を使用した回避策GlobalProtectVPNトンネル
GlobalProtect3.1 以前のバージョンでは、ユーザーのADパスワード。 ただし、有効にする Active Directory 以外の代替認証方法を構成できます。を確立するためのリモート ユーザーGlobalProtectVPNトンネル。 トンネルが確立されると、ユーザーはエンタープライズ Active Directory に到達すると、リモートで作業しているときでもパスワードを変更できます。
GlobalProtectに必要なアクセス権を持つリモート ユーザーを有効にする 2 つの構成オプションをサポートします。
彼らを変えるADパスワード:
- A マシンレベルを作成するログオン前接続メソッドVPNマシン証明書を使用したトンネル。
- GlobalProtect Cookie ベースの認証を有効にする認証オーバーライド。
これらのオプションのいずれかを使用すると、リモート ユーザーが自分の名前を忘れたときにロックアウトされるのを防ぐことができます。パスワードまたはパスワードの有効期限が切れたとき。
A リモート ユーザーは、次の 2 つの時点でパスワードを変更または更新しようとする場合があります。
- Windowsシステムへのログイン時
- Windows システムにログインした後
リモート ユーザーが Windows ログイン時にパスワードを変更できるようにする
ログオン前によってサポートされている接続方法の 1 つです。GlobalProtect . ログオン前の有効化GlobalProtectにを確立するVPNユーザーのエンドポイント (コンピューター、ラップトップ、またはノートブック) でマシン証明書を使用してトンネルを作成します。 この接続方法は、システムの起動直後、ユーザーがログインする前にログオン前トンネルを確立します。ログインします。 企業ならADこのログオン前トンネル経由でアクセスできるため、リモート ユーザーは次の方法でドメインにログインできます。一時的なパスワードを使用するか、Windows ログイン画面でネイティブに利用できる [パスワードの変更] オプションを使用しますパスワードを更新します。
このオプションは、リモート ユーザーが Active Directory の資格情報を忘れて、ログインできない場合に特に便利です。 Windows システムにもログインできます。 管理者がユーザーのパスワードがないため、リモート ユーザーは新しいパスワードを使用してドメインにログインできず、その後、パスワード。
Microsoft が Windows ログインと資格情報プロバイダー フレームワークに加えた変更により、エンド ユーザー エクスペリエンスを変更するADWindows ログイン時のパスワードがリモートで異なるWindows 7 および Windows 8 / Windows 10。
変化ADWindows 7 のパスワード:
Windows 7 では、GlobalProtect資格情報プロバイダーは、ネイティブの Windows 資格情報プロバイダーをラップし、ネイティブの Windows ログイン エクスペリエンスを持つエンド ユーザー。 したがって、ユーザーは通常どおりにログインでき、任意のパスワードを使用できますpolicyそれはによって強制されますAD適用され、通常どおりパスワード要件がユーザーに通知されます。
変化ADWindows 8 および 10 のパスワード:
ただし、Windows 8 および Windows 10 では、ユーザーが選択した場合、パスワードを変更する機能は利用できません。GlobalProtectサインインオプションとして。 ユーザーは、Windows を使用する前に、既定のサインイン オプションとして Windows を設定する必要があります。一時的ADパスワードを変更し、その後変更するADリモートログイン時のパスワード。
GlobalProtect シングル・サインオン (SSO ) は、ユーザーが既定のサインイン オプションとして Windows を設定すると失敗します。 ユーザーWindows からログアウトする必要があります。GlobalProtect Windows にサインインする際のサインイン オプションとしてGlobalProtectSSO再び働くために。
Windows へのログイン後にリモート ユーザーがパスワードを変更できるようにする
リモート ユーザーがADクレデンシャルがありますが、パスワードの有効期限が切れていても、ユーザーは引き続きキャッシュされた資格情報を使用して Windows システムにログインします。 ただし、ポータルまたはゲートウェイへの認証は失敗する理由ADパスワードの有効期限が切れています。 このシナリオでは、GlobalProtect認証オーバーライド機能 (で導入PAN OS7.1 とGlobalProtect3.0)。 この機能により、GlobalProtectポータルとGlobalProtect認証プロファイル要件をオーバーライドし、ユーザーを代わりにクッキー。 このオプションを使用するには、次の手順を実行する必要があります。
- を構成しますGlobalProtectポータルで Cookie を生成し、認証のために Cookie を受け入れます。
- 少なくとも 1 つを構成するGlobalProtectゲートウェイが認証用の Cookie を受け入れるようにします。
- ユーザーがこのゲートウェイにログインできる限り、Cookie の有効期間を設定します。ユーザーのパスワードの有効期限が切れた後でも。
この構成では、パスワードの有効期限が切れていても、リモート ユーザーは引き続き接続できます。 Cookie がまだ有効である限り、このゲートウェイは Cookie を使用します。 トンネルが確立されると、リモート ユーザーは到達できますエンタープライズ Active Directory にアクセスし、Ctrl + Alt + Delete を押してパスワードを変更します。パスワードオプションを変更します。
Cookie ベースの認証の詳細については、次を参照してください。強化された 2 要素認証.
リモート ユーザーが変更できるようにするための回避策AD使用するパスワード GlobalProtect
それでもGlobalProtectActive Directory のパスワード変更をネイティブにサポートしていないため、構成できます。
GlobalProtectリモート ユーザーが Active Directory パスワードを変更できるようにします。
- ログオン前の接続方法は、ユーザーがドメインにログインしている場合に特に便利です。初めてまたはドメインの一時的なパスワードを持っています。
- 認証オーバーライドは、ユーザーのパスワードの有効期限が切れていて、ユーザーがまだキャッシュされた認証情報を使用してエンドポイントにログインします。