Konfigurieren von MFA für einen Computer oder Server

Mit der Logon App kann die Authentifizierung eines Benutzers bei einem Computer oder Server obligatorisch gemacht werden. Dazu gehört auch der Schutz für RDP und RD Gateway.

Die Logon App besteht aus zwei Teilen:

Um MFA für einen Computer oder Server zu konfigurieren, müssen Sie eine Ressource für die Logon App in der AuthPoint-Verwaltungsoberfläche konfigurieren und dann die Logon App auf jedem Computer oder Server installieren, den Sie schützen möchten. Für Remote Desktop und RDS-Verbindungen installieren Sie die Logon App auf den Hosts, bei denen sich die Benutzer authentifizieren. Um den RD Gateway-Server selbst zu schützen, installieren Sie die Logon App auf dem Server. Um die Hosts hinter dem RD Gateway zu schützen, installieren Sie die Logon App auf den Hosts.

Wenn Sie die Logon App installieren, ist eine Authentifizierung erforderlich, um sich anzumelden. Auf dem Anmeldebildschirm müssen die Benutzer ihr Passwort eingeben und dann eine der zulässigen Authentifizierungsmethoden auswählen (Push-Benachrichtigung, Einmalpasswort oder QR-Code).

Die Logon App unterstützt nur die Passwortauthentifizierung für die erste Benutzeranmeldung. Wenn Sie die Logon App auf einem Computer installieren, der biometrische Funktionen wie Touch ID oder Windows Hello unterstützt, können Benutzer diese Funktionen nicht für die Anmeldung verwenden. Die Benutzer müssen sich mit einem Passwort und AuthPoint MFA anmelden. Nach der ersten Anmeldung können die Benutzer biometrische Daten verwenden.

Benutzer können sich mit Domänen- oder lokalen Benutzerkonten anmelden, aber alle Benutzer müssen ein aktives AuthPoint-Benutzerkonto mit einer Authentifizierungsregel für die Logon App haben. Benutzer, die kein AuthPoint-Benutzerkonto mit einer Authentifizierungsregel für die Logon App haben, können sich nicht authentifizieren und an einem Computer anmelden, auf dem die Logon App installiert ist, es sei denn, Sie aktivieren die Option, bestimmten Nicht-AuthPoint-Benutzern zu erlauben, sich ohne MFA anzumelden.

Wenn Ihre AuthPoint-Lizenz abläuft oder Sie Ihre Logon App-Ressource löschen, können sich die Benutzer nur mit ihrem Passwort an ihren Computern anmelden.

Sie können die Logon App von der Seite Downloads in der AuthPoint-VerwaltungsoberflächeI herunterladen.

Anforderungen

Wenn Sie die Logon App einrichten und bereitstellen, sollten Sie diese Anforderungen beachten:

  • Alle Domänen- und lokalen Benutzer müssen ein aktives AuthPoint-Benutzerkonto haben und Teil einer AuthPoint-Gruppe mit einer Authentifizierungsregel sein, damit die Logon App sich authentifizieren und anmelden kann

    Sie können die Option aktivieren, um bestimmten Nicht-AuthPoint-Benutzern zu erlauben, sich ohne MFA für Benutzer anzumelden, die kein AuthPoint-Benutzerkonto haben.

  • Der Benutzername für lokale und Domänen-Benutzer muss mit dem AuthPoint-Benutzernamen identisch sein
  • Um sich als lokaler Benutzer (und nicht als Teil der Domäne) anzumelden, müssen Sie ein AuthPoint-Benutzerkonto mit einem aktiven Token haben
  • Wenn Ihr lokaler Benutzer denselben Benutzernamen hat wie Ihr Domänenbenutzer, können Sie denselben AuthPoint-Benutzer zur Authentifizierung und Anmeldung bei beiden Konten verwenden
  • Wenn sich Ihr lokaler Benutzername von Ihrem Domänen-Benutzernamen unterscheidet, müssen Sie für jedes Benutzerkonto einen eigenen AuthPoint-Benutzer haben (einen für den Domänen-Benutzer und einen für den lokalen Benutzer)
  • Wenn Sie die Logon App installieren, muss der Computer mit dem Internet verbunden sein, bevor Sie sich zum ersten Mal anmelden
  • Wenn Sie die Logon App auf einem Computer in einer Active Directory-Domäne installieren, müssen Sie eine Gruppenregel konfigurieren, damit sich Domänenbenutzer lokal authentifizieren (anmelden) können
  • Wenn Sie die Logon App auf einem Computer installieren, der biometrische Funktionen wie Touch ID oder Windows Hello unterstützt, können Benutzer diese Funktionen nicht für die Anmeldung verwenden

Installieren Sie die Logon App nicht auf Computern, auf denen Windows 7 oder älter läuft, oder auf Servern, auf denen Windows 2008 R2 oder älter läuft.

Hinzufügen einer Logon App-Ressource

Zu Beginn müssen Sie eine Ressource für die Logon App hinzufügen. Sie benötigen nicht für jeden Computer, auf dem die Logo-App installiert ist, eine eigene Logon App-Ressource. Sie können eine Logon App-Ressource für alle Ihre Authentifizierungsregeln verwenden und zwar unabhängig vom Betriebssystem.

Nachdem Sie eine Logon App-Ressource in AuthPoint hinzugefügt haben, müssen Sie die Ressource zu Ihren bestehenden Authentifizierungsregeln hinzufügen oder neue Authentifizierungsregel für die Logon App-Ressource hinzufügen, die alle Benutzergruppen umfassen, die sich authentifizieren müssen, um sich an ihren Computern anzumelden.

Hinzufügen einer Logon App-Ressource:

  1. Wählen Sie Ressourcen.
  2. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option Logon App. Klicken Sie auf Ressource hinzufügen.

  1. Geben Sie auf der Seite Logon App im Textfeld Name einen Namen für diese Ressource ein.
  2. (Optional) Geben Sie in das Textfeld Support-Nachricht eine Nachricht ein, die auf dem Anmeldebildschirm angezeigt werden soll.
  3. Um bestimmten Benutzern, die kein AuthPoint-Benutzerkonto haben, zu erlauben, sich ohne MFA anzumelden, aktivieren Sie den Schalter Bestimmten Benutzern Anmeldung ohne MFA erlauben.

    Nicht-AuthPoint-Benutzer können sich nur dann ohne MFA anmelden, wenn ein AuthPoint-Konto mit demselben Benutzernamen nicht existiert.

  1. Geben Sie in das Textfeld Benutzernamen hinzufügen die Benutzernamen aller Nicht-AuthPoint-Benutzer ein, die sich ohne MFA anmelden können. Sie können bis zu 50 Nicht-AuthPoint-Benutzer angeben, die sich ohne MFA anmelden können.

  1. Klicken Sie auf Speichern.
  2. Fügen Sie die Logon App-Ressource zu Ihren bestehenden Authentifizierungsregeln hinzu, oder fügen Sie neue Authentifizierungsregeln für die Logon App-Ressource hinzu (siehe Über AuthPoint-Authentifizierungsregeln). Wir empfehlen, dass die Authentifizierungsregel für die Logon App die Authentifizierungsoptionen QR-Code oder OTP enthält, damit sich Benutzer auch ohne Internetverbindung authentifizieren können.

Die Logon App herunterladen und installieren

Sie können eine Windows-Eingabeaufforderung verwenden, um die Logon App zu installieren. Sie können auch die Befehlszeilenoption für die Bereitstellung über Active Directory-Gruppenregelobjekte (GPO) verwenden. Um die Logon App über eine Windows-Eingabeaufforderung zu installieren, müssen Sie die .MSI-Installationsdatei und die Konfigurationsdatei der Logon App herunterladen.

Wenn Sie die Logon App installieren, muss der Computer, auf dem Sie die Logon App installieren, mit dem Internet verbunden sein, bevor sich der Benutzer zum ersten Mal anmeldet. Dies ist erforderlich, damit die Logon App mit AuthPoint kommunizieren kann, um die Authentifizierungsregeln zu überprüfen.

Die Logon App speichert eine Kopie der Authentifizierungsregeln lokal auf dem Computer. Die Logon App verwendet diese lokale Regel, wenn sich ein Benutzer offline authentifiziert, und sie wird aktualisiert, wenn der Computer das nächste Mal mit dem Internet verbunden wird.

Laden Sie das Logon App-Installationsprogramm und die Konfigurationsdatei herunter

Herunterladen des Installationsprogramm und der Konfigurationsdatei der Logon App:

  1. Wählen Sie im Navigationsmenü Downloads.
    Die Seite Downloads wird angezeigt.
  2. Klicken Sie im Abschnitt Logon App neben Ihrem Betriebssystem auf Installationsprogramm herunterladen.
  3. Um die Konfigurationsdatei für die Logon App herunterzuladen, klicken Sie auf Konfiguration herunterladen. Sie können die gleiche Konfigurationsdatei für jede Installation der Logon App verwenden, und zwar unabhängig vom Betriebssystem.

Manuelle Installation der Logon App

Um die Logon App manuell zu installieren, verschieben Sie die heruntergeladene Konfigurationsdatei auf Ihrem Computer in das gleiche Verzeichnis wie das Installationsprogramm der Logon App (.MSI-Datei). Führen Sie das Installationsprogramm der Logon App aus und installieren Sie die Logon App auf dem Computer oder Server, den Sie schützen möchten.

Installieren Sie die Logon App von einer Windows-Eingabeaufforderung aus

So installieren Sie die Logon App über eine Windows-Eingabeaufforderung:

  1. Klicken Sie im Windows-Startmenü mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie Als Administrator ausführen.
    Ein Fenster der Windows-Eingabeaufforderung wird geöffnet.
  2. Wechseln Sie in das Verzeichnis, in dem sich die .MSI-Datei befindet.
  3. Führen Sie einen der folgenden Befehle aus, um das Installationsprogramm für die Logon App zu starten:
    • Pfad an die Konfigurationsdatei übergeben:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="C:/wlconfig.cfg"
    • Inhalt der Konfigurationsdatei übergeben:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"
    • Wenn sich das Installationsprogramm und die Konfigurationsdatei am selben Ort befinden:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi

    Stellen Sie sicher, dass der Befehl mit der Version des Installationsprogramms übereinstimmt, die Sie ausführen möchten.

    Um die Logon App im Hintergrund zu installieren, ohne dass eine Benutzerinteraktion erforderlich ist, hängen Sie /q oder /qn an den Befehl an. Um einen Neustart des Computers nach Abschluss der Installation zu verhindern, fügen Sie dem Befehl /norestart hinzu. Weitere Informationen finden Sie in der Microsoft-Dokumentation für den Befehl msiexec.

Verwenden Sie ein Active Directory GPO zur Installation der Logon App

Sie können die in der vorherigen Prozedur beschriebenen Befehle verwenden, um die Logon App über ein Active Directory-Gruppenrichtlinienobjekt (GPO) per Fernzugriff auf mehreren Computern zu installieren. Sie müssen eine Installationsmethode verwenden, die Befehlszeilenparameter unterstützt.

Es gibt zwei Methoden, ein GPO für die Installation aus einer .MSI-Datei mit Befehlszeilenparametern zu konfigurieren:

Aktualisieren der Logon App

Die Logon App wird nicht automatisch auf die neueste Version aktualisiert. Um die Logon App zu aktualisieren, müssen Sie die aktualisierte Version von Agent for Windows oder von Agent for macOS herunterladen und installieren. Die aktuelle Version von Agent ist auf der Seite Downloads verfügbar.

Sie müssen die Logon App nicht deinstallieren oder eine neue Konfigurationsdatei herunterladen, wenn Sie eine aktualisierte Version von Agent installieren.

Agent for Windows aktualisieren:

  1. Wählen Sie in der AuthPoint-Verwaltungsoberfläche Downloads.
  2. Klicken Sie im Abschnitt Logon App neben Ihrem Betriebssystem auf Installationsprogramm herunterladen. Sie müssen die Konfigurationsdatei nicht herunterladen.

  1. Führen Sie das heruntergeladene Installationsprogramm der Logon App auf dem Computer aus, oder befolgen Sie die Schritte in den vorherigen Abschnitten, um Agent über die Befehlszeile oder ein GPO zu installieren.

Deinstallieren Sie die Logon App

Sie können die Logon App deinstallieren, wenn Sie einen Computer oder Server nicht mehr mit AuthPoint MFA schützen müssen.

Wenn Ihre AuthPoint-Lizenz abläuft und die Logon App installiert ist, können sich Benutzer nur mit ihrem Passwort an ihren Computern anmelden.

Wenn die Benutzeranmeldung fehlschlägt, können Sie die Logon App auch deinstallieren, wenn sich der Computer im abgesicherten Modus befindet.

Der Windows Installer (msiserver) funktioniert standardmäßig nicht im abgesicherten Modus. Um das Windows-Installationsprogramm im abgesicherten Modus zu aktivieren, müssen Sie einen Registrierungsschlüssel ändern.

Authentifizierung mit der Logon App

Wenn die Logon App auf einem Computer installiert ist, ist eine Authentifizierung erforderlich, um sich anzumelden. Auf dem Anmeldebildschirm müssen die Benutzer ihr Passwort eingeben und dann eine der zulässigen Authentifizierungsmethoden auswählen. Welche Authentifizierungsmethoden zur Verfügung stehen, wird durch die höchste Authentifizierungsregel bestimmt, die die Logon App-Ressource und die Gruppe des Benutzers umfasst.

Wenn die Push-Authentifizierung aktiviert ist, können Benutzer das Kontrollkästchen Automatisch eine Push-Benachrichtigung senden, wenn ich mich anmelde aktivieren, um den Authentifizierungsprozess zu erleichtern. Wenn diese Option ausgewählt ist, sendet die Logon App automatisch eine Push-Benachrichtigung an den Benutzer, nachdem dieser seinen Benutzernamen und sein Passwort eingegeben hat.

Die Logon App unterstützt keine automatische Anmeldung bei Windows.

So melden Sie sich bei einem Computer an, auf dem die Logon App installiert ist:

  1. Geben Sie in das Textfeld Benutzername den Benutzernamen für Ihren Domänenbenutzer ein. Um sich als lokaler Benutzer anzumelden, geben Sie Ihren Benutzernamen als <hostname>\<username> ein.
  2. Geben Sie in das Textfeld Passwort Ihr Windows- oder Mac-Passwort ein. Für Active Directory-Benutzerkonten geben Sie Ihr AD-Passwort ein.
  3. Klicken Sie auf Weiter.
    Wenn MFA erforderlich ist, wird der Authentifizierungsbildschirm angezeigt. Wenn die Authentifizierungsregel für Ihre Gruppe nur ein Passwort erfordert, sind Sie angemeldet.
  4. Wenn MFA erforderlich ist, wählen Sie unter Anmeldeoptionen eine Authentifizierungsoption. Push ist die Standard-Authentifizierungsmethode. Wenn Sie eine andere Authentifizierungsoption auswählen, wird diese zur Standardauthentifizierungsmethode.

    Wenn Ihr Computer nicht mit dem Internet verbunden ist und eine MFA erforderlich ist, müssen Sie die Optionen Einmalpasswort oder QR-Code-Authentifizierung auswählen, um sich offline zu authentifizieren.

  5. Drücken Sie Eingabe oder Return und authentifizieren Sie sich.
    • Push — Genehmigen Sie die Push-Benachrichtigung, die an Ihr Mobilgerät gesendet wird.
    • QR-Code — Scannen Sie den QR-Code mit der AuthPoint Mobile App und geben Sie dann den in der App angezeigten Verifizierungscode ein.
    • Einmalpasswort — Geben Sie das Einmalpasswort für Ihr Token ein.

Wenn Ihr Token nicht mehr vorhanden ist, müssen Sie die Funktion Token vergessen verwenden, um sich an einem Computer anzumelden, auf dem die Logon App installiert ist. Weitere Informationen finden Sie unter Authentifizierung ohne Ihr Mobilgerät.

Siehe auch

MFA konfigurieren

Über AuthPoint-Authentifizierungsregeln

Über Authentifizierung