MFA-Durchsetzungsausnahme
Häufig gestellte Fragen zur MFA-Durchsetzungsausnahme und warum dies wichtig ist.
- Wie kann das MFA-Mandat für bestimmte Anwender gelockert werden?
Im Yokohama-Release wird eine neue Anwendergruppe, ein MFA-befreiter Anwendergruppendatensatz hinzugefügt. Basierend auf der Standardbedingung wird eine MFA-Richtlinie hinzugefügt. Jeder Anwender, der Mitglied dieser Gruppe ist, wird mit MFA erzwungen.
Um MFA für bestimmte Anwender zu entspannen, gehen Sie wie folgt vor:
- Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss „MFA für nicht-SSO-Anmeldungen erzwingen“ lauten.
- Unter Richtlinieneingabe Zugehörige Liste wählen Sie aus Ist Mitglied der von MFA befreiten Gruppe Filterkriteriendatensatz.
- Wählen Sie Aus Von MFA befreite Anwendergruppe .
- Fügen Sie dieser Gruppe Anwender als Mitglied hinzu, um sie von der MFA-Durchsetzung zu befreien.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie Ihrer Richtlinie Filterkriterien „ist Mitglied der von MFA befreiten Gruppe“ hinzufügen und die Richtlinienbedingungen ändern, um Anwender dieser Gruppe von der MFA-Durchsetzung zu befreien. - Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss „MFA für nicht-SSO-Anmeldungen erzwingen“ lauten.
- Wie kann das MFAs-Mandat für bestimmte Rollen gelockert werden?
Im Yokohama-Release eine leere neue Rolle Hat von MFA befreite Rolle Filterkriterium wird hinzugefügt. Der MFA-Richtlinie wurden Bedingungen hinzugefügt, um Anwender, deren Rollen Teil der Kriterien für ausgenommene Rollen sind, von der MFA-Durchsetzung auszunehmen.
Um MFA für bestimmte Rollen zu entspannen, gehen Sie wie folgt vor:
- Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss sein MFA für nicht-SSO-Anmeldungen erzwingen .
- Unter Richtlinieneingabe Zugehörige Liste, wählen Sie aus Hat von MFA befreite Rolle Filterkriteriendatensatz.
- Fügen Sie die Rollen hinzu, die Sie der Bedingung hinzufügen möchten. Mit dem Operator ODER können Sie mehrere Rollen hinzufügen.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie hinzufügen Hat von MFA befreite Rolle Filterkriterien für Ihre Richtlinie. Ändern Sie die Richtlinienbedingungen, um Anwender mit ausgenommenen Rollen von der MFA-Durchsetzung zu befreien. - Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss sein MFA für nicht-SSO-Anmeldungen erzwingen .
- Wie kann das MFAs-Mandat für bestimmte Gruppen gelockert werden?
Im Yokohama-Release eine Anwendergruppe Von MFA befreite Anwendergruppe Wird hinzugefügt. Basierend auf der Standardbedingung, die der MFA-Richtlinie hinzugefügt wurde, wird der Anwender oder die Gruppe, der bzw. die Mitglied dieser Gruppe ist, nicht mit MFA erzwungen.
Um MFA für bestimmte Gruppen zu entspannen, gehen Sie wie folgt vor:
- Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss sein MFA für nicht-SSO-Anmeldungen erzwingen .
- Unter Richtlinieneingabe Zugehörige Liste wählen Sie aus Ist Mitglied der von MFA befreiten Gruppe Filterkriteriendatensatz.
- Wählen Sie Aus Von MFA befreite Anwendergruppe .
- Fügen Sie dieser Gruppe die Gruppen hinzu, die Sie von der MFA-Durchsetzung ausnehmen möchten.
- Navigieren Sie zu MFA-Kontext . Die dem MFA-Kontextdatensatz zugeordnete Step-up-MFA-Richtlinie muss sein MFA für nicht-SSO-Anmeldungen erzwingen .
- Wie kann das MFAs-Mandat für vertrauenswürdige Netzwerke gelockert werden?
- Navigieren zu an.
- Erstellen Sie ein Kriterium, um ein vertrauenswürdiges Netzwerk anzugeben. Sie können eine Liste von IP-Bereichen oder Subnetzen als Teil des vertrauenswürdigen Netzwerks angeben.
- Navigieren zu an.
- Öffnen Sie die Richtlinie, die dem Kontext zugeordnet ist.
- Wählen Sie die Bearbeitung aus, um hinzuzufügen IP-Filterkriterien Die Sie für erstellt haben Richtlinieneingaben bezogen Liste.
- Ändern Sie die Richtlinienbedingung, um zu bestätigen, dass sie als „falsch“ ausgewertet wird, wenn Anwender Teil des vertrauenswürdigen Netzwerks sind.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie Ihrer Richtlinie die als Teil von Schritt 1 erstellten IP-Filterkriterien hinzufügen und die Richtlinienbedingungen ändern, um die MFA-Durchsetzung im vertrauenswürdigen Netzwerk auszuschließen. - Wie kann das MFAs-Mandat für vertrauenswürdige Standorte gelockert werden?
Sie können Standortfilterkriterien verwenden, die mit verfügbar sind Zero Trust: Standortbasierter Zugriff Plugin (erfordert ein zusätzliches Abonnement).
- Wie kann die häufige MFA-Durchsetzung gesteuert werden?
Verwenden Sie die Standortfilterkriterien, die mit verfügbar sind Zero Trust: Standortbasierter Zugriff Plugin (erfordert ein zusätzliches Abonnement).
Auf der MFA-Validierungsseite ist ein Kontrollkästchen zum Speichern eines Browsers vorhanden. MFA wird im gespeicherten Browser nicht erzwungen:
- Die von dieser Systemeigenschaft angegebene Dauer.
glide.authenticate.multifactor.browser.fingerprint.validity. Der Standardwert der Eigenschaft ist 8 Stunden. Diese Dauer kann um bis zu 24 Stunden verlängert werden. In ähnlicher Weise wird verwendetglide.authenticate.multifactor.remember.browser.defaultSystemeigenschaft der Standardwert des Kontrollkästchens kann auf „wahr“ festgelegt werden. - Navigieren zu Und passen Sie diese vier Eigenschaften an, um die gespeicherte Browserfunktion zu steuern.
- Die von dieser Systemeigenschaft angegebene Dauer.
- Wie funktioniert MFA für Accounts, die von Anwendern freigegeben werden?
Einzelne Accounts, die von mehreren Anwendern geteilt werden, sind ein Sicherheitsrisiko. Es wird nicht empfohlen, einen Account für mehrere Anwender freizugeben.