Jag håller på att ersätta vår VPN med Twingate. Jag har vår lokala domän-DNS och några enskilda servrar konfigurerade som resurser. De flesta av våra användare är vana vid att koppla till vår VPN bara vid behov, men nu blir de tillfrågade att autentisera även om de inte tillgång till våra nätverksresurser. Våra enheter är domänanslutna, så förståeligt nog utlöser de autentiseringspromptar varje par minuter med DNS-förfrågningar. Finns det ett sätt att undertrycka autentiseringsnotifieringar för vissa resurser förutom att logga ut och koppla bort, eller stoppa Twingate från att starta vid inloggning? På liknande sätt, finns det ett sätt att undertrycka uppdateringsmeddelanden eller ett alternativ för att uppdatera automatiskt? Jag skulle föredra att sluta visa dessa meddelanden för användarna.
Om de har autentiserat en gång bör de inte behöva göra det igen förrän den policy-session du har definierat är över. Om du till exempel sätter en standard på 8 timmar och någon loggar in på klienten, har de 8 timmar innan de måste autentisera sig igen för någon resurs oavsett vad det är. Vi vill definitivt inte att användare ska behöva autentisera varje gång de får tillgång till något.
Det andra alternativet är för vissa resurser som är mer “bakgrund”, som låt oss säga lokal AD eller någon form av domänservice, du kan skapa en enhetsbar policy och använda den. Det skulle tillåta vilken användare som helst med åtkomst till resursen att ansluta till den utan att bli tillfrågad ytterligare autentisering. Så länge de har loggat in på klienten på rätt sätt är de bra att gå. Vi har en guide tillgänglig för det som du kan läsa igenom, den kan vara användbar här.
Tack för den informationen. Att skapa enhetsbara policyer för AD är meningsfullt och kommer att eliminera vissa av autentiseringspromptarna. Men jag har fortfarande resurser med standard policyer. Guiden säger “Resurs Policiens sessioner upprätthålls aldrig mellan omstarter eller klientomstarter, och användare måste alltid autentisera om för att få tillgång till resurser bakom standardresurspolicyn.” Det är dessa meddelanden jag skulle vilja undertrycka tills användaren är redo att koppla upp sig. Jag förstår behovet av att autentisera om efter en omstart, men om användare inte behöver tillgång till vissa resurser kan de fortsätta att avbryta promptarna eller så småningom logga ut från klienten.
Om användare får prompts att autentisera som ett resultat av en säkerhetspolicy kopplad till en resurs, betyder det att något på deras maskin fortfarande försöker ansluta till den angivna resursen:
I grunden, när klienten är online, övervakar den trafik på enheten och utlöser endast begränsningar definierade av en policy (som MFA, autentisering, etc.) om och när den upptäcker paket som skickas till en definierad resurs.
Alternativen i detta fall är att kontrollera vilka resurser användarna får prompt för och antingen flytta dem under en enhetsbar policy eller förhindra systemet från att försöka ansluta till skyddade resurser.
Om jag förstår OP:s inlägg korrekt, misstänker jag att användaren som är på plats kan ha några interna sidor eller till och med Outlook öppet. De kommer sedan att gå offsite, och avser att arbeta offline, men Outlook och webbsidor försöker bakgrundsuppdateringar som orsakar autentiseringspromptar. Då användaren avser att arbeta offline, avbryter de bara promptarna, för att bli ompromptade igen.
OP vill undertrycka promptarna tills användaren ‘avser’ att gå online.
Åh jag förstår, det är mycket logiskt, tack för att du klargjorde / gav din tolkning!
Beteendet som rapporterats anses faktiskt vara normalt eftersom policyer tillämpas på enhetsnivå och vid varje anslutningsförsök (oavsett om det är från en användare eller en app) och oavsett om det finns internetanslutning eller inte.
En sak som kan göras är att skriva ett litet skript som ofta körs på enheter och gör följande:
- kontrollera internetanslutning
- om anslutning saknas, stäng av Twingate systemtjänsten (om den körs)
- om anslutning finns, slå på Twingate systemtjänsten (om den är stoppad)
Så jag lekte runt och skapade enhetsbara policyer för *_tcp*. och mina domänkontroller. Jag fick fortfarande autentiseringsförfrågningar för nätverksdrivare när jag öppnade en filhanterare, så jag gav dessa resurser också enhetsbara policyer. De enda användarpolicyressurser jag behöll var RDP och några andra lokala applikationer. Användare blir nu endast promptade när de avsiktligt ansluter till en nätverksapplikation.
u/Sufficient_Candy_897 har rätt. Med vår VPN ansluter användarna inte förrän de behöver tillgång till en nätverksresurs. När vissa användare bytte till Twingate förstod de inte varför de blev tillfrågade att autentisera för tillgång till vår “M-Drive” resurs, även när de inte försökte bläddra till “M-Drive”. Denna förvirring har eliminerats efter att ha skapat enhetsbara policyer.
Kanske är jag bara överdrivet försiktig, men jag tror inte att fjärranvändare ska kopplas upp om det inte är nödvändigt. Jag gillar tanken på att vara automatiskt autentiserad till domänen via enhetsolicyer. Det vore fortfarande trevligt om andra autentiseringsprompter kunde undertryckas, som i fallet med en nätverksdrivare. Användare kan alltid gå till tray-ikonen och klicka på de väntande autentiseringarna när de är redo att ansluta till en resurs.