Управление пользователями — подготовка
Все операции управления пользователями выполняются в Web Console в разделе Users (Пользователи).
Подготовка — это процесс предоставления пользователям возможности аутентификации с помощью второго фактора при доступе к устройствам и услугам, защищенным с помощью ESET Secure Authentication On-Prem.
Начиная с ESA версии 3.0, для использования мобильного приложения ESA не обязательно указывать номер телефона (кроме случаев, когда используется подготовка с помощью SMS-сообщений). Номер телефона каждого пользователя вводится вручную при создании или редактировании пользователя в Web Console, импортируется вместе с информацией о пользователе при синхронизации с LDAP или вводится пользователем, если включена самостоятельная регистрация.
Каждый пользователь принадлежит к определенной области (домен, имя компьютера и т. д.). Области и пользователи создаются автоматически во время входа пользователя на компьютер с установленным компонентом ESA, в защищенную с помощью ESA службу или во время синхронизации ESA с LDAP. Пользовательскую область можно также создать вручную.
На изображении ниже показана пользовательская область и автоматически созданная область. Пользовательская область создана вручную (Custom Realm), и в нее добавлен пользователь Test User (тестовый пользователь). Автоматическая область и два ее пользователя созданы автоматически (admin, Test). Имя области взято с компьютера, на котором установлен модуль Защита для входа в Windows и в который два пользователя вошли в систему. В столбце Состояние указано, включена ли для пользователя двухфакторная аутентификация (и была ли она использована хотя бы один раз) или ее настройка ожидается. В столбце Display Name (Отображаемое имя) отображается значение поля Display Name (Отображаемое имя). Его можно либо вручную определить для каждого пользователя, либо получить в процессе автоматической синхронизации из Active Directory (или LDAP) в соответствии с конфигурацией (для ее настройки выберите ПараметрыSettings > Default FieldsПоля по умолчанию, а затем щелкните значение Default display name field (поле отображаемого имени) по умолчанию для параметра Field type (Тип поля)).
Создание пользовательской области вручную
1.Щелкните значок рядом с Realms (Области) и нажмите Create custom Re (Создать пользовательскую область).
2.Для параметров Realm ID (Идентификатор области) и Realm Name (Имя области) введите необходимую строку, выберите Category (Категория) и нажмите Save (Сохранить).
Чтобы вручную создать область, соответствующую домену Active Directory, необходимо найти GUID.
Получение GUID домена из ADUC
1.Откройте пользователи и компьютеры Active Directory.
2.Щелкните имя домена правой кнопкой мыши и выберите Свойства.
3.Щелкните вкладку Редактор атрибутов и найдите объектGUID.
4.При создании области вручную в поле Идентификатор области используйте значение ObjectGUID.
Получение GUID домена с помощью PowerShell
1.Откройте Windows PowerShell.
2.Запустите одну из следующих команд:
Get-ADDomain | select -Property ObjectGUID |
или
wmic ntdomain list full |
Чтобы вручную создать область, соответствующую локальному компьютеру (пользователям, которые не используют домен), необходим SID.
2.Запустите PSGetsid.EXE или PsGetsid64.EXE (в зависимости от версии Windows) из командной строки Windows или Windows PowerShell.
Добавление пользователя в область вручную
1.Выберите область, в которую нужно добавить пользователя.
2.Нажмите кнопку Add user.
3.Введите имя, номер телефона и (не обязательно) адрес электронной почты пользователя.
4.Нажмите кнопку Create user.
Формат номера телефона Номера мобильных телефонов должны быть в международном формате «+421987654321», где +421 — это код страны. Например, словацкий номер телефона 0987654321 нужно вводить в виде +421987654321, заменяя начальный ноль «0» на код страны «+421». Номер телефона в США «201-321-4567» следует вводить как «+12013214567», где «+1» — код страны. |
Вы также можете импортировать пользователей в пользовательскую область из файла.
Отправка мобильного приложения пользователям
Метод подготовки по умолчанию — ESET servers (Серверы ESET), т. е. доставка SMS-сообщений, требующая наличия действительного номера телефона для отправки ссылки для установки.
1.Установите флажок рядом с пользователями, которые должны получить мобильное приложение.
2.Нажмите кнопку Send application.
3.Закройте окно подтверждения.
Срок действия ссылки для подготовки Срок действия ссылки для подготовки составляет 24 часа или до первого использования. |
Включение двухфакторной аутентификации на уровне пользователя
Щелкните пользователя и выберите нужные опции аутентификации. Наиболее удобными методами аутентификации являются OTP (Одноразовый пароль) и Push. Если были включены и импортированы Hard Token OTPs (Одноразовые пароли маркеров оборудования), маркеры оборудования будут доступны в раскрывающемся меню под ползунком Hard Token (Маркер оборудования). Чтобы сохранить изменения, нажмите Save (Сохранить).
Если метод аутентификации требует какой-либо информации, отображается уведомление. Можно сохранить профили пользователей, и если включена самостоятельная регистрация, пользователь сможет ввести недостающую информацию после настройки 2FA.
Если включена функция Mobile Application OTP (Одноразовый пароль в мобильном приложении) или Mobile Application Push (Push-уведомления в мобильном приложении), отобразится уведомление с напоминанием о необходимости отправки пользователю сообщения о регистрации или подготовке для того, чтобы он активировал мобильное приложение.
Если щелкнуть Do not send (Не отправлять) или Cancel (Отмена), можно воспользоваться кнопкой Actions (Действия), чтобы отправить сообщение о регистрации или подготовке позже. Если щелкнуть Send (Отправить), в окне со сведениями отобразится уникальный URL-адрес приложения, отправленный пользователю.
Включение 2FA для нескольких пользователей одновременно
1.Установите флажок рядом с пользователями, для которых нужно включить 2FA.
2.Щелкните 2FA (Двухфакторная аутентификация), нажмите Enable (Включить) и выберите нужную опцию аутентификации.
3.Закройте окно подтверждения.
Инструкции по установке и использованию мобильного приложения можно получить, щелкнув нужную мобильную ОС для перенаправления на соответствующую статью: