Multi-Faktor-Authentifizierung: Unterschied zwischen den Versionen
[unmarkierte Version] | [unmarkierte Version] |
(First draft) |
|||
Zeile 4: | Zeile 4: | ||
Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für Benutzer mit ''MailStore-integrierter''-Authentifizierung verwalten. | Administratoren können in der [[Benutzer,_Archive_und_Berechtigungen|Benutzerverwaltung]] die Multi-Faktor-Authentifizierung für Benutzer mit ''MailStore-integrierter''-Authentifizierung verwalten. | ||
+ | |||
+ | Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Archive'' und dann auf ''Benutzer''. | ||
=== Aktivierung === | === Aktivierung === | ||
* Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten. | * Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten. | ||
− | * Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert mit MFA'' | + | * Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert mit MFA'' aus. |
* Bestätigen Sie mit ''OK''. | * Bestätigen Sie mit ''OK''. | ||
+ | |||
+ | [[File:umgm_users_02_mfa.png|center|400px]] | ||
=== Deaktivieren === | === Deaktivieren === | ||
Zeile 16: | Zeile 20: | ||
* Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert'' aus. | * Wählen Sie aus dem ''Authentifizierung''-Auswahlmenü den Eintrag ''MailStore-integriert'' aus. | ||
* Bestätigen Sie mit OK. | * Bestätigen Sie mit OK. | ||
+ | |||
+ | [[File:umgm_users_02.png|center|400px]] | ||
=== MFA neu initialisieren === | === MFA neu initialisieren === | ||
Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.<br/> | Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.<br/> | ||
− | Beim nächsten Anmeldevorgang des | + | Beim nächsten Anmeldevorgang des Benutzers, wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen. |
+ | <br/> | ||
+ | Sollte der Benutzer MFA noch nicht konfiguriert haben, steht diese Funktion nicht zur Verfügung. | ||
− | * Öffnen Sie die Eigenschaften des | + | * Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten. |
* Klicken Sie auf die Schaltfläche ''Befehle''. | * Klicken Sie auf die Schaltfläche ''Befehle''. | ||
* Klicken Sie auf ''MFA neu initialisieren''. | * Klicken Sie auf ''MFA neu initialisieren''. | ||
* Bestätigen Sie den Vorgang. | * Bestätigen Sie den Vorgang. | ||
+ | |||
+ | [[File:umgm_users_02_mfa_commands.png|center|400px]] | ||
=== App-Kennwörter löschen === | === App-Kennwörter löschen === | ||
− | Wenn ein Benutzer | + | Wenn ein Benutzer App-Kennwörter angelegt hat, um ''Nicht-MFA-Fähige-Clients'' (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese löschen. |
− | + | <br/> | |
− | + | Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung. | |
− | Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung. App-Kennwörter können | + | <br/> |
+ | App-Kennwörter können nur in Gänze gelöscht werden. | ||
* Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA neu Initialisieren möchten. | * Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA neu Initialisieren möchten. |
Version vom 22. Mai 2023, 08:54 Uhr
Um die Sicherheit beim Anmeldevorgang zu erhöhen, kann Multi-Faktor Authentifizierung (MFA) für Benutzer mit MailStore-integrierter-Authentifizierung aktiviert werden. MailStore unterstützt dafür das Verfahren Time-based One-time Password (TOTP) nach RFC 6238.
Die Benutzer benötigen dafür ein TOTP fähiges Endgerät, z.B. ein Handy mit installierter Authenticator-App.
Verwaltung
Administratoren können in der Benutzerverwaltung die Multi-Faktor-Authentifizierung für Benutzer mit MailStore-integrierter-Authentifizierung verwalten.
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf Verwaltung > Benutzer und Archive und dann auf Benutzer.
Aktivierung
- Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA aktivieren möchten.
- Wählen Sie aus dem Authentifizierung-Auswahlmenü den Eintrag MailStore-integriert mit MFA aus.
- Bestätigen Sie mit OK.
Deaktivieren
- Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA deaktivieren möchten.
- Wählen Sie aus dem Authentifizierung-Auswahlmenü den Eintrag MailStore-integriert aus.
- Bestätigen Sie mit OK.
MFA neu initialisieren
Wenn ein Benutzer das Gerät, auf dem MFA eingerichtet worden ist, verloren hat, MFA auf einem anderen Gerät eingerichtet werden soll oder MFA aus einem anderen Grund neu eingerichtet werden muss, können Sie MFA neu initialisieren. Dadurch wird ein neues Geheimnis, aus dem sich die Einmalkennwörter ableiten, generiert.
Beim nächsten Anmeldevorgang des Benutzers, wird dieser erneut aufgefordert, die MFA-Konfiguration abzuschließen.
Sollte der Benutzer MFA noch nicht konfiguriert haben, steht diese Funktion nicht zur Verfügung.
- Öffnen Sie die Eigenschaften des Benutzers für den Sie MFA neu initialisieren möchten.
- Klicken Sie auf die Schaltfläche Befehle.
- Klicken Sie auf MFA neu initialisieren.
- Bestätigen Sie den Vorgang.
App-Kennwörter löschen
Wenn ein Benutzer App-Kennwörter angelegt hat, um Nicht-MFA-Fähige-Clients (Geplante Tasks, IMAP, Management API) weiterhin verwenden zu können, können Sie diese löschen.
Wenn der Benutzer keine App-Kennwörter angelegt hat, steht diese Funktion nicht zur Verfügung.
App-Kennwörter können nur in Gänze gelöscht werden.
- Öffnen Sie die Eigenschaften des Benutzer für den Sie MFA neu Initialisieren möchten.
- Klicken Sie die Schaltfläche Befehle.
- Klicken Sie auf "App-Kennwörter löschen".
- Bestätigen Sie den Vorgang.
Benutzung
Verwaltung von App-Kennwörtern
Sobald die Multi-Faktor-Authentifizierung für einen Benutzer aktiviert worden ist, kann das normale Kennwort nicht mehr verwendet werden, um sich an Nicht interaktiven-Clients anzumelden.
Darunter fallen:
- Geplante Tasks, die den Windows Client im Kommandozeilenmodus nutzen
- IMAP-Clients
- Management-API Clients, wie z.B. der Powershell API-Wrapper und der Python API-Wrapper
Damit diese Clients dennoch weiterhin genutzt werden können, können Benutzer sogenannte App-Kennwörter anlegen. Diese Kennwörter werden von MailStore generiert und zeichnen sich durch eine erhöhte Komplexität aus.
App-Kennwörter können ausschließlich über den MailStore Client verwaltet werden.