MFA für einen Computer oder Server konfigurieren

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security

Mit der Logon App kann die Authentifizierung eines Benutzers bei einem Computer oder Server obligatorisch gemacht werden. Dazu gehört auch der Schutz für RDP und RD Gateway.

Die Logon App besteht aus zwei Teilen:

Um MFA für einen Computer oder Server zu konfigurieren, müssen Sie in der AuthPoint-Verwaltungsoberfläche eine Ressource für die Logon App konfigurieren und dann auf jedem Computer oder Server, den Sie schützen möchten, die Logon App installieren. Für Remote Desktop und RDS-Verbindungen installieren Sie die Logon App auf den Hosts, bei denen sich die Benutzer authentifizieren. Um den RD Gateway-Server selbst zu schützen, installieren Sie die Logon App auf dem Server. Um die Hosts hinter dem RD Gateway zu schützen, installieren Sie die Logon App auf den Hosts.

Wenn Sie die Logon App installieren, ist eine Authentifizierung erforderlich, um sich anzumelden. Auf dem Anmeldebildschirm müssen die Benutzer ihr Passwort eingeben und dann eine der zulässigen Authentifizierungsmethoden auswählen (Push-Benachrichtigung, Einmalpasswort oder QR-Code).

Für Mac- und Windows-Computer mit aktivierter Benutzerkontensteuerung (UAC), wird die MFA ferner benötigt, wenn Benutzer versuchen, eine Aktion durchzuführen, die administrative Berechtigungen erfordert, wie z. B. wenn sie zulassen, dass eine App Änderungen am Gerät vornimmt. Weitere Informationen über die Benutzerkontensteuerung von Windows finden Sie in der Microsoft-Dokumentation.

Benutzer können sich mit Domänen- oder lokalen Benutzerkonten anmelden, aber alle Benutzer müssen ein aktives AuthPoint-Benutzerkonto mit einer Authentifizierungsregel für die Logon App haben. Benutzer, die kein AuthPoint-Benutzerkonto mit einer Authentifizierungsregel für die Logon App haben, können sich nicht authentifizieren und an einem Computer anmelden, auf dem die Logon App installiert ist, es sei denn, Sie aktivieren die Option, Nicht-AuthPoint-Benutzern zu erlauben, sich ohne MFA anzumelden.

Wenn Ihre AuthPoint-Lizenz abläuft oder Sie Ihre Logon App-Ressource löschen, können sich die Benutzer nur mit ihrem Passwort an ihren Computern anmelden.

Sie können die Logon App von der Seite Downloads in der AuthPoint-Verwaltungsoberfläche herunterladen.

Anforderungen

Wenn Sie die Logon App einrichten und bereitstellen, sollten Sie diese Anforderungen beachten:

  • Alle Domänen- und lokalen Benutzer müssen ein aktives AuthPoint-Benutzerkonto haben und Teil einer AuthPoint-Gruppe mit einer Authentifizierungsregel sein, damit die Logon App sich authentifizieren und anmelden kann

    Sie können die Option aktivieren, um Nicht-AuthPoint-Benutzern zu erlauben, sich ohne MFA für Benutzer anzumelden, die kein AuthPoint-Benutzerkonto haben.

  • Der Benutzername für lokale und Domänen-Benutzer muss mit dem AuthPoint-Benutzernamen identisch sein
  • Mit Active Directory synchronisierte Benutzer können sich nur mit einem Benutzernamen an der Domäne\Benutzername anmelden, wenn der Computer an das Internet angeschlossen ist.
  • Um sich als lokaler Benutzer (und nicht als Teil der Domäne) anzumelden, müssen Sie ein AuthPoint-Benutzerkonto mit einem aktiven Token haben
  • Wenn Ihr lokaler Benutzer denselben Benutzernamen hat wie Ihr Domänenbenutzer, können Sie denselben AuthPoint-Benutzer zur Authentifizierung und Anmeldung bei beiden Konten verwenden
  • Wenn sich Ihr lokaler Benutzername von Ihrem Domänen-Benutzernamen unterscheidet, müssen Sie für jedes Benutzerkonto einen eigenen AuthPoint-Benutzer haben (einen für den Domänen-Benutzer und einen für den lokalen Benutzer)
  • Wenn Sie die Logon App installieren, muss der Computer mit dem Internet verbunden sein, bevor Sie sich zum ersten Mal anmelden

    Caution: Wir raten von der Verwendung der 802.1x-Authentifizierung für WLAN-Verbindungen ab. Wenn Ihr Computer nach der Installation von Agent für macOS automatisch eine Verbindung zu einem 802.1x-WLAN-Netzwerk herstellt und Sie Ihren Computer nicht für die 802.1x-Authentifizierung eingerichtet haben, können Sie keine Verbindung zum Internet herstellen und sich nicht anmelden, um Ihre WLAN-Verbindung zu ändern, da Agent eine Internetverbindung benötigt.

  • Wenn Sie die Logon App auf einem Computer in einer Active Directory-Domäne installieren, müssen Sie eine Gruppenregel konfigurieren, damit sich Domänenbenutzer lokal authentifizieren (anmelden) können
  • Damit das Benutzer-Login mit Windows Hello unterstützt wird, müssen Sie Agent für Windows v3.0 oder höher installieren
  • Damit das Benutzer-Login mit Touch ID unterstützt wird, müssen Sie Agent für macOS v2.0 oder höher installieren
  • Damit die MFA für die Windows-Benutzerkontensteuerung unterstützt wird, müssen Sie Logon App v3.1 oder höher installieren
  • Logon App unterstützt bis zu 30 gleichzeitige Benutzer-Logins ohne Internetverbindung
  • Informationen darüber, welche Betriebssysteme von Logon App unterstützt werden, finden Sie in den AuthPoint-Versionshinweisen unter Betriebssystem-Kompatibilität für AuthPoint-Komponenten.

WARNING: Installieren Sie die Logon App nicht auf Computern, auf denen Windows 7 oder älter läuft, oder auf Servern, auf denen Windows 2008 R2 oder älter läuft.

So fügen Sie eine Logon App-Ressource hinzu

Zu Beginn müssen Sie eine Ressource für die Logon App hinzufügen. Sie benötigen nicht für jeden Computer, auf dem die Logo-App installiert ist, eine eigene Logon App-Ressource. Sie können eine Logon App-Ressource für alle Ihre Authentifizierungsregeln verwenden und zwar unabhängig vom Betriebssystem.

Nachdem Sie eine Logon App-Ressource in AuthPoint hinzugefügt haben, müssen Sie die Ressource zu Ihren bestehenden Authentifizierungsregeln hinzufügen oder neue Authentifizierungsregel für die Logon App-Ressource hinzufügen, die alle Benutzergruppen umfassen, die sich authentifizieren müssen, um sich an ihren Computern anzumelden.

So fügen Sie eine Logon App-Ressource hinzu:

  1. Wählen Sie im AuthPoint-Navigationsmenü Ressourcen.

Screen shot of the Resources page.

  1. Klicken Sie auf Ressource hinzufügen.

    Die Seite Ressource hinzufügen wird geöffnet.

Screen shot of the Add Resource page.

  1. Wählen Sie aus der Dropdown-Liste Typ die Option Logon App.
    Es werden zusätzliche Felder angezeigt.

Screen shot of the Add Resource page.

  1. Geben Sie in das Textfeld Name einen Namen für diese Ressource ein.
  2. (Optional) Geben Sie in das Textfeld Support-Nachricht eine Nachricht ein, die auf dem Anmeldebildschirm angezeigt werden soll.

Screen shot of the Add Resource page.

  1. Wählen Sie in der Dropdown-Liste Zugriff für Nicht-AuthPoint-Benutzer, ob Sie Benutzern ohne AuthPoint- Benutzerkonto erlauben möchten, sich ohne MFA an geschützten Computern anzumelden. Sie können unter drei Optionen auswählen:
    • Keine Nicht-AuthPoint-Benutzer zulassen
    • Bestimmten Nicht-AuthPoint-Benutzern erlauben, sich ohne MFA anzumelden.
    • Allen Nicht-AuthPoint-Benutzern erlauben, sich ohne MFA anzumelden.

    Nicht-AuthPoint-Benutzer können sich nur dann ohne MFA anmelden, wenn kein AuthPoint-Benutzerkonto mit demselben Benutzernamen existiert.

  1. Wenn Sie entscheiden, dass sich bestimmte Nicht-AuthPoint-Benutzer ohne MFA anmelden können, geben Sie in das Textfeld Benutzernamen hinzufügen die Benutzernamen aller Nicht-AuthPoint-Benutzer ein, die sich ohne MFA anmelden dürfen. Sie können bis zu 50 Nicht-AuthPoint-Benutzer angeben, die sich ohne MFA anmelden dürfen.

Screen shot of the Add Resource page.

  1. Klicken Sie auf Speichern.
  2. Fügen Sie die Logon App-Ressource zu Ihren bestehenden Authentifizierungsregeln hinzu, oder fügen Sie neue Authentifizierungsregeln für die Logon App-Ressource hinzu (siehe Über AuthPoint-Authentifizierungsregeln). Wir empfehlen, dass die Authentifizierungsregel für die Logon App die Authentifizierungsoptionen QR-Code oder OTP enthält, damit sich Benutzer auch ohne Internetverbindung authentifizieren können.

Die Logon App herunterladen und installieren

Sie können eine Windows-Eingabeaufforderung verwenden, um die Logon App zu installieren. Sie können auch die Befehlszeilenoption für die Bereitstellung über Active Directory-Gruppenregelobjekte (GPO) verwenden. Um die Logon App über eine Windows-Eingabeaufforderung zu installieren, müssen Sie die .MSI-Installationsdatei und die Konfigurationsdatei der Logon App herunterladen.

Wenn Sie die Logon App installieren, muss der Computer, auf dem Sie die Logon App installieren, mit dem Internet verbunden sein, bevor sich der Benutzer zum ersten Mal anmeldet. Dies ist erforderlich, damit die Logon App mit AuthPoint kommunizieren kann, um die Authentifizierungsregeln zu überprüfen.

Die Logon App speichert eine Kopie der Authentifizierungsregeln lokal auf dem Computer. Die Logon App verwendet diese lokale Regeldatei, wenn sich ein Offline-Benutzer authentifiziert. Die lokale Regeldatei wird aktualisiert, wenn der Computer das nächste Mal mit dem Internet verbunden wird. Die lokale Regeldatei speichert Regelinformationen nur für die letzten 30 Benutzerkonten, die authentifiziert werden müssen. Wenn sich seit der letzten Anmeldung eines Benutzers an einem Computer 30 oder mehr andere Benutzer authentifiziert haben, ist für die Anmeldung eine Internetverbindung erforderlich.

Laden Sie das Logon App-Installationsprogramm und die Konfigurationsdatei herunter

Herunterladen des Installationsprogramms und der Konfigurationsdatei der Logon App:

  1. Wählen Sie im Navigationsmenü Downloads.
    Die Seite Downloads wird angezeigt.
  2. Klicken Sie im Abschnitt Logon App neben Ihrem Betriebssystem auf Installationsprogramm herunterladen.
  3. Um die Konfigurationsdatei für die Logon App herunterzuladen, klicken Sie auf Konfiguration herunterladen. Sie können die gleiche Konfigurationsdatei für jede Installation der Logon App verwenden, und zwar unabhängig vom Betriebssystem.

Screen shot that shows the Logon App section of the Downloads page.

Manuelle Installation der Logon App

Um die Logon App manuell zu installieren, verschieben Sie die heruntergeladene Konfigurationsdatei auf Ihrem Computer in das gleiche Verzeichnis wie das Installationsprogramm der Logon App (.MSI- und .PKG-Datei). Führen Sie das Installationsprogramm der Logon App aus und installieren Sie die Logon App auf dem Computer oder Server, den Sie schützen möchten.

Logon App über eine Windows-Eingabeaufforderung installieren

So installieren Sie die Logon App über eine Windows-Eingabeaufforderung:

  1. Klicken Sie im Windows-Startmenü mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie Als Administrator ausführen.
    Ein Fenster der Windows-Eingabeaufforderung wird geöffnet.
  2. Wechseln Sie in das Verzeichnis, in dem sich die .MSI-Datei befindet.
  3. Führen Sie einen der folgenden Befehle aus, um das Installationsprogramm für die Logon App zu starten:
    • Übergabe des Pfades an die Konfigurationsdatei:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="[path]\wlconfig.cfg"
    • Inhalt der Konfigurationsdatei übergeben:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"

    Stellen Sie sicher, dass der Befehl mit der Version des Installationsprogramms übereinstimmt, die Sie ausführen möchten.

    Um die Logon App im Hintergrund zu installieren, ohne dass eine Benutzerinteraktion erforderlich ist, hängen Sie /q oder /qn an den Befehl an. Um einen Neustart des Computers nach Abschluss der Installation zu verhindern, fügen Sie dem Befehl /norestart hinzu. Weitere Informationen finden Sie in der Microsoft-Dokumentation für den Befehl msiexec.

Ein Active Directory GPO zur Installation der Logon App verwenden

Sie können die im vorherigen Verfahren beschriebenen Befehle verwenden, um die Logon App über ein Active Directory-Gruppenrichtlinienobjekt (GPO) per Fernzugriff auf mehreren Computern zu installieren. Sie müssen eine Installationsmethode verwenden, die Befehlszeilenparameter unterstützt.

Sie können Ihr Skript so konfigurieren, dass die Installation der Logon App auf Computern verhindert wird, auf denen der Agent bereits installiert ist.

Es gibt zwei Methoden, ein GPO für die Installation aus einer .MSI-Datei mit Befehlszeilenparametern zu konfigurieren:

Konfigurieren Sie ein GPO für ein Start- oder Anmeldeskript, das eine Batchdatei ausführt, die die Logon App installiert. Die Batchdatei enthält nur eine Zeile, in der der Netzwerkpfad zur MSI-Datei angegeben ist. Die anderen Parameter sind dieselben wie im vorherigen Verfahren für die Installation von einer Windows-Eingabeaufforderung aus beschrieben.

  • Übergabe des Pfades an die Konfigurationsdatei:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="[path]\wlconfig.cfg"
  • Inhalt der Konfigurationsdatei übergeben:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"

Stellen Sie sicher, dass der Befehl mit der Version des Installationsprogramms übereinstimmt, die Sie ausführen möchten.

Erstellen Sie eine Transformationsdatei (.MST), die die erforderlichen Befehlszeilenparameter enthält. Das Orca-Tool zur Erstellung der MST-Datei ist im Windows SDK enthalten, das von Microsoft erhältlich ist.

So erstellen Sie die .MST-Datei in Orca:

  1. Öffnen Sie Orca.
  2. Wählen Sie Datei > Öffnen und wählen Sie die .MSI-Datei, die Sie heruntergeladen haben.
  3. Um eine neue Transformation zu starten, wählen Sie Transformieren > Neu Transformieren.
  4. Fügen Sie in der Liste Eigenschaft eine Eigenschaft hinzu:
    • Um den Pfad zur Konfigurationsdatei zu übergeben, fügen Sie die Eigenschaft CONFIG_PATH mit dem Pfad zur Konfigurationsdatei hinzu.
    • Um den Inhalt der Konfigurationsdatei zu übergeben, fügen Sie die Eigenschaft CONFIG_CONTENT mit dem Inhalt der Konfigurationsdatei (ohne Leerzeichen) hinzu.
    • Wenn sich das Installationsprogramm und die Konfigurationsdatei am selben Ort befinden, müssen Sie keine Eigenschaft hinzufügen.
  5. Um die Transformationsdatei zu generieren, wählen Sie Transformieren > Neu Transformieren.
  6. Um die Transformationsdatei zu speichern, wählen Sie Datei > Umgewandelt speichern unter.
  7. Kopieren Sie die ursprüngliche MSI-Datei in das Verzeichnis, das die MST-Datei enthält.
  8. Um die Installation manuell zu testen, geben Sie folgenden Befehl ein:
    install: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -t TRANSFORMS=[Logon app mst file]

    Stellen Sie sicher, dass der Befehl mit der Version des Installationsprogramms übereinstimmt, die Sie ausführen möchten.

Nachdem Sie die MST-Datei erstellt haben, erstellen Sie ein GPO für die Softwareinstallation, das sowohl die MSI- als auch die MST-Datei enthält.

So erstellen Sie ein GPO für die Softwareinstallation:

  1. Öffnen Sie den Editor für die Gruppenregelverwaltung.
  2. Navigieren Sie zu den Einstellungen für die Softwareinstallation.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu > Paket.
  4. Geben Sie den Netzwerkpfad zur MSI-Datei an.
  5. Wählen Sie Erweitert.
  6. Wählen Sie die Registerkarte Änderungen aus.
  7. Klicken Sie auf Hinzufügen.
  8. Geben Sie den Netzwerkpfad für die MST-Datei an.
  9. Klicken Sie auf OK.
  10. Klicken Sie im Windows-Startmenü mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie Als Administrator ausführen.
    Ein Fenster der Windows-Eingabeaufforderung wird geöffnet.
  11. Verwenden Sie gpupdatezur Aktualisierung der Gruppenregeleinstellungen.
  12. Um das GPO zu testen, starten Sie einen Computer in der Domäne neu.

Konfigurieren von Windows zum Anfordern von Zugangsdaten für UAC

Das Verhalten der Windows-UAC-Berechtigungsaufforderung kann so konfiguriert werden, dass Benutzer entweder zur Eingabe ihrer Zugangsdaten aufgefordert werden oder zur Genehmigung der Aktion (keine Zugangsdaten erforderlich). Damit AuthPoint Agent für Windows eine MFA für UAC-Aufforderungen erzwingen kann, muss der Computer so konfiguriert sein, dass für UAC-Aufforderungen Zugangsdaten erforderlich sind.

Sie können diese Einstellung über den Editor für Gruppenregeln konfigurieren.

  1. Öffnen Sie den Editor für Gruppenregeln.
  2. Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Regeln > Sicherheitsoptionen.
  3. Bearbeiten Sie die Regeleinstellungen für Gruppen und ändern Sie die Sicherheitseinstellungen Aufforderung für Zugangsdaten.
    • Benutzerkontensteuerung: Verhalten der Berechtigungsaufforderung für Standardbenutzer
    • Benutzerkontensteuerung: Verhalten der Berechtigungsaufforderung für Administratoren im Modus Administratorgenehmigung

Weitere Informationen finden Sie unter Einstellungen und Konfiguration der Benutzerkontensteuerung von Microsoft.

Aktualisieren der Logon App

Die Logon App wird nicht automatisch auf die neueste Version aktualisiert. Um die Logon App zu aktualisieren, müssen Sie die aktualisierte Version von Agent für Windows oder von Agent für macOS herunterladen und installieren. Die aktuelle Version von Agent ist auf der Seite Downloads verfügbar.

Sie müssen die Logon App nicht deinstallieren oder eine neue Konfigurationsdatei herunterladen, wenn Sie eine aktualisierte Version von Agent installieren.

Agent für Windows aktualisieren:

  1. Wählen Sie in der AuthPoint-Verwaltungsoberfläche Downloads.
  2. Klicken Sie im Abschnitt Logon App neben Ihrem Betriebssystem auf Installationsprogramm herunterladen. Sie müssen die Konfigurationsdatei nicht herunterladen.

Screen shot that shows the Logon app section of the Downloads page.

  1. Führen Sie das heruntergeladene Installationsprogramm der Logon App auf dem Computer aus, oder folgen Sie den Schritten in den vorherigen Abschnitten, um Agent über die Befehlszeile oder ein GPO zu installieren.

Deinstallieren Sie die Logon App

Sie können die Logon App deinstallieren, wenn Sie einen Computer oder Server nicht mehr mit AuthPoint MFA schützen müssen.

Wenn Ihre AuthPoint-Lizenz abläuft und die Logon App installiert ist, können sich Benutzer nur mit ihrem Passwort an ihren Computern anmelden.

  1. Öffnen Sie das Windows-Startmenü und wählen Sie Einstellungen.
  2. Navigieren Sie zu Programme & Funktionen.
  3. Wählen Sie AuthPoint Agent für Windows.
  4. Klicken Sie auf Deinstallieren.
  5. Nachdem die Logon App deinstalliert wurde, starten Sie Ihren Computer neu.

Um die Version 1.5.21 oder höher der Logon App für macOS zu deinstallieren, müssen Sie die Paketdatei Logon_App_for_Mac_uninstall.pkg ausführen.

  1. Navigieren Sie zu /Users/$USER/Applications/WatchGuard.
  2. Führen Sie die Paketdatei Logon_App_for_Mac_uninstall.pkg aus.
  3. Folgen Sie den Schritten des Wizards. Anschließend müssen Sie Ihren Computer neu starten.

Um die Version 1.5.20 oder niedriger der Logon App für macOS zu deinstallieren, müssen Sie die Terminal-App verwenden, um das Skript uninstall.sh auszuführen. Sie finden das Skript uninstall.sh im Ordner Programme (/Users/$USER/Applications/WatchGuard/uninstall.sh).

  1. Wenn der Computer startet, drücken Sie die Befehlstaste + S um in den Einzelbenutzermodus zu gelangen.
  2. Um die Festplatte auf Lese- und Schreibzugriff zu setzen, geben Sie den Befehl mount -o update / ein.
  3. Um das Deinstallationsskript auszuführen, geben Sie den Befehl sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh ein.
  4. Nachdem die Logon App deinstalliert wurde, starten Sie Ihren Computer neu.

Wenn die Benutzeranmeldung fehlschlägt, können Sie die Logon App auch deinstallieren, wenn sich der Computer im abgesicherten Modus befindet.

Der Windows Installer (msiserver) funktioniert standardmäßig nicht im abgesicherten Modus. Um das Windows-Installationsprogramm im abgesicherten Modus zu aktivieren, müssen Sie einen Registrierungsschlüssel ändern.

  1. Starten Sie Ihren Computer im abgesicherten Modus.
  2. Nachdem Sie sich angemeldet haben, geben Sie cmd in das Cortana-Suchfeld ein.
  3. Klicken Sie mit der rechten Maustaste auf die Anwendung Eingabeaufforderung und wählen Sie Als Administrator ausführen.
    Das Dialogfeld Benutzerkontensteuerung wird angezeigt.
  4. Klicken Sie auf Ja.
  5. Geben Sie im Dialogfeld Eingabeaufforderung einen dieser Befehle ein und drücken Sie Eingabe:
    • Wenn sich Ihr Computer im abgesicherten Modus befindet, geben Sie reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service" ein.
    • Wenn sich Ihr Computer im abgesicherten Netzwerk-Modus befindet, geben Sie reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service" ein.
  6. Um den msiserver zu starten, geben Sie in das Dialogfeld Eingabeaufforderung net start msiserver ein. Drücken Sie auf Eingabe.
  7. Sie können die Logon App jetzt im abgesicherten Modus deinstallieren:
    1. Öffnen Sie das Windows-Startmenü und wählen Sie Einstellungen.
    2. Navigieren Sie zu Programme & Funktionen.
    3. Wählen Sie AuthPoint Agent für Windows.
    4. Klicken Sie auf Deinstallieren.
  8. Nachdem die Logon App deinstalliert wurde, starten Sie Ihren Computer neu.
  1. Drücken und halten Sie die Tasten Strg (⌘)/ALT + R beim Start des Computers gedrückt.
    Das Apple-Logo erscheint.
  2. Lassen Sie die Tasten Strg (⌘)/ALT + R los, sobald die Wiederherstellungsoptionen angezeigt werden.
  3. Wenn FileVault beim Zugriff auf den Wiederherstellungsmodus aktiviert ist, werden Sie dazu aufgefordert, ein Konto anzugeben, dessen Passwort Sie kennen. Sie müssen das Laufwerk trennen und wieder anschließen, bevor Sie Logon App deinstallieren können. Ist FileVault deaktiviert, können Sie zu Schritt 4 übergehen.
    1. Wählen Sie das Benutzerkonto und geben Sie das Passwort ein, um das Laufwerk zu entsperren.
    2. Starten Sie die Disk Utility-Anwendung.
    3. Wählen Sie Macintosh HD.
    4. Um das Laufwerk zu trennen, wählen Sie Datei > Trennen.
    5. Um das Laufwerk wieder zu verbinden, wählen Sie Datei > Verbinden.
  4. Wählen Sie Anwendungen > Dienstprogramme.
  5. Geben Sie im Terminal-Fenster den Befehl cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/ ein.
  6. Geben Sie den Befehl sh .recovery.sh ein.
  7. Geben Sie Neustart ein.
  8. Melden Sie sich mit Ihrem Benutzernamen und Passwort an. Klicken Sie nach der Anmeldung auf das eingeblendete AuthPoint-Fenster und schließen Sie es.
  9. Um die Logon App zu deinstallieren, navigieren Sie zu /Users/$USER/Applications/WatchGuard.
  10. Führen Sie die Paketdatei Logon_App_for_Mac_uninstall.pkg aus.
  11. Folgen Sie den Schritten des Wizards. Anschließend müssen Sie Ihren Computer neu starten.

Authentifizierung mit der Logon App

Sobald Logon App auf einem Computer installiert ist, wird zur Anmeldung eine Authentifizierung benötigt. Auf dem Anmeldebildschirm müssen die Benutzer ihr Passwort eingeben und dann eine der zulässiger Authentifizierungsmethoden auswählen. Welche Authentifizierungsmethoden zur Verfügung stehen, wird durch die höchste Authentifizierungsrichtlinie bestimmt, die die Logon App-Ressource und die Gruppe des Benutzers umfasst.

Logon App für Windows validiert Benutzerpasswörter erst nach Abschluss der MFA. Wenn ein Benutzer sein Passwort eingibt, setzt Logon App den Teil des MFA-Authentifizierungsablaufs fort, auch wenn das Passwort falsch ist. Nach erfolgreicher MFA überprüft Logon App das Passwort. Die Authentifizierung schlägt im Falle eines falschen Passworts fehl.

Wenn die Push-Authentifizierung aktiviert ist, können Benutzer das Kontrollkästchen Automatisch eine Push-Benachrichtigung senden, wenn ich mich anmelde aktivieren, um den Authentifizierungsprozess zu erleichtern. Wenn diese Option ausgewählt ist, sendet die Logon App automatisch eine Push-Benachrichtigung an den Benutzer, nachdem dieser seinen Benutzernamen und sein Passwort eingegeben hat.

Die Logon App unterstützt keine automatische Anmeldung bei Windows.

So melden Sie sich bei einem Computer an, auf dem die Logon App installiert ist:

  1. Geben Sie in das Textfeld Benutzername den Benutzernamen für Ihren Domänenbenutzer ein. Um sich als lokaler Benutzer anzumelden, geben Sie Ihren Benutzernamen als host name\user name ein.
  2. Geben Sie in das Textfeld Passwort Ihr Windows- oder Mac-Passwort ein, oder authentifizieren Sie sich mit einer biometrischen ID (Fingerabdruck oder Gesicht). Für Active Directory-Benutzerkonten geben Sie Ihr AD-Passwort ein.
  3. Klicken Sie auf Weiter.
    Wenn MFA erforderlich ist, wird der Authentifizierungsbildschirm angezeigt. Wenn die Authentifizierungsregel für Ihre Gruppe nur ein Passwort erfordert, sind Sie angemeldet.
  4. Wenn MFA erforderlich ist, wählen Sie unter Anmeldeoptionen eine Authentifizierungsoption. Push ist die Standard-Authentifizierungsmethode. Wenn Sie eine andere Authentifizierungsoption auswählen, wird diese zur Standardauthentifizierungsmethode.

    Wenn Ihr Computer nicht mit dem Internet verbunden ist und eine MFA erforderlich ist, müssen Sie die Optionen Einmalpasswort oder QR-Code-Authentifizierung auswählen, um sich offline zu authentifizieren.

  5. Drücken Sie Eingabe oder Zurück und authentifizieren Sie sich.
    • Push — Genehmigen Sie die Push-Benachrichtigung, die an Ihr Mobilgerät gesendet wird.
    • QR-Code — Scannen Sie den QR-Code mit der AuthPoint Mobile App und geben Sie dann den in der App angezeigten Verifizierungscode ein.
    • Einmalpasswort — Geben Sie das Einmalpasswort für Ihr Token ein.

Wenn Ihr Token nicht mehr vorhanden ist, müssen Sie die Funktion Token vergessen verwenden, um sich an einem Computer anzumelden, auf dem die Logon App installiert ist. Weitere Informationen finden Sie unter Authentifizierung ohne Ihr Mobilgerät.

Siehe Version der installierten Logon App

Wenn Sie sich an einem Computer anmelden, auf dem Logon App installiert ist, klicken Sie für Informationen über Logon App im Authentifizierungsbildschirm auf das Symbol ?.

Ähnliche Themen

MFA konfigurieren

Über AuthPoint-Authentifizierungsregeln

Über Authentifizierung