Information
Frage
Benutzer können sich nicht authentifizieren und bei geschützten Computern anmelden, wenn die Anmelde-App installiert ist, wenn sie offline sind oder nur über eine eingeschränkte Netzwerkverbindung verfügen. Betroffene Benutzer erhalten die Fehlermeldung „Sie können sich nicht authentifizieren, da die Richtlinie für Ihre Gruppe den Zugriff für die Anmelde-App verweigert.“
Dies liegt daran, dass alle Authentifizierungsrichtlinien für den betroffenen Benutzer, die die Anmelde-App-Ressource enthalten, auch Geofence- oder Netzwerkstandortrichtlinienobjekte enthalten. Wenn Sie einer Authentifizierungsrichtlinie ein Richtlinienobjekt hinzufügen, gilt die Richtlinie nur, wenn die Bedingungen der Richtlinienobjekte erfüllt sind.
- Netzwerkstandorte erfordern, dass der Endbenutzer über eine Internetverbindung verfügt.
- Geofence-Richtlinienobjekte erfordern Standortdaten. Wenn der Computer keine Verbindung zum Internet herstellen kann, sind weder hochgenaue Standortdaten der Windows-Standortdienste noch niedriggenaue Standortdaten der WatchGuard Cloud verfügbar.
Antwort
Es gibt zwei Möglichkeiten, dieses Problem zu beheben:
- Benutzer können sich bei jeder Anmeldung am Computer ohne Internetverbindung mit der Option „Token vergessen“ authentifizieren. Weitere Informationen finden Sie unter MFA für einen Benutzer vorübergehend deaktivieren.
- Fügen Sie eine neue Authentifizierungsrichtlinie für die Anmelde-App hinzu, die die Authentifizierungsoptionen QR-Code und OTP verwendet und keine Netzwerkstandort- oder Geofence-Richtlinienobjekte enthält. Diese neue Richtlinie sollte eine niedrigere Priorität haben als die Richtlinie mit dem Richtlinienobjekt.
– Name: Offline-Authentifizierung
– Authentifizierungsoptionen: Passwort, OTP, QR-Code
– Gruppen: Jede Benutzergruppe, die sich offline authentifizieren darf
– Richtlinienobjekte:
1. Netzwerkstandorte: keine
2. Geofence: keiner
3. Zeitplan: Sie können ein Zeitplan-Richtlinienobjekt hinzufügen, wenn Sie die Offline-Authentifizierung nur zu bestimmten
Zeiten zulassen möchten
Wenn Sie einer Authentifizierungsrichtlinie ein Richtlinienobjekt hinzufügen, empfehlen wir Ihnen, eine zusätzliche Authentifizierungsrichtlinie für dieselben Gruppen und Ressourcen ohne die Richtlinienobjekte zu erstellen. Benutzer, die nur über eine Richtlinie mit einem Richtlinienobjekt verfügen, erhalten keinen Zugriff auf die Ressourcen, wenn die Bedingungen des Richtlinienobjekts nicht erfüllt sind.
Wenn Sie über zwei Richtlinien verfügen (eine mit und eine ohne Richtlinienobjekt), weisen Sie der Richtlinie mit dem Richtlinienobjekt eine höhere Priorität zu. Weitere Informationen finden Sie unter Informationen zur Richtlinienpriorität .
Nachdem Sie die neue Offlineauthentifizierungsrichtlinie erstellt haben, speichert die Anmelde-App bei der nächsten Authentifizierung eines Benutzers mit Internetverbindung eine Kopie der Authentifizierungsrichtlinien lokal auf dem Computer. Die Anmelde-App verwendet diese lokale Richtliniendatei, wenn sich Offlinebenutzer am Computer anmelden. Die lokale Richtliniendatei wird aktualisiert, wenn der Computer das nächste Mal eine Verbindung zum Internet herstellt.
Hinweis: In der lokalen Richtliniendatei werden nur die Richtlinieninformationen der letzten 30 authentifizierten Benutzerkonten gespeichert. Wenn sich seit der letzten Anmeldung eines Benutzers an einem Computer 30 oder mehr andere Benutzer authentifiziert haben, ist für die Anmeldung eine Internetverbindung erforderlich.
