario, excepto los inscritos automáticamente, como Windows Identity, Duo Security, Identificación de gerente o Symantec VIP.

Ejemplo de uso:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Elimina una inscripción de servicio de identidad de un usuario.

Ejemplo de uso:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint