Konfiguration von MFA-Regeln
Die Multifaktor-Authentifizierung (MFA) kann für alle Benutzerverbindungen aktiviert oder deaktiviert werden, aber Sie können für bestimmte Verbindungen auch komplexe Regeln konfigurieren. Mit dieser Funktion können Sie verschiedene MFA für denselben Benutzer oder Computer erstellen, aktivieren oder deaktivieren, die je nachdem gelten, von wo und über welches Gerät sich der Benutzer angemeldet hat. Jeder MFA-Anbieter hat eine Regel, die aus einem oder mehreren Kriterien für den Abgleich mit Benutzer-Verbindungen besteht. Jedes Kriterium besteht wiederum aus einem oder mehreren spezifischen Objekten, die abgeglichen werden können.
Sie können die folgenden Objekte abgleichen:
Benutzer, eine Gruppe, zu der der Benutzer gehört, oder der Computer, von dem aus der Benutzer eine Verbindung herstellt
Das Secure Gateway, mit dem sich der Benutzer verbindet
Name des Client-Geräts
Betriebssystem des Client-Geräts
IP-Adresse
MAC-Adresse
Beachten Sie bitte folgende Hinweise zu den Regeln:
Die Kriterien werden mit dem AND-Operator verknüpft. Wenn eine Regel beispielsweise ein Kriterium enthält, das auf bestimmte IP-Adressen zutrifft, und ein Kriterium, das auf die Betriebssysteme der Client-Geräte zutrifft, wird die Regel angewendet, wenn eine Benutzer-Verbindung mit einer der IP-Adressen UND einem der Client-Betriebssysteme übereinstimmt.
Die Kriterien werden mit dem OR-Operator verknüpft. Wenn Sie z. B. nur ein Kriterium für passende Client-Geräte-Betriebssysteme erstellen, wird die Regel angewendet, wenn eines der Betriebssysteme mit der Client-Verbindung übereinstimmt.
So konfigurieren Sie eine Regel:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.
Klicken Sie auf den Link Beschränkungen.
Klicken Sie auf die Schaltfläche Bearbeiten.
Deaktivieren Sie die Option Standardeinstellungen erben.
Geben Sie die Kriterien für die Regel an. Folgende Steuerelemente sind verfügbar:
Erlauben: gibt an, dass der MFA-Anbieter aktiviert werden muss, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Erlauben, um die Option auf Ablehnen zu ändern.
Ablehnen: legt fest, dass die Richtlinie des MFA-Anbieters nicht aktiviert werden darf, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Ablehnen, um die Option auf Erlauben zu ändern.
(+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine MAC-Adresse abgleichen möchten, klicken Sie auf (+).
Ist: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Ist“, um dieses Steuerungselement auf Ist nicht zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Ist nicht: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien nicht entspricht. Klicken Sie auf Ist nicht“, um dieses Steuerungselement auf Ist zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Sie können die Kriterien auch aktivieren/deaktivieren, indem Sie links daneben auf den Schalter klicken.
Klicken Sie zum Abschluss auf Speichern.