企业远程工作安全及简化

员工远程面临哪些挑战

大多数企业已将远程工作模式作为其新常态，这使得保护远程端点成为比以往更高的优先级。然而，在寻求远程工作支持的安全性时，企业有时会忽视用户体验。过于严格的远程工作解决方案没有考虑到经常在工作场所和家庭的安全范围之间交替的混合员工，这可能会阻碍他们的工作流程。在启用远程工作期间遇到的其他缺点包括帮助台请求增加和远程密码管理问题。

ADSelfService Plus 让远程工作更顺畅

• 适用于 RDP、OWA 和 VPN 登录的 MFA
• 缓存的凭据更新
• 密码到期通知
• 移动密码管理
• 基于 Web 的密码更改

适用于 RDP、OWA 和 VPN 登录的 MFA

通过对Windows 计算机、OWA 和 VPN 登录的基于 RDP 的登录实施MFA，保护远程工作。根据 IP 地址、营业时间、地理位置和所用设备等因素自动提高或放宽 MFA。

使用端点MFA后，用户首先通过Active Directory（AD）域凭据进行身份验证，然后通过身份验证技术进行身份验证，例如通过SMS或电子邮件发送的一次性密码（OTP），或在ADSelfService Plus中配置的Yubico OTP。

ADSelfService Plus提供了帮助管理员的功能：

• 基于 OU 和组启用 MFA 强制实施终端节点 MFA，并根据域、OU 和组成员身份对不同的用户使用不同的身份验证技术集。
• 确保 100% 注册 通过 CSV 文件导入用户的域信息或使用登录脚本强制注册，从而自动执行用户注册。
• 获取详细报告全面了解用户活动，例如身份验证失败和登录尝试，并查找密码较弱的用户。
• 简化身份验证 使用指纹身份验证、推送通知身份验证、YubiKey 和基于 QR 码的身份验证等身份验证技术，帮助用户轻松证明其身份。

缓存的凭据更新

确保员工进行的远程域密码重置在其计算机的本地缓存中更新，即使他们未连接到企业网络也是如此。消除远程密码重置问题并降低相关的帮助台成本。

ADSelfService Plus 如何更新缓存的凭据：

• 当远程用户忘记他们的Windows密码时，他们可以使用ADSelfService Plus的GINA / CP客户端直接从其机器的登录屏幕重置密码。
• ADSelfService Plus 在 Active Directory 中重置密码，并通知 GINA/CP 客户端重置操作成功。
• GINA/CP 客户端通过 VPN 客户端（如 Fortinet 或 Cisco AnyConnect）与 Active Directory 建立安全连接，并发起更新本地缓存凭据的请求。
• 在 Active Directory 批准请求后，ADSelfService Plus 可确保在用户的计算机中强制更新缓存凭据。

密码到期通知

梳理 AD 以查找密码即将过期的用户帐户，并通过自定义短信、电子邮件和推送通知通知用户。通知用户其帐户状态以及密码过期详细信息。

密码过期通知程序的功能：

• 使用工具通知组织中的无限用户他们的密码到期
• 通过短信或电子邮件自动通知活动目录用户他们即将到期的密码
• 密码到期通知程序还可以通知用户有关活动目录帐户到期的信息
• 为经理或其他级别官员设置单独的密码过期提醒策略
• 设置基于组和基于 OU 的策略，以保持对过期通知发送给谁以及何时发送的完全控制
• 不仅是最终用户，您还可以通知经理用户的帐户到期
• 支持“分阶段密码过期通知”。这是促使用户在为时已晚之前更改密码的一种非常有效的方法
• 根据需要在可用模板中自定义密码更改提醒邮件，例如在真正接近密码到期日期时保持它们更加必要
• 获取有关密码更改提醒的传递状态的及时报告

移动密码管理

为远程用户提供自助密码重置和帐户解锁功能，直接从其 Android 和 iOS 移动设备。使用基于移动设备的身份验证器（如生物识别或 QR 码）实施 MFA，并使用移动设备管理配置文件将移动应用程序直接安装到用户的移动设备上，从而确保用户采用。

基于 Web 的密码更改

为远程或漫游用户提供基于 Web 的安全门户，以更改其 AD 密码。允许仅限 VPN 或 OWA 的用户使用 ADSelfService Plus 移动应用程序更改其密码，甚至可以通过其移动设备。

如何使用ADSelfService Plus更改AD域密码：

• 登录到 ADSelfService Plus 用户门户，然后转到“更改密码”选项卡。
• 在“旧密码”字段中输入您现有的活动目录或域密码。
• 提供新密码，然后在“确认新密码”字段中重新输入。确保您的新密码满足复杂性要求。
• 单击更改密码。

远程工作支持的优势

• 未更改的企业访问：远程工作支持开辟了访问企业网络和资源以及其中保存的数据的替代方法。应采取必要措施，确保它们保持完整，不受远程破坏企图的影响。
• 提高用户工作效率：理想情况下，远程工作支持可提高用户的工作效率。用户工作流和对资源的访问不受干扰。
• 降低公司成本：随着员工在方便的地方工作，组织资源的消耗和相关成本减少了。如果启用远程工作未按计划进行，组织可能会面临大量帮助台工单，其成本可能会增加。

ADSelfService Plus 如何简化远程工作

• 审核远程员工操作：访问有关本地和远程身份验证尝试、自助服务操作和用户密码状态的开箱即用报告。
• 粒度配置：设置特定的远程工作支持功能，并将其配置为仅对属于特定 AD 组、OU 或域的用户以某种方式运行。
• 条件访问控制：通过使用基于 IP 地址、地理位置、所用设备和访问时间等因素的条件 MFA 自动访问资源和功能，阻止冒充远程员工的不良行为者。
• 符合法规：遵守 NIST、HIPAA 和 PCI DSS 等法规，尽管工作流程模型发生了变化、数据处理发生了变化以及远程工作采用的其他影响。

ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能。