Devolutions Server ist eine selbst-gehostete Verwaltungslösung, mit der Ihr Unternehmen den Zugriff auf privilegierte Konten und Passwörter für Geschäftsanwender sichern, kontrollieren und überwachen kann. Darüber hinaus lässt sich Devolutions Server nahtlos in unsere Lösung zur Verwaltung von Remote-Verbindungen Remote Desktop Manager integrieren. Zusammen bilden Devolutions Server und Remote Desktop Manager eine leistungsstarke All-in-One-Plattform für die Verwaltung privilegierter Konten und Sitzungen, die über 150 Tools und Technologien unterstützt.
In diesem Artikel sehen wir uns genauer an, wie Sie Anmeldeinformationen oder Ressourcen für Gäste freigeben können, die nicht zu Ihrem Unternehmen gehören. Wenn Sie bereits Single-Sign-On mit Ihrem Azure AD-Mandanten konfiguriert haben, können Sie die integrierte Funktion zur Verwaltung von Gästen in Azure AD direkt in Devolutions Server nutzen. Dies lässt sich relativ einfach einrichten und bietet mehrere Vorteile:
- Zentralisierte Kontrolle über 2FA für Gastnutzer (über Azure)
- Zentralisierte Kontrolle über den Zugang für Gastnutzer (über Azure)
- Einsicht in Authentifizierungsprotokolle (per Azure)
- Die Möglichkeit, Gastnutzer ihre bestehende ID beibehalten zu lassen, was das Onboarding schneller und einfacher macht (über Azure AD)
- Die Möglichkeit, die Verwaltung des „Identity Lifecycles“ über Ihren Identitätsanbieter zu steuern. Wenn Sie einem Gast den Zugang zu Ihrem Mandanten entziehen, hat er keinen Zugriff mehr darauf.
- Die Möglichkeit, Daten auf sichere Weise mit Personen außerhalb des Unternehmens auszutauschen (über Devolutions Server).
Ein Wort zur Vorsicht
Bitte beachten Sie, dass Devolutions Server nicht automatisch zwischen einem Gastnutzer und einem normalen Nutzer unterscheidet. Wenn Nutzern von Azure AD (von denen wir annehmen können, dass sie vollwertige Mitglieder des Unternehmens sind) standardmäßig ein breites Spektrum an privilegiertem Zugriff gewährt wird, ist es möglich, dass ein Gastnutzer zu viele Rechte erhält.
Wir empfehlen Ihnen dringend, zu überprüfen, ob der Zugriff für Gastnutzer, die sich mit Azure AD anmelden, angemessen ist. Wenn dies nicht der Fall ist, sollten Sie die erforderlichen Änderungen vornehmen.
Arbeitsablauf für Admins
Hier ist der Arbeitsablauf für Admins, die einen Gastnutzer einladen möchten:
Schritt 1: Laden Sie den Gastnutzer über den Azure AD (jetzt Entra ID)-Mandanten ein.
Schritt 2: Notieren Sie den generierten Nutzernamen (user_domain#EXT#@org.onmicrosoft.com) für den Gastnutzer. Dieser wird benötigt, um ihn zu Devolutions Server hinzuzufügen (siehe nächster Schritt).
Schritt 3: Laden Sie den Gastnutzer mit dem Nutzernamen, der im vorherigen Schritt erstellt wurde, zu Devolutions Server ein. Wählen Sie das Zugriffs-Level: Standard, eingeschränkt oder schreibgeschützt. Aus offensichtlichen Gründen raten wir davon ab, einem Gastnutzer den Zugriff als Administrator zu gewähren!
Schritt 4 (optional): Wählen Sie die Tresore und Einstellungen für den Gastnutzer aus (dies kann bei Bedarf auch später erfolgen).
Zusätzliche Überlegungen
Automatische Erstellung von Gastnutzern (und Überschreiben-Option)
Wenn Devolutions Server so konfiguriert ist, dass bei der ersten Anmeldung automatisch ein neuer Nutzer angelegt wird, muss der Gastnutzer nicht manuell hinzugefügt werden. Allerdings muss der Gastnutzer ein Mitglied der Azure AD-Gruppe sein, die auf Devolutions Server zugreifen darf (falls eine solche Gruppe in der Konfiguration angegeben ist).
In diesem Anwendungsfall erbt der Gastnutzer alle Standardberechtigungen. Daher ist es wichtig, zu überprüfen, ob dieser Zugriff den Anforderungen Ihres Unternehmens entspricht.
Auch bei dieser Konfiguration kann ein Administrator proaktiv ein Gastnutzerkonto erstellen und die Berechtigungen festlegen, bevor sich der Nutzerkonto zum ersten Mal anmeldet.
Zuordnung
Wenn die Azure AD Enterprise-Anwendung für die Anmeldung bei Devolutions Server so konfiguriert ist, dass die Zuordnung von Nutzern erforderlich ist (Zuordnung erforderlich auf „Ja“ gesetzt), dann muss der Gastnutzer der Anwendung zugeordnet werden oder Mitglied einer Gruppe sein, die der Anwendung zugeordnet ist.
Nutzererfahrung für Gäste
So sieht es aus der Sicht des Gastnutzers aus:
Der Gastnutzer erhält eine E-Mail-Einladung.
Sobald der Gastnutzer die E-Mail-Einladung annimmt, wird er aufgefordert, die Erlaubnis zur Übermittlung der erforderlichen Informationen (z. B. Profildaten, Aktivitätsprotokoll usw.) zu erteilen:
Sobald der Gastnutzer die Anfrage akzeptiert hat, wird er aufgefordert, seine Authentifizierungsmethode auszuwählen. Beachten Sie bitte: Der Gastnutzer muss Microsoft als Authentifizierungsmethode wählen, nicht Devolutions Server.
Schließlich meldet sich der Gastnutzer bei Devolutions Server an, indem er die MFA-Anforderungen (per E-Mail oder SMS gesendeter Code) erfüllt und kann entsprechend seiner Berechtigungen auf die Ressourcen zugreifen:
Fragen? Wir können helfen!
Wenn Sie Fragen zum Gastzugang in Devolutions Server haben, hilft Ihnen unser Support-Team gerne weiter. Wir bitten Sie auch darum, uns Ihre Meinung zu dieser (und jeder anderen) Funktion mitzuteilen. Wir sind auf Ihr Feedback angewiesen, um uns ständig zu verbessern. Bitte hinterlassen Sie unten einen Kommentar, posten Sie in unserem Forum oder setzen Sie sich direkt mit uns in Verbindung. Wir haben immer ein offenes Ohr für Sie!
Tiefer in Devolutions Server eintauchen
Wollen Sie mehr über Devolutions Server erfahren? Hier sind einige Vorschläge:
- Ein Überblick über einige der wichtigsten Verbesserungen und Ergänzungen in der neuesten Version von Devolutions Server – jetzt lesen
- Ein Überblick über die Vorteile der Kombination von Devolutions Server mit Remote Desktop Manager (zusammen mit anderen gekoppelten Lösungen) – jetzt lesen
- Eine genauere Betrachtung von Devolutions Gateway, das für die Zusammenarbeit mit Devolutions Server entwickelt wurde und autorisierten Just-in Time-Zugriff auf Ressourcen in segmentierten Netzwerken bietet – jetzt lesen
- Ein Überblick über die Abonnementoptionen und zusätzlichen Tools/Module von Devolutions Server – jetzt lesen
- Absicherung des Slack-Primäreigentümers in Devolutions Server PAM – jetzt lesen