Specops Authentication Web

Le Specops Authentication Web peut être utilisé pour afficher les informations système et gérer divers aspects du produit, y compris les configurations à l'échelle du système et les politiques d'authentification multi-facteurs pour ses différentes ressources. Une fois que vous avez installé et configuré le Gatekeeper, les utilisateurs qui sont membres du Authentication Admin Group peuvent configurer davantage la solution depuis le Specops Authentication Web :

Centre de données US : https://login.specopssoft.com/authentication/admin
Centre de données EU : https://eu.login.specopssoft.com/authentication/admin

Pour plus d'informations et d'administration générale, consultez Specops Authentication Web.

Les étapes de configuration spécifiques pour Specops Key Recovery sont décrites ci-dessous.

Politique de Key Recovery

Ici, vous pouvez configurer le mode de politique, ainsi que configurer les politiques associées à Key Recovery.

Pour spécifier les règles d'authentification pour les utilisateurs, vous aurez les options de mode de politique suivantes :

Cloud : Tous les utilisateurs auront les mêmes règles d'authentification pour la récupération de clé.
Group Policy : Les utilisateurs auront des règles d'authentification différentes déterminées par la Group Policy qui les affecte.
Les deux : La Group Policy sera traitée en premier, et la politique Cloud sera appliquée aux utilisateurs non affectés par un objet de Group Policy avec des paramètres de Specops Key Recovery.

Configurer une politique de Key Recovery

Connectez-vous au Specops Authentication Web et cliquez sur Key Recovery dans la navigation de gauche.
Cliquez sur Modifier les règles d'authentification à côté de chaque politique pour définir ses exigences d'authentification.
Cliquez sur l'icône plus pour les services d'identité que vous souhaitez inclure dans la politique.
Vous devrez attribuer un poids (valeur étoile) pour chaque service d'identité sélectionné. Cela vous permettra d'attribuer une valeur plus élevée aux services d'identité que vous estimez offrir un niveau de sécurité plus élevé. Par exemple, attribuer au Specops Authenticator 2 étoiles équivaudrait à deux services d'identité valant 1 étoile.
Pour exiger que l'utilisateur utilise un service d'identité spécifique, sélectionnez Obligatoire.
Configurez le poids requis (étoiles) pour l'enrôlement.
Configurez le poids requis (étoiles) pour l'authentification.

Remarque

Le nombre d'étoiles requis pour l'authentification doit être égal ou inférieur au nombre d'étoiles requis pour l'enrôlement.
Pour compléter le processus d'enrôlement ou d'authentification, l'utilisateur devra remplir la barre d'étoiles avec le nombre d'étoiles défini par la politique.
Cliquez sur Enregistrer lorsque vous avez terminé.

Meilleures pratiques de configuration des politiques

Lors de la configuration des politiques pour plusieurs applications Specops (uReset, Authentication for O365, Key Recovery, Password Minder), il est important de garder à l'esprit que certaines configurations peuvent affecter négativement le processus d'enrôlement pour les utilisateurs.

Lorsque les politiques pour différentes applications sont configurées nécessitant différents services d'identité, l'utilisateur devra s'identifier avec plus de services afin de satisfaire les exigences pour toutes les applications. Configurer les politiques pour utiliser le même ensemble de services d'identité raccourcira le processus d'enrôlement pour les utilisateurs.

Pour plus d'informations sur l'enrôlement, veuillez vous référer au document de meilleures pratiques.

Services d'identité faibles

En raison de la nature de certains services d'identité (auto-enrôlés), ils sont considérés comme plus faibles que d'autres. Les services d'identité listés ci-dessous sont considérés comme faibles :

Questions de sécurité
Code mobile (SMS)
Email personnel

Modes de sécurité d'enrôlement

Lorsque les utilisateurs s'enrôlent pour la première fois, ils devront s'identifier en fournissant leur mot de passe Windows. Les modifications ultérieures de l'enrôlement (ré-enrôlement) nécessiteront une identification avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows, si le mode de sécurité est réglé sur Medium ou High.

Il existe trois modes de sécurité disponibles pour les administrateurs : Sécurité faible, Sécurité moyenne, et Sécurité élevée. Ces modes de sécurité reflètent la force relative des politiques configurées et déterminent en partie avec quels services d'identité l'utilisateur doit se ré-enrôler (chaque fois que les utilisateurs doivent changer leur enrôlement).

Sécurité faible Les utilisateurs sont uniquement tenus de fournir leur mot de passe Windows pour l'identification.
Sécurité moyenne Lors du ré-enrôlement, les utilisateurs doivent s'identifier avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows.
Sécurité élevée Lors du ré-enrôlement, les utilisateurs doivent s'identifier avec un service d'identité fort précédemment utilisé, ou deux services faibles (au cas où ils ne se sont pas enrôlés avec des services d'identité forts), en plus de leur mot de passe Windows. Les services d'identité faibles, tels que les questions de sécurité, ne seront pas présentés à l'utilisateur comme une option, à moins qu'ils ne se soient enrôlés qu'avec des services d'identité faibles.

Remarque

Les modes bas ou moyen sont réglés automatiquement, en fonction des configurations de politique. Le mode de haute sécurité doit être activé par les administrateurs afin d'imposer le ré-enrôlement avec des services d'identité forts.

Paramètres pour Symantec Endpoint Encryption

Depuis l'onglet Symantec Endpoint Encryption, vous pouvez exiger une clé de défi et activer BitLocker Key Recovery.

Configurer une clé de défi (Symantec Endpoint Encryption uniquement)

Vous pouvez ajouter un champ Clé de challenge à la page d'informations de Symantec Endpoint Encryption, en sélectionnant la case à cocher Exiger une clé de challenge. Si cette case est cochée, tous les utilisateurs avec des appareils chiffrés par Symantec Endpoint Encryption devront entrer une clé de défi qui peut être trouvée sur l'écran de leur ordinateur verrouillé, lorsqu'ils effectuent une récupération de clé.

Activation de BitLocker Key Recovery

Si votre organisation utilise BitLocker Key Recovery (géré par Symantec Endpoint Encryption) pour protéger ses ordinateurs, vous pouvez activer BitLocker Key Recovery.

Paramètres pour BitLocker

Depuis l'onglet BitLocker, vous pouvez activer BitLocker Key Recovery.

Tester la connexion

Vous pouvez tester et vérifier si vous êtes connecté avec succès au Symantec Help Desk et à la base de données Symantec, et vérifier que BitLocker est configuré. Si la connexion est réussie, vous verrez le mot Réussite sur le côté droit.