Die Multifaktor-Authentifizierung (MFA) kann für alle Benutzerverbindungen aktiviert oder deaktiviert werden, aber Sie können für bestimmte Verbindungen auch komplexe Regeln konfigurieren. Diese Funktion erlaubt es Ihnen, MFA für denselben Benutzer zu aktivieren oder zu deaktivieren, je nachdem, von wo und von welchem Gerät aus sich der Benutzer verbindet. Jeder MFA-Anbieter hat eine Regel, die aus einem oder mehreren Kriterien für den Abgleich mit Benutzer-Verbindungen besteht. Jedes Kriterium besteht wiederum aus einem oder mehreren spezifischen Objekten, die abgeglichen werden können.
Sie können die folgenden Objekte abgleichen:
Benutzer, eine Gruppe, zu der der Benutzer gehört, oder der Computer, von dem aus der Benutzer eine Verbindung herstellt.
Das Secure Gateway, mit dem sich der Benutzer verbindet.
Name des Client-Geräts.
Betriebssystem des Client-Geräts.
IP-Adresse.
Hardware-ID. Das Format einer Hardware-ID hängt vom Betriebssystem des Clients ab.
Beachten Sie bitte folgende Hinweise zu den Regeln:
Kriterien und Objekte werden mit dem OR-Operator verknüpft. Wenn eine Regel beispielsweise ein Kriterium enthält, das auf bestimmte IP-Adressen zutrifft, und ein Kriterium, das auf die Betriebssysteme der Client-Geräte zutrifft, wird die Regel angewendet, wenn eine Benutzer-Verbindung mit einer der IP-Adressen ODER einem der Client-Betriebssysteme übereinstimmt.
So konfigurieren Sie eine Regel:
Navigieren Sie in der RAS-Konsole zu Verbindung und wählen Sie die Registerkarte Multi-Faktor-Authentifizierung aus.
Klicken Sie auf den Anbieter, für den Sie die Regel erstellen möchten.
Wählen Sie die Registerkarte Einschränkungen aus.
Geben Sie die Kriterien für die Regel an. Folgende Steuerelemente sind verfügbar:
MFA deaktivieren, wenn und MFA deaktivieren, wenn: gibt an, ob der MFA-Anbieter aktiviert werden muss, wenn eine Benutzerverbindung allen Kriterien entspricht. Klicken Sie auf den Link, um zwischen den beiden Optionen zu wechseln.
(+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine Hardware-ID abgleichen möchten, klicken Sie auf (+). Wählen Sie im angezeigten Kontextmenü den Typ des Objekts aus, das Sie abgleichen möchten, und fügen Sie im daraufhin angezeigten Dialogfeld die entsprechenden Objekte hinzu. Das neue Kriterium wird auf der nächsten Zeile angezeigt:
(X): Löscht ein bestimmtes Objekt aus dem Abgleich. Wenn Sie z. B. die IP-Adresse 198.51.100.1 aus dem Abgleich entfernen möchten, klicken Sie daneben auf (X). Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde. Wenn alle Objekte in einem Kriterium gelöscht werden, wird das Kriterium entfernt.
ist und ist nicht: gibt an, ob der MFA-Anbieter aktiviert werden muss, wenn eine Benutzerverbindung allen Kriterien entspricht. Klicken Sie auf den Link, um zwischen den beiden Optionen zu wechseln. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Konfigurieren: bearbeitet die Liste der abzugleichenden Objekte. Klicken Sie auf diesen Link, um neue Objekte hinzuzufügen oder zu löschen. Beachten Sie, dass für das erste Kriterium (Benutzer oder Gruppe) dieser Link jeder heißt. Es ändert sich in Konfigurieren, sobald Sie Objekte für dieses Kriterium angeben.