DUO mit Erhöhungen

AutoElevate und DUO ermöglichen die Multi-Faktor-Authentifizierung (MFA) und die Genehmigung von Rechteerweiterungsanfragen auf Windows-Systemen. Hier finden Sie Anweisungen zur gemeinsamen Verwendung dieser Tools, um einen sicheren und konfliktfreien Zugriff auf erhöhte Rechte zu gewährleisten:

• Bei der Installation AutoElevate ist DUO für Erhöhungen nicht erforderlich. Mit AutoElevate wird die Anforderung vom AE-Admin-Portal aus per MFA genehmigt, da für die Anmeldung MFA erforderlich ist.
  
• Wenn Sie AutoElevate mit DUO installieren, wird empfohlen, DUO mit UAC-Level 0 neu zu installieren. Dadurch wird sichergestellt, dass DUO die Benutzerkontensteuerung (UAC) oder Erhöhungsanforderungen nicht beeinträchtigt.
  
• DUO bietet drei UAC-Ebenen:
  • UAC-Ebene 0: Diese Ebene wird für die Verwendung mit AutoElevate empfohlen . Sie gilt nur für die Windows-Anmeldung und hat keine Auswirkungen auf UAC oder erhöhte Rechte.
    
  • UAC-Ebene 1: Diese Ebene ist nur für erhöhte Rechte verfügbar und erfordert keine MFA-Verarbeitung bei der Windows-Anmeldung. Die Verwendung mit AutoElevate wird nicht empfohlen , da es zu Konflikten mit dem Genehmigungsprozess für erhöhte Rechte kommen kann.
    
  • UAC-Level 2 erfordert eine MFA-Verarbeitung bei der Windows-Anmeldung und bei UAC-Eingabeaufforderungen. Die Verwendung mit AutoElevate wird nicht empfohlen , da es zu Konflikten mit dem Genehmigungsprozess für erhöhte Rechte kommen kann.
    
• Bei der Installation von AutoElevate mit DUO und der Verwendung von DUO mit UAC-Level 0 gibt es außer dem lokalen AE-Benutzer ~0000AEAdmin keine Administratorrechte, die erhöht werden können. Dieses „Over-the-Shoulder“-Konto ist kein ruhender Administrator und kann daher nicht zur Erhöhung von Berechtigungen außerhalb des AutoElevate Prozesses verwendet werden.
  
• Darüber hinaus müssen Sie den lokalen AE-Benutzer ~0000AEAdmin nicht von der DUO-Richtlinie ausschließen, da DUO in dieser Konfiguration weder die Benutzerkontensteuerung noch erhöhte Rechte beeinträchtigt. Da Sie sich nicht interaktiv als AE-Administrator anmelden, verfügen Sie über einen optimierten und sicheren Prozess zur Erhöhung von Berechtigungen.
  
  Weitere Informationen zum Konfigurieren der DUO UAC-Einstellungen finden Sie hier .

DUO mit Admin-Login

Um zu verhindern, dass DUO den Anmeldeinformationsanbieter für den Administrator-Login blockiert (der für die Funktion des Administrator-Logins erforderlich ist), müssen Sie dessen GUID zur DUO-ProvidersWhitelist hinzufügen.

Der folgende Befehl fügt die GUID des Anmeldeinformationsanbieters für den Administrator-Login zur DUO-Whitelist hinzu:

reg add "HKLM\SOFTWARE\Duo Security\DuoCredProv" /v ProvidersWhitelist /t REG_MULTI_SZ /d "{00006D50-0000-0000-B090-00006B0B0000}" /f

Die GUID des Anmeldeinformationsanbieters für den Administrator-Login lautet: 00006D50-0000-0000-B090-00006B0B0000

Ausführlichere Informationen und Hilfe finden Sie in diesem Support-Artikel von DUO: https://help.duo.com/s/article/4041?language=en_US

DUO mit SSO-Integration

AutoElevate /SSO-Integration in Verbindung mit DUO MFA wird nicht unterstützt, wenn MFA an Microsoft Azure delegiert wird, auch nicht mit bedingtem Zugriff.

Microsoft wertet die Authentifizierung mit einem benutzerdefinierten Steuerelement nicht als Teil einer Anforderung für die mehrstufige Authentifizierung mit bedingtem Zugriff aus. Benutzerdefinierte Steuerelemente, wie das benutzerdefinierte Duo-Steuerelement für Azure CA, können eine CA-Regel, die „Multifaktor“ erfordert, nicht erfüllen. Aus dem Duo-Supportdokument, das Sie hier finden: Duo-Zwei-Faktor-Authentifizierung für Microsoft Azure Active Directory | Duo Security

Um AutoElevate /SSO-Integration mit DUO MFA zu unterstützen, müssen Sie MFA an die benutzerdefinierte Steuerung in der Azure AD-Vereinbarung delegieren. Gehen Sie folgendermaßen vor, um diese Option zu aktivieren:

• Auf dem Einstellungsbildschirm im AE-Admin-Portal https://msp.autoelevate.com müssen Sie die Option „Single Sign-On“ (Bleistiftsymbol) bearbeiten.
• Aktivieren Sie die Option „MFA an benutzerdefiniertes Steuerelement in Azure AD delegieren“ .
• Bedingungen lesen, bestätigen und dann SPEICHERN .