Login  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützungssymbol
miniOrange E-Mail-Support
Erfolg

Vielen Dank für Ihre Anfrage. Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

So richten Sie 2FA/MFA für Windows-Anmeldung und RDP ein

Angesichts der zunehmenden Zahl passwortbasierter Sicherheitsverletzungen reicht es nicht mehr aus, sich zur Sicherung lokaler Windows-Anmeldungen oder des Remote Desktop Protocol (RDP) nur auf Benutzernamen und Passwörter zu verlassen. Cyber-Angreifer können schwache oder gestohlene Anmeldeinformationen leicht ausnutzen und so Ihre geschäftskritischen Systeme gefährden.

Aus diesem Grund wenden sich Organisationen heute an die miniOrange MFA-Produkt, das eine zusätzliche Sicherheitsebene in Form von Zwei-Faktor-Authentifizierung (2FA) unbefugten Zugriff zu verhindern.

Warum sollten Sie sich für miniOrange MFA für Windows und RDP entscheiden?

Die miniOrange Windows Zwei-Faktor-Authentifizierung (2FA) Die Lösung schützt vor Passwortmissbrauch durch die Einführung zweier aufeinanderfolgender Authentifizierungsebenen.

    1. Erster Faktor: Standardmäßige Windows AD-Anmeldeinformationen des Benutzers.

    2. Zweiter Faktor: Eine sichere Authentifizierungsmethode ausgewählt aus Mehr als 15 Authentifizierungsmethoden angeboten von miniOrange, einschließlich OTPs, Push-Benachrichtigungen, biometrischer Authentifizierung, Hardware-Token und mehr.

Hauptfunktionen von miniOrange Windows MFA/2FA

  • 2FA für Benutzerzugriffssteuerungs-(UAC)-Anforderungen zur Rechteerweiterung
  • Schnelle Bereitstellung über Gruppenrichtlinienobjekt (GPO), Push oder Import-/Exportfunktion
  • Self-Service-Kennwortzurücksetzung (SSPR) Fähigkeit
  • Azure AD- oder lokale AD-Integration über LDAP
  • Passwortlose Anmeldung ganz ohne irgendetwas tun oder drücken zu müssen.
  • Maschinenbasierte 2FA
  • Offline-2FA

Durch den Einsatz des 2FA-Produkts von miniOrange können Unternehmen Windows- und RDP-Umgebungen vor Diebstahl von Anmeldeinformationen, Phishing und Brute-Force-Angriffen schützen, sodass nur vertrauenswürdige Benutzer Zugriff erhalten.


Laden Sie das Windows 2FA-Modul herunter


Die miniOrange 2FA-Lösung für die Windows-Anmeldung und den Remotedesktopzugriff (RDP) unterstützt die folgenden Methoden zur Zwei-Faktor-Authentifizierung (2FA/MFA): -

AuthentifizierungsartMethodikUnterstützte
miniOrange-Authentifikator Soft-Token
miniOrange Push-Benachrichtigung
Mobiler Token Google Authenticator
Microsoft Authenticator
Authentifikator
SMSOTP über SMS
SMS mit Link
E-MailOTP über E-Mail
E-Mail mit Link
AnrufbestätigungOTP über Anruf
Hardware-Token YubiKey-Hardware-Token
Hardware-Token anzeigen

Systemanforderungen für den Anmeldeinformationsanbieter für die Zwei-Faktor-Authentifizierung (2FA/MFA) von miniOrange:

Der miniOrange Credential Provider für die Windows-Anmeldung und den RDP-Zugriff unterstützt sowohl Client- als auch Server-Betriebssysteme.

    Unterstützte Microsoft Windows-Clientversionen:

    • Windows-7 SP1
    • Windows 8.1
    • Windows 10
    • Windows 11

    Unterstützte Windows Server-Versionen (GUI und Core-Installationen):

    • Windows Server 2008 R2 SP1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

Neben dem Windows-Betriebssystem unterstützt miniOrange 2FA für MAC und Linux Betriebssysteme.

Kostenlose Installationshilfe erhalten - Buchen Sie einen Slot


miniOrange bietet kostenlose Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zur Installation oder Einrichtung der Zwei-Faktor-Authentifizierung (2FA) für die Windows-Anmeldung und RDP-Lösung in Ihrer Umgebung mit einer 30-tägigen Testversion.

Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen Slot zu buchen, und wir helfen Ihnen im Handumdrehen dabei, ihn einzurichten.



So funktioniert die Windows-Anmeldung mit 2FA


Architekturablauf für die Anmeldung unter Windows 2FA/MFA


Voraussetzungen für die Einrichtung der Windows Zwei-Faktor-Authentifizierung (2FA)

Schritt-für-Schritt-Anleitung zum Einrichten der Zwei-Faktor-Authentifizierung (2FA/MFA) für die Windows-Anmeldung

1. 2FA-Modul herunterladen

  • Hier klicken um das Windows 2FA/MFA-Modul herunterzuladen.

2. Richten Sie Ihr miniOrange-Dashboard für Windows 2FA ein

In diesem Schritt richten wir Ihre Einstellungen für die Zwei-Faktor-Authentifizierung (2FA) ein, wie zum Beispiel:

  • Welche Benutzer sollten bei der Windows-Anmeldung nach 2FA gefragt werden?
  • Welche 2FA-Methoden können sie verwenden?

2.1: Hinzufügen einer App und einer Richtlinie für die Zwei-Faktor-Authentifizierung

  • Melden Sie sich bei miniOrange an Admin-Konsole.
  • Gehe zu Apps und klicken Sie auf Anwendung hinzufügen .
    • Fügen Sie eine Anwendung hinzu, um die Windows-Anmeldung 2FA/MFA einzurichten

  • Klicken Sie auf Desktop für App-Typen Dropdown-Liste.
    • Wählen Sie Desktop als Anwendungstyp, um Windows 2FA zu konfigurieren

  • Speichern Windows App auf miniOrange.
    • Fügen Sie eine Windows-App hinzu, um die Zwei-Faktor-Authentifizierung einzurichten

  • Geben Sie auf der Registerkarte „Basis“ Folgendes ein: Display Name. Die Beschreibung ist optional.
    • Windows und RDP Zwei-Faktor-Authentifizierung (2FA/MFA) erwähnen App-Namen

  • Klicke Gespeichert Um fortzufahren, werden Sie automatisch weitergeleitet zu Richtlinien Tab.
  • Dann klick Richtlinie hinzufügen um eine Richtlinie für Ihre Anwendung festzulegen.
    • Administratorhandbuch für die miniOrange Identity Platform: Gehen Sie zu „Richtlinien“ und fügen Sie eine Richtlinie hinzu

  • Es wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, die folgenden Details einzugeben:
    Gruppenname Wählen Sie die Gruppe aus, für die Sie diese Richtlinie hinzufügen möchten. Klicken Sie hier, um für mehrere Gruppen mehrere/separate Richtlinien hinzuzufügen.
    Versicherungsname Sie können der Authentifizierungsrichtlinie einen Namen geben.
    Erster Faktor Wählen Sie die Anmeldemethode als Mit und ohne Passwort. Sie können bei Bedarf die Zwei-Faktor-Authentifizierung (MFA), die adaptive Authentifizierung und „MFA bei jedem Anmeldeversuch erzwingen“ aktivieren.
    • Wählen Sie als Anmeldemethode „Passwort“ aus, um die Zwei-Faktor-Authentifizierung zu konfigurieren

  • Klicke Anfrage senden , um die Richtlinie hinzuzufügen.
  • Nach der Übermittlung wird die neu hinzugefügte Richtlinie in der Liste angezeigt.
    • miniOrange Identity Platform Admin Handbook: Desktop-Richtlinie wurde erfolgreich hinzugefügt

2.2: Wählen Sie aus, welche 2FA-Optionen die Benutzer verwenden können.

  • Gehe zu 2-Faktor-Authentifizierung >> 2FA-Optionen für Endbenutzer
    • Wählen Sie die Windows 2FA-Authentifizierungsmethode für Endbenutzer

  • Deaktivieren Sie die Methoden, die Ihre Benutzer nicht für 2FA konfigurieren oder verwenden sollen.
    • Deaktivieren Sie 2FA-Methoden, die nicht angezeigt werden sollen

3. Einrichten des miniOrange Zwei-Faktor-Authentifizierungs-Anmeldeinformationsanbieters (2FA/MFA) für die Windows-Anmeldung

  • Öffne miniOrange 2FA-Konfiguration im Startmenü

    • Konfigurieren des Windows 2FA-Anmeldeinformationsanbieters

  • Stellen Sie sicher, dass der Status „miniOrange-Dienst“ ausgeführt wird und im Abschnitt „Credential Provider/GINA-Status“ die Angaben „Registriert“ und „Aktiviert“ auf „Ja“ stehen. Wenn einer dieser Punkte nicht wie vorgesehen ist, lesen Sie diese FAQ, um das Problem zu beheben.
    • Status des Windows-Anmeldeinformationsanbieters wird ausgeführt, um die Zwei-Faktor-Authentifizierung einzurichten

3.a : Integrieren Sie das Modul in Ihr miniOrange-Konto.

  • Klicken Sie auf Plugin-Auswahl, Doppelklicken Sie auf miniOrange unter Plugin-Name.
    • Auswahl des Microsoft Windows MFA-Plugins

  • Ein 2FA-Konfigurationsformular wird geöffnet

    • Hinweis:

    Wenn Sie eine lokale IDP-Anwendung verwenden, ersetzen Sie die IDP-Server-URL durch die Basis-URL Ihrer lokalen IDP-Anwendung und stellen Sie sicher, dass die URL von diesem Computer aus zugänglich ist. Sie können auch die IP des Servers verwenden, auf dem die IDP-Anwendung gehostet wird.


    Windows RDP 2FA einrichten

  • Um diese Angaben einzugeben, melden Sie sich bei Ihrem miniOrange-Administratorkonto in der Cloud oder vor Ort an.
  • Klicken Sie auf Einstellungen Zahnrad in der oberen rechten Ecke.
    • Wählen Sie Produkteinstellungen aus, um die Windows-Zwei-Faktor-Authentifizierung (2FA) zu konfigurieren.

  • Kopieren Sie die Kundenschlüssel und Kunden-API-Schlüssel.
    • Kunden- und API-Schlüssel für Windows-Anmeldung 2FA kopieren

  • Gehen Sie jetzt zu Apps und kopieren Sie den Namen der in Schritt 2 erstellten Windows-Anwendung.
    • Kopieren Sie den Namen der Windows-Anwendung, um 2FA/MFA einzurichten

  • Fügen Sie alle Angaben in das Formular ein und klicken Sie auf Gespeichert. Lassen Sie die Kontrollkästchen wie sie sind. Mehr dazu später.
    • Komplette Windows 2FA-Anmeldekonfiguration

3.b: Domäne konfigurieren

    Hinweis:

    Überspringen Sie diesen Schritt, wenn Sie dies nicht auf einem einer Domäne angehörenden Computer konfigurieren.


  • Doppelklicken Sie im Reiter Plugin-Auswahl auf Domänenbenutzeranmeldung.
    • Doppelklicken Sie in der Plugins-Auswahl auf Domain-Benutzeranmeldung

  • Ersetzen Sie den Domänennamen durch Ihre AD-Domäne, die vor dem Benutzernamen verwendet wird.
    • Ersetzen Sie den Domänennamen durch die AD-Domäne für die Windows 2FA-Anmeldung

  • Um Ihren Domänennamen zu überprüfen, können Sie auch den Befehl verwenden: SET USERDOMAIN
  • Klicken Sie auf Gespeichert.

3.c: Test der Multi-Faktor-Authentifizierung

    Hinweis: Bitte stellen Sie sicher, dass zu diesem Zeitpunkt der Benutzer mit demselben Benutzernamen wie Windows in miniOrange vorhanden ist und 2FA eingerichtet hat.
    Anweisungen zum Einrichten von 2FA über die Self-Service-Konsole finden Sie unter diesen Link.


  • Klicken Sie auf die Schaltfläche „MFA testen“.
    • Testen Sie die Microsoft Windows 2FA/MFA-Anmeldung

  • Geben Sie den Benutzernamen Ihrer Maschine ein, der auch in miniOrange vorhanden ist, und klicken Sie auf MFA testen.
    • Testen der Einrichtung der Windows-Zwei-Faktor-Authentifizierung (2FA)

  • Sie werden aufgefordert, eine der von Ihnen konfigurierten MFA-Methoden auszuwählen. Wählen Sie eine Methode aus und klicken Sie auf Weiter
    • Wählen Sie Ihre bevorzugte Zwei-Faktor-Authentifizierungsmethode (2FA)

  • Validierung bereitstellen,
    • Wenn Sie nach OTP gefragt werden, geben Sie OTP ein und klicken Sie auf „Anmelden“.
      • Geben Sie OTP ein, um die Einrichtung von Windows 2FA zu bestätigen

      OR

    • Wenn Sie per Push-Benachrichtigung zur Genehmigung aufgefordert werden, akzeptieren Sie die Push-Benachrichtigung auf Ihrem Telefon
      • Einrichten von Push-Benachrichtigungen für die Zwei-Faktor-Authentifizierung unter Windows

    • Nach erfolgreicher Validierung wird die Meldung Test erfolgreich angezeigt.

4. Verwenden Sie beim Login miniOrange 2FA

  • Nachdem Sie den Computer gesperrt oder sich angemeldet haben, sollte die Anmeldeseite von miniOrange angezeigt werden. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein.

    Hinweis: Das Logo und die Nachricht auf der Anmeldeseite können über die Registerkarte „Allgemein“ in den miniOrange-Konfigurationen angepasst werden.

    • Anmeldeseite für die Windows-Zwei-Faktor-Authentifizierung (2FA)

  • Wenn Sie RDP verwenden, stellen Sie eine RDP-Verbindung mit Benutzername und Passwort her.
  • Sie sehen die 2FA-Eingabeaufforderung. Wählen Sie eine 2FA-Option aus und bestätigen Sie sie.
  • Sie werden in Ihr Konto eingeloggt.

4.a : Andere Anmeldemethoden deaktivieren (Optional)

  • Gehen Sie zur Registerkarte „Optionen des Anmeldeinformationsanbieters“.
  • Aktivieren Sie das Kontrollkästchen „MiniOrange 2FA bei der Anmeldung erzwingen“.
    • Erzwingen Sie miniOrange 2FA bei jedem Windows Remote-Login

  • Klicken Sie auf Übernehmen.

5. Adaptive Authentifizierung

Hinweis : Gerätebasierte Einschränkungen können nicht auf Windows-Geräte angewendet werden.


    A. Aktivieren der adaptiven Authentifizierungsrichtlinie

  • Um die adaptive Authentifizierung unter Windows zu aktivieren, fügen Sie das App-Geheimnis im MFA-Agenten hinzu. Step2.1
    • Microsoft Windows MFA-Plugin-Auswahl: Klicken Sie auf Konfigurieren

    2FA-Plugin-Konfigurationen öffnen, App-Geheimnis einfügen

  • Melden Sie sich im Admin-Dashboard an und gehen Sie dann zu Adaptive Authentifizierung >> Richtlinie hinzufügen .
    • Melden Sie sich im miniOrange-Admin-Dashboard an und gehen Sie zu Adaptive Authentication.

    IP-Konfiguration

    Bei der IP-Einschränkung konfiguriert der Administrator eine Liste von IP-Adressen, um den Zugriff zuzulassen oder zu verweigern. Wenn ein Benutzer versucht, sich bei einer der mit adaptiver Authentifizierung konfigurierten Anwendungen anzumelden, wird seine IP-Adresse mit der konfigurierten IP-Liste abgeglichen und auf dieser Grundlage wird die Aktion gemäß der Konfiguration entschieden (d. h. Zulassen, Verweigern oder Anfordern).

    So konfigurieren Sie die IP-Adresse:

    • Auf dem Richtlinie hinzufügen Registerkarte, wählen Sie die IP-Konfiguration und klicken Sie auf Bearbeiten .
      • Gehen Sie zu Adaptive Authentifizierung: Klicken Sie auf Richtlinie hinzufügen

    • Klicken Sie auf IP hinzufügen.
    • Geben Sie die IP-Adresse an, die Sie auf die Whitelist setzen möchten. Für andere IP-Bereiche als die auf der Whitelist können Sie die oben stehende Einstellung auswählen.
    • Wählen Sie entweder „Zulassen“ oder „Ablehnen“, indem Sie das Optionsfeld daneben aktivieren.
    • Wenn ein Benutzer versucht, sich mit der auf der Whitelist stehenden IP-Adresse anzumelden, wird ihm immer der Zugriff gestattet.
    • Wir unterstützen IP-Adressbereiche in drei Formaten, nämlich: IPv4, IPv4 CIDR und IPv6 CIDR. Sie können aus dem Dropdown-Menü auswählen, was für Sie geeignet ist.
    • Sie können mehrere IP-Adressen und IP-Bereiche hinzufügen, indem Sie auf das + Taste.
      • Adaptive Authentifizierung: IP-Konfiguration

    • Bevor Sie speichern, besuchen Sie die Maßnahmen zur Verhaltensänderung .
    • Sobald die Änderungen vorgenommen wurden, scrollen Sie nach unten und klicken Sie auf Gespeichert.

    Standortkonfiguration

    In Standortbeschränkungen konfiguriert der Administrator eine Liste von Standorten, an denen Endbenutzer sich je nach den vom Administrator festgelegten Bedingungen anmelden können oder nicht. Wenn ein Benutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine Standortattribute wie Breitengrad, Längengrad und Ländercode anhand der vom Administrator konfigurierten Standortliste überprüft. Auf dieser Grundlage wird dem Benutzer der Zugriff erlaubt, verweigert oder verweigert.

    So konfigurieren Sie die standortbasierte Konfiguration:

    • Auf dem Richtlinie hinzufügen Navigieren Sie auf der Registerkarte „Standortkonfiguration“ zum Abschnitt „Standortkonfiguration“.
      • Adaptive Authentifizierung – Richtlinie hinzufügen

    • Geben Sie die Standortnamen und wählen Sie es aus den Suchergebnissen aus.
    • Fügen Sie In und um die Entfernung für Ihren Standort.
    • Wählen Sie die Entfernungseinheit aus dem Dropdown-Menü aus. KMS or Meilen.
    • Aktivieren oder deaktivieren Sie den Schalter, um den Zugriff für jeden Standort zu erlauben oder zu verweigern.
    • Klicken Sie auf + Taste Um weitere Standorte hinzuzufügen, wiederholen Sie die oben genannten Schritte.
      • Adaptive Authentifizierung: Standortkonfiguration

    • Bevor Sie speichern, besuchen Sie die Maßnahmen zur Verhaltensänderung .
    • Scrollen Sie nach unten und klicken Sie auf Gespeichert.

    Konfiguration des Zugriffszeitpunkts

    Bei der Zeitbeschränkung konfiguriert der Administrator eine Zeitzone mit Start- und Endzeiten für diese Zeitzone. Je nach den Bedingungen in der Richtlinie wird Benutzern der Zugriff erlaubt, verweigert oder abgewiesen. Wenn ein Endbenutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine zeitzonenbezogenen Attribute wie Zeitzone und aktuelle Systemzeit anhand der vom Administrator konfigurierten Liste überprüft. Je nach Konfiguration wird dem Benutzer der Zugriff erlaubt, verweigert oder abgewiesen.

    So konfigurieren Sie die zeitbasierte Konfiguration:

    • Auf dem Richtlinie hinzufügen Navigieren Sie auf der Registerkarte „Konfiguration des Zugriffszeitpunkts“ zum Abschnitt „Konfiguration des Zugriffszeitpunkts“.
      • Adaptive Authentifizierung: Richtlinie hinzufügen

    • Wählen Sie in der Liste „Zeitzone auswählen“ die gewünschte Zeitzone aus. Wählen Sie in den Listen „Startzeit“ und „Endzeit“ die entsprechenden Werte aus. Sie können jede hinzugefügte Zeitkonfiguration zulassen oder ablehnen, indem Sie den Schalter daneben aktivieren bzw. deaktivieren.
    • Geben Sie den Wert in Minuten in das Eingabefeld neben der zulässigen Zeitdifferenz für die Betrugspräventionsprüfung ein. Mit diesem Wert können Sie eine gewisse Zeitspanne vor Ihrer Startzeit und nach Ihrer Endzeit festlegen. (Wenn also die Startzeit 6:6 Uhr und die Endzeit 30:5 Uhr ist und die Zeitdifferenz auf 30 Minuten eingestellt ist, berücksichtigt die Richtlinie die Zeit von 6:30 Uhr bis 15:XNUMX Uhr.) Wenn in diesem Feld kein Wert eingegeben wird, wird der Standardwert von XNUMX Minuten verwendet.
    • Sie können auf die Schaltfläche Schaltfläche „Zeit hinzufügen“ um mehr als eine Zeitkonfiguration einzuschließen und folgen Sie dann dem obigen Schritt.
      • Adaptive Authentifizierung: Konfiguration des Zugriffszeitpunkts

    Maßnahmen zur Verhaltensänderung

    Sie können eine der drei möglichen Aktionen für Ihre adaptive Authentifizierungsrichtlinie konfigurieren, wie unten erläutert:

    Adaptive Authentifizierung: Maßnahmen zur Verhaltensänderung

    Attribut Beschreibung
    Erlauben Erlauben Sie Benutzern die Authentifizierung und Nutzung von Diensten, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
    Ablehnen Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
    Herausforderung Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.

    Optionen für den Herausforderungstyp:

    Faktoren Beschreibung
    Benutzer zweiter Faktor Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel
    • OTP über SMS
    • Push-Benachrichtigung
    • OTP über E-Mail und viele mehr.
    KBA Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn beide Fragen richtig beantwortet wurden, kann der Benutzer fortfahren.
    OTP über alternative E-Mail Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self-Service-Konsole konfiguriert hat. Sobald der Benutzer das richtige OTP angegeben hat, kann er fortfahren.

    B. Wenden Sie die adaptive Authentifizierungsrichtlinie in der App an.

    • Melden Sie sich im Admin-Dashboard an und gehen Sie dann zu Richtlinien >> Anmelderichtlinie hinzufügen.
    • Klicken Sie auf Bearbeiten Symboloption für vordefinierte App-Richtlinien.
      • Melden Sie sich im Admin-Dashboard an und gehen Sie zu Richtlinien > Anmelderichtlinie hinzufügen.

    • Legen Sie Ihre Richtlinie in der Versicherungsname und wählen Sie Passwort als Erster Faktor.
    • Ermöglichen Adaptive Authentifizierung on Anmelderichtlinie bearbeiten Seite und wählen Sie die erforderliche Option aus Einschränkungsmethode als eine Option.
    • Von dem Wählen Sie „Anmelderichtlinie“ Wählen Sie im Dropdown-Menü die erstellte Richtlinie aus. Schritt 2.1.
      • Klicken Sie auf das Bearbeitungssymbol, um die vordefinierte App-Richtlinie aufzurufen und die adaptive Authentifizierung zu aktivieren.

      Wählen Sie im Dropdown-Menü die Anmelderichtlinie aus und aktivieren Sie die Option IP-Beschränkung.


    • Klicke Anfrage senden um politische Änderungen umzusetzen.

6. Bereitstellung mithilfe von Gruppenrichtlinien

Informationen zur Bereitstellung und Konfiguration mithilfe von Gruppenrichtlinien finden Sie in unserem miniOrange 2FA für Windows-Anmeldung – Gruppenrichtliniendokumentation.

Weitere Referenzen

miniOrange Credential Provider für Remote Desktop (RDP) und Windows-Anmeldung

Der Benutzer initiiert die Anmeldung bei Windows oder Remote Desktop Service entweder über einen Remote Desktop Client oder über die RD Web-Anmeldeseite seines Browsers. Anschließend wird die RADIUS-Anforderung von der auf dem Zielcomputer installierten miniOrange RD Web-Komponente an den miniOrange RADIUS-Server gesendet, der den Benutzer über Local AD authentifiziert. Nach erfolgreicher Authentifizierung wird die Zwei-Faktor-Authentifizierung (2FA) des Benutzers aufgerufen. Nachdem sich der Benutzer validiert hat, wird ihm Zugriff auf den Remote Desktop Service (RDP) gewährt.


Ein Benutzer kann auf drei Arten versuchen, eine Verbindung zu RDS (Remote Desktop Protocol - RDP) herzustellen:

  • RDC – Remotedesktopclient: Wenn die RemoteApp über eine Remotedesktop-Clientanwendung gestartet wird, validieren die Benutzer ihre Zwei-Faktor-Authentifizierung, während sie Benutzernamen und Kennwort eingeben, um Zugriff auf die Ressourcen zu erhalten. (da diese Methode keine Access-Challenge-Response unterstützt, werden nur Out-of-Band-Authentifizierungsmethoden unterstützt).
  • RD Web Access - RD-Anmeldeseite über den Browser: Wenn der Desktop oder die RemoteApp über eine RD-Web-Anmeldeseite gestartet wird, erfolgt die anfängliche Benutzerauthentifizierung über das AD des Computers. Anschließend fordert miniOrange den Benutzer über eine RADIUS-Challenge-Anforderung zur Zwei-Faktor-Authentifizierung auf. Nachdem sich die Benutzer korrekt authentifiziert haben, werden sie mit ihren Ressourcen verbunden.
  • RD-Gateway: Wenn die Ressourcen oder Server der Organisation durch ein Remote Desktop Gateway geschützt sind, können Sie zusätzlich eine Zwei-Faktor-Authentifizierung einrichten. Die Authentifizierung der ersten Ebene erfolgt mit den AD-Anmeldeinformationen. Anschließend fordert miniOrange zur konfigurierten Zwei-Faktor-Authentifizierung auf.
    Lesen Sie die Anleitung zum Einrichten von RD Gateway 2FA

Zwei-Faktor-Authentifizierung (2FA/MFA) für RDS über RD Web

  • In diesem Fall geht der Benutzer von seinem Browser aus zur RD-Web-Anmeldeseite, um eine Verbindung zum Remotedesktopdienst herzustellen. Er gibt seinen Benutzernamen und sein Kennwort ein. Nach der Übermittlung wird die RADIUS-Anforderung der auf dem Zielcomputer installierten RD-Web-Komponente an den miniOrange RADIUS-Server gesendet, der den Benutzer über das lokale AD auf dem Zielcomputer authentifiziert.
  • Nach der Authentifizierung sendet es eine RADIUS-Challenge an RD Web und RD Web zeigt nun den OTP-Bildschirm im Browser an. Sobald der Benutzer den Einmalpasscode eingibt, überprüft der Miniorange IdP ihn und gewährt/verweigert den Zugriff auf den RDS.
  • Damit kann der Benutzer, nachdem er mit dem Remotedesktopdienst verbunden wurde, auch auf die veröffentlichten Remote-App-Symbole auf seinem Browserbildschirm zugreifen, da die Sitzung bereits für den Benutzer erstellt wurde. Erfahren Sie mehr über Remote Desktop (RD) Web 2FA

RDS MFA über den RD-Webdemonstrationsbenutzerfluss


Häufig gestellte Fragen (FAQs)

Was ist die Zwei-Faktor-Authentifizierung von Windows?

Bei der Zwei-Faktor-Authentifizierung (2FA) von Windows müssen Benutzer ihre Identität mit zwei separaten Faktoren verifizieren, bevor sie Zugriff auf ihren Windows-Computer oder Remotedesktop (RDP) erhalten.

Ist für die Windows-Anmeldung in meiner Organisation eine Zwei-Faktor-Authentifizierung erforderlich?

Ja, passwortbasierte Sicherheit allein reicht nicht mehr aus, insbesondere angesichts der zunehmenden Zahl von Phishing- und Brute-Force-Angriffen. Die Implementierung von Windows MFA mit miniOrange stellt sicher, dass selbst bei kompromittierten Passwörtern unbefugte Benutzer keinen Zugriff erhalten.

Welche Windows 2FA-Lösung eignet sich für den Einsatz in meiner Organisation?

Die ideale Wahl ist die, die Sicherheit, Flexibilität und einfache Bereitstellung vereint. Das miniOrange Windows MFA-Produkt ist genau dafür konzipiert.

Wie funktioniert 2FA für die Windows-Anmeldung?

  • Erstanmeldung: Benutzer geben ihre AD-Domänenanmeldeinformationen ein oder verwenden miniOrange, um ihre Identität zu bestätigen.
  • Zweiter Faktor: Benutzer erhalten einen zeitkritischen Authentifizierungscode per SMS, E-Mail oder über einen Drittanbieter-Authentifizierungsanbieter. Sie müssen diesen Code eingeben, um fortzufahren.
  • Zugriff gewährt: Nach erfolgreicher Codeeingabe werden Benutzer an ihren Windows-Rechnern angemeldet.

Externe Referenzen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren