MFA-Erzwingungsausnahme
Häufig gestellte Fragen zur MFA-Erzwingungsausnahme und warum sie wichtig ist.
- Wie kann das MFA-Mandat für bestimmte Benutzer gelockert werden?
Im Yokohama-Release wird eine neue Benutzergruppe, der Datensatz „Ausgenommene MFA-Benutzergruppe“, hinzugefügt. Basierend auf der Standardbedingung wird eine MFA-Richtlinie hinzugefügt. Für jeden Anwender, der Mitglied dieser Gruppe ist, wird MFA erzwungen.
Gehen Sie wie folgt vor, um die MFA für bestimmte Anwender zu lösen:
- Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie sollte „MFA für Nicht-SSO-Anmeldungen erzwingen“ lauten.
- Wählen Sie in der zugehörigen Liste „Richtlinieneingabe“ den Filterkriteriendatensatz „Ist ein Mitglied von von MFA befreiter Gruppe“ aus.
- Wählen Sie Befreite MFA-Anwendergruppeaus.
- Fügen Sie dieser Gruppe Anwender als Mitglied hinzu, um sie von der MFA-Erzwingung zu befreien.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie Ihrer Richtlinie das Filterkriterium „Ist ein Mitglied der von MFA befreiten Gruppe“ hinzufügen und die Richtlinienbedingungen ändern, um Anwender dieser Gruppe von der MFA-Erzwingung zu befreien. - Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie sollte „MFA für Nicht-SSO-Anmeldungen erzwingen“ lauten.
- Wie können die MFA-Vorgaben für bestimmte Rollen gelockert werden?
Im Release Yokohama wird eine leere neue Rolle Hat MFA befreite Rollenfilterkriterium hinzugefügt. Der MFA-Richtlinie wurden Bedingungen hinzugefügt, um Anwender, deren Rollen Teil der freigestellten Rollenkriterien sind, von der MFA-Erzwingung zu befreien.
Um die MFA für bestimmte Rollen zu lösen, gehen Sie wie folgt vor:
- Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie muss MFA für Nicht-SSO-Anmeldungen erzwingenlauten.
- Wählen Sie in der zugehörigen Liste „Richtlinieneingabe“ den Datensatz mit den Filterkriterien für von MFA befreite Rollen aus.
- Fügen Sie die Rollen hinzu, die Sie der Bedingung hinzufügen möchten. Mit dem ODER-Operator können Sie mehrere Rollen hinzufügen.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie Ihrer Richtlinie Filterkriterien für Hat von MFA befreite Rolle hinzufügen. Ändern Sie die Richtlinienbedingungen, um Benutzer mit freigestellten Rollen von der MFA-Erzwingung zu befreien. - Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie muss MFA für Nicht-SSO-Anmeldungen erzwingenlauten.
- Wie kann das MFA-Mandat für bestimmte Gruppen gelockert werden?
Im Release Yokohama wird eine Benutzergruppe mit von MFA befreiter Benutzergruppe hinzugefügt. Basierend auf der Standardbedingung, die der MFA-Richtlinie hinzugefügt wurde, wird für den Anwender oder die Gruppe, der bzw. die Mitglied dieser Gruppe ist, keine MFA erzwungen.
Um die MFA für bestimmte Gruppen zu lösen, gehen Sie wie folgt vor:
- Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie muss MFA für Nicht-SSO-Anmeldungen erzwingenlauten.
- Wählen Sie in der zugehörigen Liste „Richtlinieneingabe“ den Filterkriteriendatensatz „Ist ein Mitglied von von MFA befreiter Gruppe“ aus.
- Wählen Sie Befreite MFA-Anwendergruppeaus.
- Fügen Sie dieser Gruppe die Gruppen hinzu, die Sie von der MFA-Erzwingung befreien möchten.
- Navigieren Sie zu MFA-Kontext. Die mit dem MFA-Kontextdatensatz verknüpfte Step-Up-MFA-Richtlinie muss MFA für Nicht-SSO-Anmeldungen erzwingenlauten.
- Wie kann die MFA-Anforderung für vertrauenswürdige Netzwerke gelockert werden?
- Navigieren zu .
- Erstellen Sie ein Kriterium, um ein vertrauenswürdiges Netzwerk anzugeben. Sie können eine Liste von IP-Bereichen oder Subnetzen als Teil des vertrauenswürdigen Netzwerks angeben.
- Navigieren zu .
- Öffnen Sie die Richtlinie, die dem Kontext zugeordnet ist.
- Wählen Sie die Bearbeitung aus, um die von Ihnen erstellten IP-Filterkriterien der zugehörigen Liste Richtlinieneingaben hinzuzufügen.
- Ändern Sie die Richtlinienbedingung, um zu bestätigen, dass sie als „false“ ausgewertet wird, wenn Benutzer Teil des vertrauenswürdigen Netzwerks sind.
Hinweis:Wenn dem MFA-Kontext eine andere Richtlinie zugeordnet ist, können Sie die in Schritt 1 erstellten IP-Filterkriterien zu Ihrer Richtlinie hinzufügen und die Richtlinienbedingungen ändern, um die MFA-Erzwingung im vertrauenswürdigen Netzwerk zu befreien. - Wie können die MFAs-Vorgaben für vertrauenswürdige Standorte gelockert werden?
Sie können Standortfilterkriterien verwenden, die mit dem Plugin Zero Trust – Standortbasierter Zugriff (erfordert ein zusätzliches Abonnement) verfügbar sind.
- Wie kontrolliere ich die häufige MFA-Erzwingung?
Verwenden Sie die Standortfilterkriterien, die mit dem Plugin Zero Trust – standortbasierter Zugriff (erfordert ein zusätzliches Abonnement) verfügbar sind.
Auf der MFA-Validierungsseite gibt es ein Kontrollkästchen zum Speichern eines Browsers. MFA wird im gespeicherten Browser nicht erzwungen:
- Die von dieser Systemeigenschaft angegebene Dauer.
glide.authenticate.multifactor.browser.fingerprint.validityDer Standardwert der Eigenschaft beträgt 8 Stunden. Diese Dauer kann um bis zu 24 Stunden verlängert werden. In ähnlicher Weise kann mit der Systemeigenschaft„glide.authenticate.multifactor.remember.browser.default“ der Standardwert des Kontrollkästchens auf „wahr“ festgelegt werden. - Navigieren zu und passen Sie diese vier Eigenschaften an, um die gespeicherte Browserfunktion zu steuern.
- Die von dieser Systemeigenschaft angegebene Dauer.
- Wie funktioniert MFA für Accounts, die von Anwendern gemeinsam genutzt werden?
Einzelne Konten, die von mehreren Benutzern gemeinsam genutzt werden, stellen ein Sicherheitsrisiko dar. Es wird nicht empfohlen, einen Account für mehrere Anwender freizugeben.