DUO met hoogteverschillen

AutoElevate en DUO bieden multi-factor authenticatie (MFA) en goedkeuring voor verzoeken om toegang tot verhoogde rechten op Windows-systemen. Hieronder vindt u instructies voor het gebruik van deze tools samen om veilige toegang tot verhoogde rechten te garanderen zonder conflicten:

• Bij de installatie van AutoElevate is DUO niet vereist voor verhogingen. Met AutoElevate wordt de aanvraag via MFA goedgekeurd vanuit de AE-beheerportal, omdat MFA vereist is om in te loggen.
  
• Als u AutoElevate met DUO installeert, is het raadzaam om DUO opnieuw te installeren met UAC-niveau 0. Zo voorkomt u dat DUO de werking van Gebruikersaccountbeheer (UAC) of verhogingsaanvragen verstoort.
  
• DUO biedt drie UAC-niveaus:
  • UAC-niveau 0: Dit niveau wordt aanbevolen voor gebruik met AutoElevate . Het is alleen voor Windows-aanmelding en heeft geen invloed op UAC of hoogte.
    
  • UAC-niveau 1: Dit niveau is alleen voor hoogte en vereist geen MFA-verwerking bij Windows-aanmelding. Het wordt afgeraden om het te gebruiken met AutoElevate , omdat dit conflicten kan veroorzaken met het goedkeuringsproces voor hoogte.
    
  • UAC-niveau 2 vereist MFA-verwerking bij Windows-aanmelding en UAC-prompts. Het wordt afgeraden om dit te gebruiken met AutoElevate , omdat dit conflicten kan veroorzaken met het goedkeuringsproces voor de hoogte.
    
• Bij de installatie van AutoElevate met DUO en het gebruik van DUO met UAC-niveau 0 zijn er geen admingebruikers om te verheffen, behalve de lokale AE-gebruiker ~0000AEAdmin. Dit "over-the-shoulder"-account is geen admin in rust en kan daarom niet worden gebruikt om rechten te verheffen buiten het AutoElevate -proces.
  
• Bovendien hoeft u de lokale AE-gebruiker ~0000AEAdmin niet uit te sluiten van het DUO-beleid, aangezien DUO in deze configuratie geen invloed heeft op UAC of verhogingen. Omdat u niet interactief inlogt als de AE-beheerder, beschikt u over een gestroomlijnder en veiliger proces voor het verhogen van rechten.
  
  Meer informatie over het configureren van DUO UAC-instellingen vindt u hier .

DUO met beheerderslogin

Om te voorkomen dat DUO de Admin Login-inloggegevensprovider blokkeert (die nodig is om Admin Login te laten functioneren), moet u de GUID toevoegen aan de DUO "ProvidersWhitelist".

Met de volgende opdracht voegt u de GUID van de Admin Login-referentieprovider toe aan de DUO-whitelist:

reg add "HKLM\SOFTWARE\Duo Security\DuoCredProv" /v ProvidersWhitelist /t REG_MULTI_SZ /d "{00006D50-0000-0000-B090-00006B0B0000}" /f

De GUID van de beheerdersaanmeldingsreferentieprovider is: 00006D50-0000-0000-B090-00006B0B0000

Voor meer gedetailleerde informatie en hulp kunt u dit ondersteuningsartikel van DUO raadplegen: https://help.duo.com/s/article/4041?language=en_US

DUO met SSO-integratie

AutoElevate /SSO-integratie in combinatie met DUO MFA wordt niet ondersteund wanneer MFA is gedelegeerd aan Microsoft Azure, zelfs niet bij voorwaardelijke toegang.

Microsoft evalueert authenticatie met een aangepast besturingselement niet als onderdeel van een claimvereiste voor voorwaardelijke toegang met multifactorauthenticatie. Aangepaste besturingselementen, zoals het aangepaste Duo-besturingselement voor Azure CA, kunnen niet voldoen aan een CA-regel die 'multifactor' vereist. Zie het Duo - ondersteuningsdocument hier: Duo Two-Factor Authentication voor Microsoft Azure Active Directory | Duo Security

Om AutoElevate /SSO-integratie met DUO MFA te ondersteunen, moet u MFA delegeren aan Custom Control in de Azure AD-overeenkomst. Volg deze stappen om deze optie in te schakelen:

• Via het scherm 'Instellingen' in de AE Admin Portal https://msp.autoelevate.com moet u de optie 'Single Sign On' (potloodpictogram) bewerken.
• Schakel de optie MFA delegeren aan aangepast besturingselement in Azure AD in.
• Lees de voorwaarden, bevestig en SLA OP .