Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et peut être utilisé pour installer et évaluer Specops Key Recovery. Pour plus d'informations sur les composants et concepts utilisés ci-dessous, voir la Vue d'ensemble.

L'installation recommandée consiste à télécharger le package d'installation auto-extractible et à compléter les étapes de l'assistant d'installation.

Alternativement, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d'installation basée sur un script PowerShell.

Exigences

L'environnement de votre organisation doit répondre aux exigences suivantes:

Composant	Exigence
Ordinateur serveur Gatekeeper	Système d'exploitation entièrement patché requis Joint à votre domaine Active Directory Windows Server 2016/2019/2022 (core ou expérience de bureau) .Net Framework 4.7.2 ou ultérieur
Outil d'administration Gatekeeper	Joint à votre domaine Active Directory Windows 10/11 ou Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou ultérieur
Client Specops	Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022 Secure Access non pris en charge sur les contrôleurs de domaine. .Net Framework 4.7.2 ou ultérieur Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le runtime Specops Cefsharp MSI doit être installé. Specops Secure Access nécessite .Net 8 Desktop Runtime déployé sur les ordinateurs clients.
Privilèges administratifs	Pour Active Directory et l'ordinateur serveur Gatekeeper. Il est recommandé d'exécuter l'installation en tant qu'administrateur de domaine.
Options de compte	Il existe trois options pour le compte sous lequel le service Windows Gatekeeper s'exécutera. Préparez-vous à utiliser l'une des options suivantes: Compte de service géré (recommandé): Utiliser un compte de service géré pour le Gatekeeper est facile, sans actions supplémentaires requises pour vous en tant qu'administrateur de l'installation. Le script créera un compte de service géré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est « SRV17 », le nom du compte de service géré sera « SGkSRV17$ ». Compte de domaine: Si vous préférez utiliser un compte de domaine, il doit être créé avant d'exécuter l'installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte à portée de main. Compte de service géré de groupe: Un compte de service valide que l'ordinateur Gatekeeper est autorisé à utiliser, doit d'abord être créé.
Groupes de sécurité	Le script d'installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n'est requise de votre part. Groupe Admin: Les utilisateurs membres de ce groupe seront administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web d'authentification. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Installation du Gatekeeper, des outils d'administration et du client

Création d'un compte client

Créez le compte client.
Sur la page Sélectionner le centre de données, identifiez le centre de données que vous souhaitez utiliser et cliquez sur Go.

Remarque

Specops Authentication est hébergé dans plusieurs centres de données. Il y a actuellement deux centres de données disponibles: UE (Europe) et NA (Amérique du Nord).

Avertissement

Assurez-vous de sélectionner le centre de données dans lequel vous souhaitez que votre compte soit créé. Vous ne pouvez pas changer de centre de données après la création de votre compte.
Dans le champ Nom de votre organisation, entrez le nom de votre organisation.
Dans le champ Nom de domaine de votre organisation, entrez un nom de domaine.
Dans le champ Nom du contact principal, entrez un nom. Idéalement, cela devrait être le nom de la personne configurant le compte.
Dans le champ Email du contact principal, entrez l'adresse email associée au contact principal.
Cochez chaque produit que vous avez sous licence.
Cochez tous les packages supplémentaires que vous avez sous licence.
Acceptez les Conditions d'utilisation en cochant la case.
Cliquez sur Continuer.

Page du compte Cloud
Sur la page Comptes Cloud, vous devez créer votre premier Compte Cloud. Ce Compte Cloud est requis pour effectuer le reste de l'installation.
- Dans le champ Adresse email du compte Cloud, entrez l'adresse email que vous souhaitez associer à ce Compte Cloud. Un suffixe sera ajouté à l'adresse email, pour différencier ce Compte Cloud d'un compte sur site avec la même adresse email/UPN.
- Le champ Nom complet du compte Cloud est en lecture seule. Le nom complet du Compte Cloud est généré automatiquement à partir de l'adresse email/UPN que vous avez spécifiée dans le champ Adresse email du compte Cloud.
Cliquez sur Continuer.
Un code sera envoyé à l'adresse email que vous avez fournie. Saisissez le code dans le champ Code et cliquez sur Confirmer.

Page du code mobile
Pour enregistrer votre téléphone mobile avec votre Compte Cloud, entrez votre numéro de téléphone mobile avec le code pays correct et cliquez sur Envoyer. Vous recevrez un code sur votre téléphone mobile, entrez-le à l'écran pour vous authentifier.

Page du mot de passe du compte Cloud
Sur la page Mot de passe du compte Cloud, entrez et confirmez le mot de passe que vous souhaitez utiliser pour ce Compte Cloud et cliquez sur OK. C'est le mot de passe avec lequel vous vous connecterez à votre Compte Cloud à l'avenir.

Remarque

La politique pour ce mot de passe ne peut pas être modifiée.

Web d'authentification
Vous serez connecté à la section Admin du Web d'authentification Specops. Ici, vous pourrez créer un nouveau Gatekeeper. Un Gatekeeper est requis pour se connecter avec des comptes Active Directory.
Cliquez sur le bouton Créer un nouveau Gatekeeper. Sur la page de téléchargement, vous verrez le package d'installation auto-extractible et le code d'activation. Cliquez sur copier à côté du Code d'activation pour le stocker dans le presse-papiers. Si vous n'êtes pas actuellement sur le serveur où le Gatekeeper sera installé, notez le code d'activation.
Cliquez sur Télécharger à côté de Package d'installation auto-extractible par défaut. Le package contient les fichiers d'installation pour le Gatekeeper et vos informations de configuration. Par défaut, le package sera téléchargé dans votre dossier Téléchargements.
- Assurez-vous d'avoir un serveur prêt pour l'installation du package.
- Notez le code d'activation affiché sur la page, car il vous sera demandé lors de l'installation.
Copiez le package d'installation sur votre serveur s'il n'y est pas déjà, et exécutez le fichier d'installation sur votre serveur.

Installation des outils d'administration

Les outils d'administration sont utilisés pour installer et configurer le composant serveur, également connu sous le nom de Gatekeeper. Le processus d'installation doit être effectué sur le même serveur qui sera utilisé pour exécuter le Gatekeeper.

Dans le lanceur de configuration Specops Authentication (démarré en double-cliquant sur le package d'installation), cliquez sur Installer les outils d'administration.
Une fois les outils d'administration installés, cliquez sur Démarrer les outils d'administration.

Installation du Gatekeeper

Cliquez sur Installer Gatekeeper.
Il vous sera demandé de ne continuer que si vous avez le code d'activation de la page de téléchargement du Gatekeeper sur le Web d'authentification Specops. Cliquez sur Suivant.
Sélectionnez le contrôleur de domaine Active Directory à connecter.
Si vous n'avez pas les permissions pour installer Specops Authentication au niveau du domaine, vous aurez la possibilité de configurer le Gatekeeper pour une unité organisationnelle où vous êtes administrateur. Limitez la racine de délégation et l'emplacement des objets de paramètres, puis cliquez sur Suivant.
Sélectionnez la portée Active Directory où les permissions doivent être créées, en mettant en surbrillance la portée dans l'arborescence AD, et en cliquant sur Ajouter sélectionné. Plusieurs emplacements peuvent être sélectionnés pour plusieurs portées de gestion. La portée Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication. Si vous ne voulez pas que les administrateurs et les gestionnaires soient dans la portée de gestion mais que vous voulez qu'ils gèrent toujours le système ou authentifient les utilisateurs, cochez la case Permettre aux administrateurs et aux gestionnaires d'être en dehors de la portée sélectionnée.
Cliquez sur Suivant.
Le Gatekeeper fonctionnera en tant que service Windows. Sélectionnez le contexte de compte sous lequel le service Gatekeeper doit s'exécuter. Vous pouvez choisir entre Compte de service géré, Compte de service géré de groupe et Compte de domaine personnalisé.
- Par défaut, c'est le Compte de service géré de groupe (GMSA) et il est recommandé pour la plupart des organisations
- Si le Compte de domaine personnalisé est sélectionné, entrez le nom de compte et le mot de passe du compte utilisateur sous lequel le service Gatekeeper s'exécutera.
- L'utilisation du Compte de service géré de groupe a des exigences supplémentaires, voir Compte de service géré de groupe ici.
Cliquez sur Suivant.
Ensuite, vous aurez un aperçu des groupes de sécurité associés à Specops Authentication. Par défaut, les groupes de sécurité suivants seront créés. Vous pouvez soit conserver les noms de groupe par défaut, soit entrer un nouveau nom:
- Groupe Admin: Les utilisateurs membres de ce groupe seront administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web d'authentification Specops. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.
Remarque

À cette étape, vous pouvez également ajouter des membres aux groupes de sécurité en cliquant sur le lien Modifier les membres pour le groupe de sécurité, puis en cliquant sur Ajouter un membre. Notez également que cela n'est disponible que lors d'une installation propre du Gatekeeper.
Cliquez sur Suivant.
Si les administrateurs de domaine sont inclus dans la portée de cette installation, L'inscription de l'administrateur devra être configurée. Si vous souhaitez autoriser les administrateurs de domaine à s'inscrire, cochez la case appropriée. Cliquez sur Suivant.
Si votre organisation utilise un serveur proxy pour acheminer le trafic Internet vers l'extérieur, vous serez invité à configurer le serveur proxy pour permettre au Gatekeeper d'accéder à Internet. Sinon, l'assistant d'installation passera cette étape.
Entrez le code d'activation de la page de téléchargement du Gatekeeper sur le Web d'authentification Specops, et cliquez sur Activer.
Vous recevrez un message indiquant que le Gatekeeper a été configuré et activé avec succès.
Cliquez sur Terminer.
Vérifiez que le statut de connexion Cloud dans la section Paramètres de communication indique Connecté.

Vérification de domaine

Afin d'activer les notifications par email, vous devez vérifier tous les domaines associés à ce compte. Lisez plus à propos de la vérification de domaine.

Installation du client Specops

Le client Specops est installé avec un installateur basé sur MSI. Notez que la mise à niveau du client Specops écrasera le client installé.

Si installé, le client Specops peut être trouvé dans « Ajouter/Supprimer des programmes » ou « Programmes et fonctionnalités » depuis le Panneau de configuration Windows. Les versions et les éditions peuvent varier.

Remarque

Les anciennes versions du client Specops peuvent être identifiées comme « Client Specops uReset » ou « Client Specops Password ».

Le client Specops peut être utilisé avec les produits logiciels Specops suivants:

Specops Password Reset
Specops Password Policy
Specops uReset

Mise à niveau du client Specops

Les organisations utilisant uniquement Specops Password Policy doivent déployer le client Specops MSI. Le runtime CefSharp MSI n'est pas requis pour ce scénario.

Les organisations utilisant Specops uReset ou Specops Password Reset doivent déployer le runtime CefSharp MSI en plus du client Specops MSI. Le runtime CefSharp MSI est requis par le navigateur sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que le client Specops utilise une version spécifique du runtime CefSharp MSI, il est important de déployer le dernier runtime CefSharp MSI en même temps ou avant de déployer le client Specops MSI.

Alors que le client Specops MSI ne peut être installé qu'avec exactement 1 version, plusieurs versions du runtime CefSharp MSI peuvent être installées en même temps. Le but est de simplifier le déploiement dans une grande organisation.

Le flux recommandé pour la mise à niveau du client Specops est:

Déployez le dernier runtime CefSharp MSI, s'il n'est pas déjà déployé
Déployez le dernier client Specops MSI
Retirez toute version précédente du runtime CefSharp MSI, si nécessaire
Téléchargez et mettez à jour les modèles administratifs (ADMX) pour avoir la dernière version en place. Dans la plupart des cas, aucun changement de configuration n'est nécessaire, sauf indication contraire dans les notes de version. Voir la section ci-dessous sur la configuration du client Specops.

Remarque

Lors de l'utilisation du client Specops en conjonction avec un outil de réinitialisation de mot de passe:

La dernière version du runtime du navigateur CefSharp est requise si Specops uReset/Specops Password Reset est utilisé (les clients de Specops Password Policy uniquement n'ont pas besoin du runtime du navigateur CefSharp). Il est recommandé de déployer le runtime du navigateur CefSharp avant le client Specops lui-même.

Le comportement d'installation/mise à niveau pour le runtime du navigateur CefSharp a été modifié. L'installation d'un runtime CefSharp plus récent ne remplacera plus l'ancien runtime installé. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L'intention est de pouvoir effectuer un déploiement dans une organisation, où le nouveau navigateur CefSharp est d'abord déployé. Une fois déployé, le client Specops peut être mis à niveau. Cela facilitera la vérification que le client Specops fonctionne sur tous les ordinateurs lors d'une mise à niveau, que le dernier runtime du navigateur CefSharp ait été déployé ou non.

Le client Specops doit être installé sur les ordinateurs clients de l'organisation, soit en l'installant manuellement, soit en le déployant à l'aide d'un outil de déploiement.

Téléchargement du client Specops

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d'installation du client de l'installateur Password Policy.

Déploiement du client Specops

Pour déployer le client Specops à tous les utilisateurs, utilisez GPSI, Specops Deploy/App ou tout autre outil de déploiement. Le client Specops prend en charge l'installation silencieuse lors du déploiement à l'aide d'un outil de déploiement. Le client MSI peut être déployé silencieusement en utilisant les commutateurs MSI standard (par exemple, /qn). Il n'y a pas de paramètres de ligne de commande Specops pour l'installation MSI.

Installation ou mise à niveau manuelle du client Specops

Ouvrez l'assistant de configuration du client Specops que vous venez de télécharger (fichier .msi)
Dans l'assistant, cliquez sur Suivant.
Acceptez le contrat de licence en cochant la case, puis cliquez sur Suivant.
Sélectionnez l'emplacement où le client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Client\), puis cliquez sur Suivant.
Cliquez sur Installer.
Une fois l'installation terminée, cliquez sur Terminer.

Configuration du client Specops

Le client Specops peut être configuré à l'aide du modèle administratif dans la console de gestion des stratégies de groupe. Pour plus d'informations sur sa configuration, veuillez vous référer à la page du client Specops.

Configurer Specops Key Recovery pour Symantec Endpoint Encryption

Sur l'outil d'administration Gatekeeper, sélectionnez Key Recovery, et cliquez sur Configurer Specops Key Recovery.
L'assistant de configuration s'ouvrira. Sur la page Commencer de l'assistant de configuration, vous verrez une brève explication des prérequis qui doivent être en place avant que Specops Key Recovery puisse fonctionner avec succès, y compris les permissions minimales qui doivent être définies. Cela inclut:
- Définir l'accès administratif au web du service d'assistance Symantec Endpoint Encryption.
- Donner l'accès administratif au serveur SQL et à la base de données Symantec Endpoint Encryption.
- Définir la permission de créer un groupe de sécurité Active Directory.
Remarque

Voir Configurations SQL de Symantec Endpoint Encryption pour plus d'informations.
Cliquez sur Suivant.
Si vous avez plusieurs Gatekeepers installés, une page supplémentaire (Sélectionner les Gatekeepers) s'affichera, et vous devrez compléter les étapes 4a-b. Si vous n'avez qu'un seul gatekeeper installé, cette étape sera automatiquement ignorée.
1. La configuration de Specops Key Recovery est stockée sur chaque Gatekeeper et ne peut pas être répliquée entre les Gatekeepers. Cochez la case à côté du Gatekeeper que vous souhaitez configurer.
2. Cliquez sur Suivant.
Sur la page Trouver le service Symantec Endpoint Encryption de l'assistant de configuration, entrez les informations requises pour permettre à Specops Key Recovery d'accéder à l'environnement Symantec Endpoint Encryption de votre entreprise. Pour plus d'informations, voir Configurer votre compte Symantec Endpoint Encryption avec Specops Key Recovery.
1. Entrez votre URL Symantec Endpoint Encryption: Par exemple, https://mydomain.com//8080/WebConsole/
2. Entrez votre Nom d'utilisateur Symantec Endpoint Encryption: Par exemple, DOMAINE\Utilisateur
3. Entrez votre Mot de passe Symantec Endpoint Encryption: Entrez le mot de passe pour votre environnement Symantec Endpoint Encryption
4. Cliquez sur Tester la connexion pour vous assurer que Specops Key Recovery s'est connecté avec succès à votre environnement Symantec Endpoint Encryption.
5. Cliquez sur Suivant.
Sur la page Préparations SQL de l'assistant de configuration, vous devrez: Créer un groupe de sécurité Active Directory, accorder au groupe l'accès à la base de données SQL Symantec Endpoint Encryption, et activer l'accès à distance au serveur SQL. Pour compléter ces étapes en utilisant le script PowerShell dans l'assistant de configuration, complétez les étapes 6a-c. Pour compléter ces étapes manuellement, ou pour plus d'informations, voir Configurations SQL de Symantec Endpoint Encryption.
1. Sélectionnez le lien PowerShell sur le côté droit de la section Active Directory. Copiez le script, exécutez-le dans PowerShell, et cliquez sur OK.
2. Sélectionnez le lien PowerShell sur le côté droit de la section SQL Server. Copiez le script, exécutez-le dans PowerShell, et cliquez sur OK.
3. Cliquez sur Suivant.
Remarque

L'utilisateur exécutant les scripts ci-dessus doit avoir:
- Les permissions pour créer un groupe de sécurité, et ajouter le groupe Specops Gatekeepers à ce groupe de sécurité, et redémarrer le Gatekeeper.
- La permission d'activer la mise à distance sur le serveur SQL Symantec Endpoint Encryption, et d'ajouter des connexions et des rôles.
Sur la page Base de données de l'assistant de configuration, accordez l'accès à Symantec Endpoint Encryption en fournissant votre Instance de serveur SQL et le Nom de la base de données SQL.
1. Cliquez sur Tester la connexion pour vous assurer que la connexion a réussi.
2. Cliquez sur Suivant.
Sur la page Résumé de l'assistant de configuration, vous verrez un aperçu de tous les paramètres configurés. Si vous êtes satisfait de la configuration, cliquez sur Terminer.

Configurer Specops Key Recovery pour BitLocker

Dans l'outil d'administration Gatekeeper, sélectionnez Key Recovery, et cliquez sur Configurer Specops Key Recovery.
L'assistant de configuration s'ouvrira. Sur la page Début de l'assistant de configuration, vous verrez une brève explication des étapes que l'assistant effectuera. Cela inclut:
- Création d'un groupe de sécurité Active Directory pour Specops Key Recovery pour BitLocker.
- Définition de la portée où se trouvent les ordinateurs pouvant être récupérés.
- Donner à vos Gatekeepers la permission de lire les mots de passe de récupération pour BitLocker.
- Redémarrage du ou des Gatekeepers.
Cliquez sur Suivant.
Sélectionnez où vous souhaitez créer le groupe de sécurité Active Directory pour Specops Key Recovery pour BitLocker.
Cliquez sur Suivant.
Sélectionnez où se trouvent vos ordinateurs utilisant Microsoft BitLocker. Les permissions seront configurées ici pour le groupe de sécurité, afin de permettre aux Gatekeepers de lire les mots de passe de récupération.
Cliquez sur Suivant.
Un résumé est affiché. Vérifiez que votre configuration est correcte, et appuyez sur Terminer pour finaliser la configuration.

Vérification de domaine

Pour activer les notifications par email, vous devez vérifier tous les domaines associés à ce compte. Lisez plus à propos de la vérification de domaine.

Installation

Exigences

Installation du Gatekeeper, des outils d'administration et du client

Création d'un compte client

Page du compte Cloud

Page du code mobile

Page du mot de passe du compte Cloud

Web d'authentification

Installation des outils d'administration

Installation du Gatekeeper

Vérification de domaine

Installation du client Specops

Mise à niveau du client Specops

Téléchargement du client Specops

Déploiement du client Specops

Installation ou mise à niveau manuelle du client Specops

Configuration du client Specops

Configurer Specops Key Recovery pour Symantec Endpoint Encryption

Configurer Specops Key Recovery pour BitLocker

Vérification de domaine