Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et peut être utilisé pour faciliter l'installation et l'évaluation de Specops Key Recovery.

L’installation recommandée consiste à télécharger le package d’installation auto-extractible et à suivre les étapes de l’assistant d’installation.

Sinon, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d’installation basée sur un script PowerShell. Pour plus d'informations, veuillez consulter la section Installation par script.

Configuration requise

L'environnement de votre organisation doit être conforme à la configuration système requise suivante.

Composant Configuration requise
Environnement Symantec Endpoint Encryption Vous devrez fournir certaines informations relatives à votre environnement Symantec Endpoint Encryption lors de la procédure de configuration de Specops Key Recovery, telles que :
  • L'URL de votre service d'assistance Symantec Endpoint Encryption
  • Les identifiants pour accéder au service d'assistance
BitLocker Stratégie de groupe configurée pour stocker les mots de passe de récupération et les packages de clés dans les services de domaine Active Directory pour tous les disques devant être récupérables

Pour plus d'informations sur la configuration de Symantec Endpoint Encryption, veuillez consulter la documentation de Symantec.

Configuration requise
Composant Configuration requise
Ordinateur serveur Gatekeeper
  • L’environnement de votre organisation doit répondre aux exigences suivantes :
  • Associé à votre domaine Active Directory
  • Windows Server 2016/2019/2022 (Core ou Desktop Experience)
  • .Net Framework 4.7.2 or later
Outil d’administration de Gatekeeper
  • Associé à votre domaine Active Directory
  • Windows 10/11 ou Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Specops Authentication Client
  • Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022
  • Secure Access n’est pas pris en charge sur les contrôleurs de domaine.
  • .Net Framework 4.7.2 or later
  • Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le MSI d’exécution Specops Cefsharp doit être installé.
  • Specops Secure Access nécessite de déployer .Net 8 Desktop Runtime sur les ordinateurs clients.
Privilèges d’administration À la fois pour Active Directory et pour l’ordinateur du serveur Gatekeeper. Il est recommandé d’exécuter l’installation en tant qu’administrateur de domaine.
Options de compte Il existe trois options pour le compte sous lequel le service Gatekeeper Windows sera exécuté. Préparez-vous à utiliser l’un des éléments suivants :
  • Compte de service administré (recommandé) : L’utilisation d’un compte de service administré pour le Gatekeeper est simple, sans aucune action supplémentaire requise pour vous en tant qu’administrateur d’installation. Le script créera un compte de service administré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est "SRV17", le nom du compte de service administré sera "SGkSRV17$".
  • Compte de domaine : Si vous préférez utiliser un compte de domaine, celui-ci doit être créé avant de lancer l’installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte.
  • Compte de service administré de groupe : Un compte de service valide que l’ordinateur Gatekeeper est autorisé à utiliser doit d’abord être créé.
Groupes de sécurité Le script d’installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n’est requise de votre part.
  • Groupe d’administration : Les utilisateurs membres de ce groupe seront des administrateurs du portail. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
  • Groupe d’administration des utilisateurs : Les utilisateurs membres de ce groupe pourront accéder aux fonctions de gestion des utilisateurs sur le service Web d’authentification. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
  • Groupe de Gatekeepers : Les comptes de service membres de ce groupe seront autorisés à lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Installation

Créer un compte client

  1. Pour créer un compte client, cliquez ici.
  2. Sur la page Sélectionner un centre de données, indiquez le centre de données que vous souhaitez utiliser, puis cliquez sur Accéder.
    REMARQUE
    Specops Authentication est hébergé sur plusieurs centres de données. Actuellement, deux centres de données sont disponibles : EU (Europe) et NA (Amérique du Nord).
    ATTENTION
    Assurez-vous de sélectionner le centre de données dans lequel vous souhaitez que votre compte soit créé. Vous ne pouvez pas changer de centre de données après la création de votre compte.
  3. Dans le champ Nom de votre organisation, saisissez le nom de votre organisation.
  4. Dans le champ Nom de domaine de votre organisation, saisissez un nom de domaine.
  5. Dans le champ Nom du contact principal, saisissez un nom. De préférence, ceci doit être le nom de la personne qui crée le compte.
  6. Dans le champ Adresse e-mail du contact principal, saisissez l’adresse e-mail associée au contact principal
  7. Cliquez sur Continuer.
  8. Sur la page Utilisateur du compte Cloud, vous devez créer votre premier compte Cloud. Ce compte Cloud est requis pour effectuer le reste de l’installation.
    • Dans le champ Adresse e-mail du compte, saisissez l’adresse e-mail que vous souhaitez associer à ce compte Cloud. Un suffixe sera ajouté à l’adresse e-mail pour différencier ce compte Cloud d’un compte sur site avec la même adresse e-mail/nom d’utilisateur principal (UPN).
    • Le champ Nom complet du compte Cloud est en lecture seule. Le nom complet du compte Cloud est généré automatiquement à partir de l’adresse e-mail/nom d’utilisateur principal (UPN) que vous avez indiquée dans le champ Adresse e-mail du compte.
  9. Pour enregistrer votre téléphone portable sur votre compte Cloud, veuillez saisir votre numéro de téléphone portable. Lorsque vous recevez le code sur votre téléphone portable, saisissez-le à l'écran pour vous authentifier.
  10. Sur la page du Mot de passe du compte Cloud, saisissez et confirmez le mot de passe que vous souhaitez utiliser pour ce compte Cloud, puis cliquez sur OK. Il s’agit du mot de passe avec lequel vous vous connecterez à votre compte Cloud à l’avenir.
    • Remarque : La stratégie pour ce mot de passe ne peut pas être modifiée.
  11. Vous serez connecté à la section Administration de Specops Authentication Web. Vous pourrez y créer un nouveau Gatekeeper. Un Gatekeeper est requis pour se connecter à des comptes Active Directory.
  12. Cliquer sur le bouton Créer un nouveau Gatekeeper. Sur la page de téléchargement, vous trouverez le package d’installation auto-extractible et le code d’activation. Le package contient les fichiers d’installation pour le Gatekeeper et vos informations de configuration.
  13. Cliquer sur Télécharger à côté de Package d'installation auto-extractible par défaut.
    • Assurez-vous que vous disposez d’un serveur prêt pour l’installation du package.
    • Veuillez noter le code d’activation affiché sur la page, car vous serez invité à le saisir lors de l’installation.
  14. Copiez et exécutez le fichier d'installation sur votre serveur.

Installation des outils d’administration

Les outils d’administration permettent d’installer et de configurer le composant serveur, également appelé Gatekeeper. La procédure d’installation doit être effectuée sur le même serveur qui sera utilisé pour exécuter le Gatekeeper.

  1. Dans lanceur du programme d'installation de Specops Authentication, cliquez sur Installer les outils d'administration.
  2. Une fois les outils d’administration installés, cliquez sur Démarrer les outils d’administration.

Installation de Gatekeeper

  1. Cliquez sur Installer Gatekeeper.
  2. Il vous sera demandé de continuer uniquement si vous disposez du code d'activation de la page de téléchargement Gatekeeper sur Specops Authentication web. Cliquez sur Suivant.
  3. Si vous n’êtes pas autorisé à installer Specops Authentication au niveau du domaine, vous aurez la possibilité de configurer le Gatekeeper pour une unité d’organisation dont vous êtes administrateur. Limitez la racine de délégation et l’emplacement des objets de paramètres, puis cliquez sur Suivant.
  4. Sélectionnez l'étendue Active Directory dans laquelle les autorisations doivent être créées, puis cliquez sur Ajouter. Plusieurs emplacements peuvent être sélectionnés pour de multiples étendues de gestion. L’étendue d’Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication. Si vous ne souhaitez pas que les administrateurs et les responsables soient dans l’étendue de gestion, mais que vous souhaitiez qu'ils continuent à gérer le système ou à authentifier les utilisateurs, cliquez sur Autoriser les administrateurs et les responsables à se trouver en dehors de l’étendue sélectionnée.
  5. Cliquez sur Suivant.
  6. Le Gatekeeper sera exécuté en tant que service Windows. Sélectionnez le contexte de compte sous lequel le service Gatekeeper doit être exécuté.
    • Si Compte de domaine personnalisé est sélectionné, saisissez le nom de compte et le mot de passe du compte utilisateur sous lequel le service Gatekeeper sera exécuté.
  7. Cliquez sur Suivant.
  8. Si votre organisation utilise un serveur proxy de transfert pour acheminer le trafic Internet vers l’extérieur, vous serez invité à configurer le serveur proxy pour autoriser le Gatekeeper à accéder à Internet. Sinon, l’assistant d’installation ignorera cette étape.
  9. Les groupes de sécurité suivants seront créés. Vous pouvez soit conserver les noms de groupe par défaut, soit saisir un nouveau nom :
    • Groupe d’administration : Les utilisateurs membres de ce groupe seront des administrateurs du portail. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • Groupe d’administration des utilisateurs : Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le site Web d'authentification Specops. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • Groupe de Gatekeepers : Les comptes de service membres de ce groupe seront autorisés à lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.
  10. Cliquez sur Suivant.
  11. Saisissez le code d'activation de la page de téléchargement de Gatekeeper sur Specops Authentication web, puis cliquez sur Activer.
  12. Vous recevrez un message vous informant que le Gatekeeper a bien été configuré et activé.
  13. Cliquez sur Terminer.
  14. Vérifier que l’État de la connexion au cloud indique Connecté.

Configurer Specops Key Recovery pour Symantec Endpoint Encryption

  1. Sur Gatekeeper Admin Tool, sélectionnez Key Recovery, et cliquez sur Configurer Specops Key Recovery.
  2. L'assistant de configuration s'ouvrira. Sur la page Commencer de l'assistant de configuration, vous verrez une brève explication des prérequis qui doivent être en place avant que Specops Key Recovery puisse fonctionner correctement, dont les autorisations minimales qui doivent être définies. Ceci inclut :
    • Configuration de l'accès administratif au service d'assistance de Symantec Endpoint Encryption.
    • Donner un accès administratif au serveur SQL et à la base de données de Symantec Endpoint Encryption.
    • Définir l'autorisation de créer un groupe de sécurité Active Directory.
      REMARQUE
      Veuillez consulter Configurations SQL de Symantec Endpoint Encryption pour plus d'informations.
  3. Cliquez sur Suivant.
  4. Si plusieurs Gatekeepers sont installés, une page supplémentaire (Sélectionner les Gatekeepers) s'affichera et vous devrez suivre les étapes 4 a à b. Si vous n'avez qu'un seul gatekeeper installé, cette étape sera automatiquement ignorée.
    1. La configuration de Specops Key Recovery est stockée sur chaque Gatekeeper et ne peut pas être répliquée entre les Gatekeepers. Cochez la case à côté du Gatekeeper que vous souhaitez configurer.
    2. Cliquez sur Suivant.
  5. Sur la page du service FindSymantec Endpoint Encryption service de l'assistant de configuration, saisissez les informations requises pour permettre à Specops Key Recovery d’accéder à l'environnement Symantec Endpoint Encryption de votre société. Pour plus d'informations, veuillez consulter Configuration de votre compte Symantec Endpoint Encryption pour Specops Key Recovery.
    1. Saisissez votre URL Symantec Endpoint Encryption : Par exemple, https://mydomain.com//8080/WebConsole/
    2. Saisissez votre Nom d'utilisateur Symantec Endpoint Encryption : Par exemple, DOMAIN\User
    3. Saisissez votre Mot de passe Symantec Endpoint Encryption : Saisissez le mot de passe pour votre environnement Symantec Endpoint Encryption
    4. Cliquez sur Tester la connexion afin d’assurer que la connexion de Specops Key Recovery à votre environnement Symantec Endpoint Encryption a bien été établie.
    5. Cliquez sur Suivant.
  6. Sur la page des préparations SQL de l'assistant de configuration, et vous devrez : Créer un groupe de sécurité Active Directory, accorder au groupe l'accès à la base de données SQL de Symantec Endpoint Encryption et activer l'accès à distance au serveur SQL. Pour effectuer ces étapes à l'aide du script PowerShell dans l'assistant de configuration, suivre les étapes 6 a à c. Pour effectuer ces étapes manuellement ou pour plus d'informations, veuillez consulter Configurations SQL de Symantec Endpoint Encryption.
    1. Sélectionner le lien PowerShell sur le côté droit de la section Active Directory. Copiez le script, exécutez-le dans PowerShell, puis cliquez sur OK.
    2. Sélectionnez le lien PowerShell à droite de la section SQL Server. Copiez le script, exécutez-le dans PowerShell, puis cliquez sur OK.
    3. Cliquez sur Suivant.
      REMARQUE
      L'utilisateur exécutant les scripts ci-dessus doit avoir :
      • Les autorisations requises pour créer un groupe de sécurité et ajouter le groupe Specops Gatekeepers à ce groupe de sécurité, puis redémarrer le Gatekeeper.
      • L’autorisation d'activer la communication à distance sur le serveur SQL Symantec Endpoint Encryption et d'ajouter des connexions et des rôles.
  7. Sur la page Base de données de l'assistant de configuration, accorder l'accès à Symantec Endpoint Encryption en fournissant votre Instance SQL Server et le Nom de la base de données SQL Server.
    1. Cliquer sur Tester la connexion afin d’assurer que la connexion a bien été établie.
    2. Cliquez sur Suivant.
  8. Sur la page Récapitulatif de l'assistant de configuration, vous verrez une liste de tous les paramètres configurés. Si la configuration est satisfaisante, cliquer sur Terminer.

Configurer Specops Key Recovery pour BitLocker

  1. Sur Gatekeeper Admin Tool, sélectionnez Key Recovery, et cliquez sur Configurer Specops Key Recovery.
  2. L'assistant de configuration s'ouvrira. Sur la page Commencer de l'assistant de configuration, vous verrez une brève explication des étapes que l'assistant effectuera. Ceci inclut :
    • Création d'un groupe de sécurité Active Directory pour Specops Key Recovery pour BitLocker.
    • Définition de l'étendue où se trouvent les ordinateurs qui peuvent être récupérés.
    • Autorisation de vos Gatekeepers à lire les mots de passe de récupération pour BitLocker.
    • Redémarrage du ou des Gatekeeper(s).
  3. Cliquez sur Suivant.
  4. Sélectionner l'emplacement où vous souhaitez créer le groupe de sécurité Active Directory de Specops Key Recovery pour BitLocker.
  5. Cliquez sur Suivant.
  6. Sélectionner l'emplacement de vos ordinateurs utilisant Microsoft BitLocker. Les autorisations seront configurées ici pour le groupe de sécurité, afin de permettre aux Gatekeepers de lire les mots de passe de récupération.
  7. Cliquez sur Suivant.
  8. Un récapitulatif est affiché. Vérifier que votre configuration est correcte et appuyer sur Terminer pour finaliser l'installation.

Vérification du domaine

Afin d’activer les notifications par e-mail, vous devez vérifier tous les domaines associés à ce compte. En savoir plus sur la vérification de domaine.