Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden MFA-aanvragen niet langer ondersteund door implementaties van de Azure Multi-Factor Authentication-server. Klanten van de Azure Multi-Factor Authentication-server moeten overstappen op aangepaste MFA-providers of Windows Hello of op smartcards gebaseerde verificatie in AD.
Wanneer u een PAM-rol configureert, kunt u kiezen hoe u gebruikers die aanvragen om de rol te activeren, autoriseren. De opties die door de PAM-autorisatieactiviteit worden geïmplementeerd, zijn:
- Goedkeuring van rollen-eigenaar
- aangepaste meervoudige verificatie
Als geen van beide controles is ingeschakeld, worden kandidaatgebruikers automatisch geactiveerd voor hun rol.
Notitie
De PAM-benadering met een bastionomgeving die door MIM wordt geleverd, is bedoeld om te worden gebruikt in een aangepaste architectuur voor geïsoleerde omgevingen waar internettoegang niet beschikbaar is, waarbij deze configuratie vereist is door regelgeving, of in geïsoleerde omgevingen met hoge impact, zoals offline onderzoekslaboratoria en niet-verbonden operationele technologie of omgevingen voor toezicht op controle en gegevensverwerving. Als uw Active Directory deel uitmaakt van een omgeving met internetverbinding, raadpleeg het beveiligen van bevoegde toegang voor instructies over waar te beginnen.
Vereisten
Als u aangepaste meervoudige verificatie wilt gebruiken met MIM PAM, hebt u het volgende nodig:
- MIM geconfigureerd voor aangepaste meervoudige verificatie
- Telefoonnummers voor alle kandidaat-gebruikers
PAM-gebruikers configureren voor aangepaste meervoudige verificatie
Als een gebruiker een rol wil activeren waarvoor aangepaste meervoudige verificatie is vereist, moet het telefoonnummer van de gebruiker worden opgeslagen in MIM. Er zijn twee manieren waarop dit kenmerk is ingesteld.
Eerst kopieert de New-PAMUser opdracht een telefoonnummerkenmerk van de adreslijstvermelding van de gebruiker in CORP-domein naar de MIM-servicedatabase. Houd er rekening mee dat dit een eenmalige bewerking is.
Ten tweede werkt de Set-PAMUser opdracht het telefoonnummerkenmerk bij in de MIM-servicedatabase. Het volgende vervangt bijvoorbeeld het telefoonnummer van een bestaande PAM-gebruiker in de MIM-service. De adreslijstvermelding is ongewijzigd.
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
PAM-rollen configureren voor meervoudige verificatie
Zodra alle kandidaatgebruikers voor een PAM-rol hun telefoonnummers hebben opgeslagen in de MIM-servicedatabase, kan de rol worden geconfigureerd om aangepaste meervoudige verificatie te vereisen. Dit gebeurt met behulp van de New-PAMRole of Set-PAMRole opdrachten. Bijvoorbeeld:
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
Meervoudige verificatie kan worden uitgeschakeld voor een rol door de parameter '-MFAEnabled 0' op te geven in de Set-PAMRole opdracht.
Probleemoplossing
De volgende gebeurtenissen vindt u in het gebeurtenislogboek Privileged Access Management:
| Id | Ernst | Opgesteld door | Beschrijving |
|---|---|---|---|
| 101 | Fout | MIM-service | De gebruiker heeft geen aangepaste meervoudige verificatie voltooid (bijvoorbeeld heeft de telefoon niet beantwoord) |
| 103 | Gegevens | MIM-service | Gebruiker heeft aangepaste meervoudige verificatie voltooid tijdens de activering |
| 825 | Waarschuwing | PAM-bewakingsservice | Telefoonnummer is gewijzigd |