Zum Hauptinhalt springen

Kontotypbeschränkungen anwenden

So erzwingen und verwalten Sie Kontobeschränkungen und MFA-Anforderungen für neue und bestehende Benutzer.

M
Verfasst von Martijn van Mechelen
Vor über einer Woche aktualisiert

Als Administrator können Sie Benutzer dazu verpflichten, sich mit ihrem geschäftlichen Microsoft AAD-Konto anzumelden oder für ihr benutzerdefiniertes Konto die mehrstufige Authentifizierung (MFA) zu verwenden. Sie können diese Kontotypen beim Einladen neuer Benutzer erzwingen, es ist jedoch auch möglich, die Kontotypen für bestehende Benutzer zu ändern.

Kontotyp für neue Benutzer einschränken

Wenn Sie den Benutzer einladen, haben Sie unter Kontotypbeschränkung drei Optionen:

  • Beliebig
    Für den Benutzer gibt es keine Einschränkung beim Kontotyp. Nach Annahme der Einladung kann der Benutzer den gewünschten Kontotyp auswählen: ein benutzerdefiniertes Konto oder ein Konto, das mit seinem Microsoft AAD verknüpft ist. Entscheidet sich der Benutzer für ein benutzerdefiniertes Konto, liegt es ebenfalls bei ihm, ob er MFA aktiviert oder nicht.

  • Microsoft Azure AD
    Mit dieser Option zwingen Sie den Benutzer, sein Firmenkonto (Microsoft AAD) für die Anmeldung zu verwenden. Nachdem er die Einladung akzeptiert hat, kann der Benutzer nur noch den Kontotyp Microsoft Azure AD (weitere Informationen) auswählen.

  • Benutzerdefiniert mit MFA
    Mit dieser Option erzwingen Sie, dass der Benutzer nur ein Konto mit aktivierter MFA verwendet. Der Benutzer kann MFA nicht deaktivieren. Nach Annahme der Einladung kann der Benutzer nur Konto erstellen oder Anmelden auswählen (weitere Informationen).

Microsoft Azure AD wird empfohlen, sofern dies für den eingeladenen Benutzer möglich ist. Der Hauptvorteil dieses Kontotyps besteht darin, dass der Benutzer beim Verlassen des Unternehmens sofort den Zugriff auf die Priva Digital Services verliert, sobald sein Unternehmens-AAD-Konto deaktiviert oder gelöscht wird, ohne dass er unbedingt in Access Control entfernt werden muss.

Wenn Microsoft Azure AD für den eingeladene Benutzer nicht möglich ist, wird empfohlen, ihn zu zwingen, ein Custom with MFA Konto zu erstellen, um zusätzliche Sicherheit durchzusetzen.

Kontotyp für bestehende Nutzer einschränken

Es ist auch möglich, den Kontotyp für bestehende Benutzer zu ändern: Gehen Sie auf die Seite eines Benutzers > klicken Sie auf die drei Punkte > Kontotyp ändern / MFA erzwingen. Es gibt drei Optionen:

  • Kontotyp ändern (zu AAD)
    Benutzerdefiniertes Konto (mit oder ohne MFA) > Microsoft Azure AD

  • Kontotyp ändern (zu MFA)
    Benutzerdefiniertes Konto ohne MFA > Benutzerdefiniertes Konto mit erzwungener MFA

  • MFA erzwingen
    Benutzerdefiniertes Konto mit vom Benutzer aktivierter MFA > Benutzerdefiniertes Konto mit erzwungener MFA

Wenn Sie den Kontotyp (auf AAD/MFA) ändern, erhält der Benutzer eine E-Mail-Einladung, um das neue Konto zu konfigurieren (weitere Informationen). Das aktuelle Konto wird nach 14 Tagen oder auf Wunsch des Administrators sofort deaktiviert.

Wenn Sie MFA für einen Benutzer erzwingen, der MFA bereits selbst aktiviert hat, kann dieser Benutzer MFA in seinem Profil nicht mehr deaktivieren. Der Benutzer muss kein neues Konto konfigurieren, wie es bei der Option „Kontotyp ändern“ der Fall ist; es wird lediglich eine Benachrichtigungs-E-Mail gesendet, um den Benutzer über die Änderung zu informieren.

Verwandte Artikel
Wie nehme ich eine Einladung an, um Nutzer zu werden?
Wie akzeptieren Sie eine erneute Einladung, um Ihr Priva-Konto zu aktualisieren?
Warum ist mit meinem Konto keine Organisation verknüpft?
Hat dies deine Frage beantwortet?