Client Specops
Remarque
Le client Specops nécessite une installation/déploiement silencieux. Téléchargez les fichiers d'installation ici. Il n'y a pas de configurations ou de paramètres msi requis pour le déploiement.
Le client Specops peut être configuré à l'aide du modèle administratif dans la console de gestion des stratégies de groupe.
Le client Specops utilise des fichiers ADMX pour modifier les paramètres du Registre Windows afin de changer la manière dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML basés sur les paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le Registre Windows sont modifiées lorsqu'un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).
Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés au client Specops: créer le raccourci du menu Démarrer ; et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.
Accéder aux modèles ADMX de Specops
Pour accéder aux modèles ADMX associés au client Specops:
- Ouvrez l'outil de gestion des stratégies de groupe (GPMC).
- Faites un clic droit sur l'objet de stratégie de groupe (GPO) que vous souhaitez modifier, et sélectionnez Modifier.
- Dans la navigation arborescente, accédez à Configuration de l'ordinateur > Stratégies > Modèles administratifs: Définitions de stratégie (fichiers ADMX) > Client Specops. Vous y trouverez tous les modèles ADMX associés au client Specops.
Masquer le lien de réinitialisation du mot de passe sur la page de connexion
Emplacement: Améliorer la connexion Windows et le changement de mot de passe > Afficher le lien de réinitialisation du mot de passe
Lors de la connexion à Windows, sous les champs nom d'utilisateur/mot de passe, un lien « Réinitialiser le mot de passe… » permet aux utilisateurs dans les organisations utilisant Specops uReset ou Specops Password Reset de réinitialiser leurs mots de passe. Ce paramètre vous permet d'afficher ou de masquer le lien de réinitialisation du mot de passe affiché sur la page de connexion Windows.
- Ouvrez le fichier Afficher le lien de réinitialisation du mot de passe.
- Sélectionnez le bouton radio Désactivé.
-
Cliquez sur OK.
Remarque
Pour réactiver le paramètre, vous pouvez définir le bouton radio sur Non configuré ou Activé.
Création de raccourcis dans le menu Démarrer
Emplacement: Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour s'inscrire/modifier/réinitialiser
Avec le client Specops installé, lorsqu'un utilisateur se connecte à Windows, des raccourcis dans le menu Démarrer pour s'inscrire, réinitialiser et changer le mot de passe sont créés. Ce sont des raccourcis pratiques pour que les utilisateurs puissent facilement utiliser Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne devraient pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés lors de la prochaine connexion si ce paramètre a été défini sur désactivé.
S'inscrire, réinitialiser et changer le mot de passe ont chacun leur propre fichier modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit:
- Créer un raccourci dans le menu Démarrer pour s'inscrire
- Créer un raccourci dans le menu Démarrer pour réinitialiser le mot de passe
- Créer un raccourci dans le menu Démarrer pour changer le mot de passe
- Ouvrez le fichier pour lequel vous souhaitez modifier le comportement (voir la liste des fichiers ci-dessus).
- Sélectionnez le bouton radio Désactivé.
-
Cliquez sur OK.
Remarque
Pour réactiver le paramètre, vous pouvez définir le bouton radio sur Non configuré ou Activé.
Création d'un magasin central pour les modèles administratifs de stratégie de groupe
Le magasin central pour les modèles administratifs vous permet de stocker tous les fichiers modèles dans un seul emplacement sur SYSVOL où ils peuvent être accessibles et présentés sur n'importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles administratifs de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis %windir%\PolicyDefinitions.
Les fichiers ADMX doivent être copiés vers:
[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions
Les fichiers ADML doivent être copiés vers:
[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us
Pour plus d'informations sur le magasin central et les meilleures pratiques, visitez: www.support.microsoft.com/kb/929841
Pour obtenir de l'aide sur l'installation du produit et du client, veuillez vous référer à la section Installation.
Pour les téléchargements, veuillez vous référer à la section Téléchargements.
Interface utilisateur de rétroaction dynamique
Remarque
La rétroaction dynamique lors du changement de mot de passe n'est pas prise en charge si le paramètre de stratégie de groupe "Connexion interactive: Ne pas afficher le dernier nom d'utilisateur" est défini sur Activé.
Remarque
La rétroaction dynamique lors du changement de mot de passe n'est pas prise en charge lors de l'authentification avec RSA SecurID.
Client Specops et Microsoft Entra SSPR
Cette section s'applique aux organisations utilisant Specops Password Policy, Microsoft Entra ID hybride et utilisant Microsoft Entra SSPR pour les réinitialisations de mot de passe.
Lorsque Microsoft Entra SSPR réinitialise le mot de passe d'un utilisateur dans Microsoft Entra ID hybride, le Specops Password Policy Sentinel est invoqué pour évaluer le nouveau mot de passe.
Microsoft Entra SSPR sera informé si Specops Password Policy rejette le nouveau mot de passe. Notez cependant que Microsoft Entra SSPR ne sait pas pourquoi la réinitialisation du mot de passe a été rejetée. Envisagez de mettre en œuvre Specops uReset pour obtenir une meilleure expérience utilisateur.
Si les ordinateurs clients sont déjà configurés à l'aide d'Intune ou de la stratégie de registre et utilisent Microsoft Entra SSPR pour le lien "Réinitialiser le mot de passe...", cette configuration doit être annulée.
Pour utiliser Microsoft Entra SSPR pour réinitialiser le mot de passe à partir du lien "Réinitialiser le mot de passe..." sur l'écran de connexion Windows, utilisez la configuration suivante:
- Déployez le client Specops et les MSIs du runtime Specops CefSharp
- Assurez-vous que "AllowPasswordReset" sous "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" dans la valeur du registre est désactivé (inexistant ou défini sur 0). Cela désactive la fonctionnalité intégrée de Microsoft Entra SSPR "Réinitialiser le mot de passe...".
- Configurez une stratégie de groupe affectant l'ordinateur, avec "Utiliser Microsoft Entra SSPR pour les réinitialisations de mot de passe" défini sur "Activé" à partir du client Specops ADMX
- Notez que les fonctionnalités "Réinitialisation du mot de passe sans VPN avec mise à jour des informations d'identification en cache" ne fonctionnent qu'avec Specops uReset, mais pas avec Microsoft Entra SSPR.
Configuration du client pour Secure Access
Le client Specops doit être installé sur tous les ordinateurs utilisant Secure Access pour se connecter. Étant donné qu'il est important que le client Specops ne soit pas désinstallé sur ces ordinateurs, les utilisateurs individuels ne doivent pas être autorisés à désinstaller le client Specops (par exemple, en ne leur permettant pas d'avoir des privilèges d'administrateur local). Nous recommandons fortement de surveiller les désinstallations du client Specops. Pour déployer le client Specops, il est recommandé d'utiliser un système de déploiement tel que GPSI ou Specops Deploy.
Les ordinateurs doivent être joints à Active Directory. Les utilisateurs dans Active Directory peuvent être protégés avec MFA. Les utilisateurs locaux ne sont pas pris en charge.
Chaque ordinateur client doit être provisionné avec des paramètres obligatoires, qui résident dans le registre. Il est recommandé d'utiliser des modèles ADMX.
Paramètres ADMX
Paramètres obligatoires
- URL de l'API Specops Authentication
- Clé API Specops Authentication
Paramètres optionnels
- Temps avant de nécessiter MFA après une authentification en ligne réussie
- Autoriser l'authentification hors ligne
- Activer MFA pour les connexions locales
- Activer MFA pour les connexions à distance
Pour plus d'informations sur les modèles ADMX, voir la section en haut de cette page.