Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et peut être utilisé pour installer et évaluer Specops Authentication. Pour plus d'informations sur les composants et concepts utilisés ci-dessous, consultez l'Aperçu de Specops Authentication.

L'installation recommandée consiste à télécharger le package d'installation auto-extractible et à compléter les étapes de l'assistant d'installation.

Alternativement, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d'installation basée sur un script PowerShell.

Exigences

L'environnement de votre organisation doit répondre aux exigences suivantes:

Composant	Exigence
Ordinateur serveur Gatekeeper	Système d'exploitation entièrement patché requis Joint à votre domaine Active Directory Windows Server 2016/2019/2022 (core ou expérience de bureau) .Net Framework 4.7.2 ou ultérieur
Outil d'administration Gatekeeper	Joint à votre domaine Active Directory Windows 10/11 ou Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou ultérieur
Client Specops	Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022 Secure Access non pris en charge sur les contrôleurs de domaine. .Net Framework 4.7.2 ou ultérieur Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le runtime Specops Cefsharp MSI doit être installé. Specops Secure Access nécessite .Net 8 Desktop Runtime déployé sur les ordinateurs clients.
Privilèges administratifs	Pour Active Directory et l'ordinateur serveur Gatekeeper. Il est recommandé d'exécuter l'installation en tant qu'administrateur de domaine.
Options de compte	Il y a trois options pour le compte sous lequel le service Windows Gatekeeper s'exécutera. Préparez-vous à utiliser l'une des options suivantes: Compte de service géré (recommandé): Utiliser un compte de service géré pour le Gatekeeper est facile, sans actions supplémentaires requises pour vous en tant qu'administrateur d'installation. Le script créera un compte de service géré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est "SRV17", le nom du compte de service géré sera "SGkSRV17$". Compte de domaine: Si vous préférez utiliser un compte de domaine, il doit être créé avant d'exécuter l'installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte à portée de main. Compte de service géré de groupe: Un compte de service valide que l'ordinateur Gatekeeper est autorisé à utiliser doit d'abord être créé.
Groupes de sécurité	Le script d'installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n'est requise de votre part. Groupe Admin: Les utilisateurs membres de ce groupe seront des administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web Authentication. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Pour l'approvisionnement vers O365:

Un compte O365 avec des droits d'administrateur global sur Microsoft Entra ID: Vous pouvez acheter un compte O365 ou vous inscrire pour un compte d'essai gratuit Enterprise à partir de: https://www.office.com/?cosmicflight=cosmicredirect
Un nom de domaine valide avec des droits d'accès et d'édition sur votre hôte de domaine. Remarque: Vous ne pouvez pas utiliser le domaine par défaut *.onmicrosoft.com.

Avant de commencer

Activez l'authentification moderne dans O365. Cela doit être fait pour Exchange Online et Skype for Business Online (si utilisé).
- Exchange Online, voir Activer ou désactiver l'authentification moderne pour Outlook dans Exchange Online.
- Skype for Business Online, voir Skype for Business Online: Activer votre client pour l'authentification moderne.
Si votre implémentation O365 utilise ADFS ou un autre fournisseur d'identité, vous devrez défédérer le domaine que vous souhaitez fédérer avec Specops Authentication.

Installation

Créer un compte client

Pour créer un compte client, consultez Specops Authentication.
Sur la page Sélectionner le centre de données, identifiez le centre de données que vous souhaitez utiliser et cliquez sur Go.

Remarque

Specops Authentication est hébergé dans plusieurs centres de données. Il y a actuellement deux centres de données disponibles: UE (Europe) et NA (Amérique du Nord).

Avertissement

Assurez-vous de sélectionner le centre de données dans lequel vous souhaitez que votre compte soit créé. Vous ne pouvez pas changer de centre de données après la création de votre compte.
Dans le champ Nom de votre organisation, entrez le nom de votre organisation.
Dans le champ Nom de domaine de votre organisation, entrez un nom de domaine.
Dans le champ Nom du contact principal, entrez un nom. Idéalement, cela devrait être le nom de la personne configurant le compte.
Dans le champ Email du contact principal, entrez l'adresse email associée au contact principal.
Cliquez sur Continuer.
Sur la page Utilisateur du compte Cloud, vous devez créer votre premier compte Cloud. Ce compte Cloud est nécessaire pour effectuer le reste de l'installation.
- Dans le champ Adresse email du compte, entrez l'adresse email que vous souhaitez associer à ce compte Cloud. Un suffixe sera ajouté à l'adresse email pour différencier ce compte Cloud d'un compte sur site avec la même adresse email/UPN.
- Le champ Nom complet du compte Cloud est en lecture seule. Le nom complet du compte Cloud est généré automatiquement à partir de l'adresse email/UPN que vous avez spécifiée dans le champ Adresse email du compte.
Pour enregistrer votre téléphone mobile avec votre compte Cloud, entrez votre numéro de téléphone mobile. Lorsque vous recevez le code sur votre téléphone mobile, entrez-le à l'écran pour vous authentifier.
Sur la page Mot de passe du compte Cloud, entrez et confirmez le mot de passe que vous souhaitez utiliser pour ce compte Cloud et cliquez sur OK. C'est le mot de passe avec lequel vous vous connecterez à votre compte Cloud à l'avenir.

Remarque

La politique pour ce mot de passe ne peut pas être modifiée.
Vous serez connecté à la section Admin du Web Specops Specops Authentication. Ici, vous pourrez créer un nouveau Gatekeeper. Un Gatekeeper est requis pour se connecter avec des comptes Active Directory.
Cliquez sur le bouton Créer un nouveau Gatekeeper. Sur la page de téléchargement, vous verrez le package d'installation auto-extractible et le code d'activation. Le package contient les fichiers d'installation pour le Gatekeeper et vos informations de configuration.
Cliquez sur Télécharger à côté de Package d'installation auto-extractible par défaut.
- Assurez-vous d'avoir un serveur prêt pour l'installation du package.
- Notez le code d'activation affiché sur la page, car il vous sera demandé lors de l'installation.
Copiez et exécutez le fichier d'installation sur votre serveur.

Installer les outils d'administration

Les outils d'administration sont utilisés pour installer et configurer le composant serveur, également connu sous le nom de Gatekeeper. Le processus d'installation doit être effectué sur le même serveur qui sera utilisé pour exécuter le Gatekeeper.

Dans le lanceur de configuration Specops Authentication, cliquez sur Installer les outils d'administration.
Une fois les outils d'administration installés, cliquez sur Démarrer les outils d'administration.

Installer le Gatekeeper

Cliquez sur Installer Gatekeeper.
Il vous sera demandé de ne procéder que si vous avez le code d'activation de la page de téléchargement du Gatekeeper sur le web Specops Authentication. Cliquez sur Suivant.
Si vous n'avez pas les permissions pour installer Specops Authentication au niveau du domaine, il vous sera proposé de configurer le Gatekeeper pour une unité organisationnelle où vous êtes administrateur. Limitez la racine de délégation et l'emplacement des objets de paramètres, et cliquez sur Suivant.
Sélectionnez la portée Active Directory où les permissions doivent être créées, et cliquez sur Ajouter. Plusieurs emplacements peuvent être sélectionnés pour plusieurs portées de gestion. La portée Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication. Si vous ne souhaitez pas que les administrateurs et les gestionnaires soient dans la portée de gestion mais que vous voulez qu'ils gèrent toujours le système ou authentifient les utilisateurs, cliquez sur Autoriser les administrateurs et les gestionnaires à être en dehors de la portée sélectionnée.
Cliquez sur Suivant.
Le Gatekeeper s'exécutera en tant que service Windows. Sélectionnez le contexte de compte sous lequel le service Gatekeeper doit s'exécuter.
- Si Compte de domaine personnalisé est sélectionné, entrez le nom de compte et le mot de passe du compte utilisateur sous lequel le service Gatekeeper s'exécutera.
Cliquez sur Suivant.
Si votre organisation utilise un serveur proxy pour acheminer le trafic Internet vers l'extérieur, il vous sera demandé de configurer le serveur proxy pour permettre au Gatekeeper d'accéder à Internet. Sinon, l'assistant d'installation passera cette étape.
Les groupes de sécurité suivants seront créés. Vous pouvez soit conserver les noms de groupe par défaut, soit entrer un nouveau nom:
- Groupe Admin: Les utilisateurs membres de ce groupe seront des administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web Specops Authentication. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.
Cliquez sur Suivant.
Entrez le code d'activation de la page de téléchargement du Gatekeeper sur le web Specops Authentication, et cliquez sur Activer.
Vous recevrez un message indiquant que le Gatekeeper a été configuré et activé avec succès.
Cliquez sur Terminer.
Vérifiez que le statut de connexion Cloud indique Connecté.

Vérification de domaine

Afin d'activer les notifications par email, vous devez vérifier tous les domaines associés à ce compte. Lisez plus à propos de la vérification de domaine.

Post-installation

Complétez les configurations suivantes une fois que vous avez installé Specops Authentication.

Créez un GPO Specops Authentication:
1. Dans la section GPOs sélectionnés du Gatekeeper, taguez les GPOs que vous souhaitez utiliser avec Specops Authentication. Les utilisateurs concernés peuvent avoir leurs paramètres d'authentification, d'approvisionnement et de licence configurés depuis le web Specops Authentication.
2. Cliquez sur Taguer les GPOs, sélectionnez la stratégie de groupe, et cliquez sur OK. Alternativement, si vous souhaitez que Specops Authentication soit appliqué à la portée sélectionnée lors de l'installation du Gatekeeper, passez cette étape, et sélectionnez Cloud à la dernière étape lors de la configuration de Specops Authentication avec O365.
Activez l'authentification intégrée Windows.