Authentication Client- Specops Password Policy

REMARQUE
Authentication Client nécessite une installation/un déploiement sans assistance. Vous pouvez télécharger les fichiers d’installation ici. Aucune configuration ou paramètre msi n’est requis pour le déploiement.

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe.

Specops Authentication Client utilise des fichiers ADMX pour modifier les paramètres du registre Windows afin de modifier la façon dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML de paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le registre Windows sont modifiées lorsqu’un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).

Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés à Specops Authentication Client : la création du raccourci du menu Démarrer, et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.

Accéder aux modèles ADMX Specops

Pour accéder aux modèles ADMX associés au Specops Authentication Client :

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC).
  2. Effectuez un clic droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez modifier, puis sélectionnez Modifier.
  3. Dans l’arborescence, accédez à Configuration ordinateur > Stratégies > Modèles d’administration : Définitions de stratégie (fichiers ADMX) > Specops Authentication Client. Vous y trouverez tous les modèles ADMX associés à Specops Authentication Client.

Masquer le lien de réinitialisation du mot de passe sur la page d’ouverture de session

Création de raccourcis dans le menu Démarrer


Emplacement :Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour l’inscription / le changement / la réinitialisation

Avec Specops Authentication Client installé, lorsqu’un utilisateur se connecte à Windows, des raccourcis pour s’inscrire, réinitialiser et changer le mot de passe, sont créés dans le menu Démarrer. Ce sont des raccourcis pratiques permettant aux utilisateurs d’utiliser facilement Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne doivent pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés à la prochaine ouverture de session si ce paramètre a été défini sur désactivé.

L’inscription, la réinitialisation et le changement du mot de passe ont chacun leur propre fichier de modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit :

  • Créer un raccourci dans le menu Démarrer pour l’inscription
  • Créer un raccourci dans le menu Démarrer pour la réinitialisation de mot de passe
  • Créer un raccourci dans le menu Démarrer pour le changement de mot de passe
  1. Ouvrez le fichier dont vous souhaitez changer le comportement (voir la liste des fichiers ci-dessus).
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création d’un magasin central pour les modèles d’administration de stratégie de groupe


Le magasin central pour les modèles d’administration vous permet de stocker tous les fichiers de modèles dans un seul emplacement sur SYSVOL où ils peuvent être consultés et présentés sur n’importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles d’administration de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis%windir%\PolicyDefinitions.

Le fichier ADMX doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions

Le fichier ADML doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us

Pour plus d’informations concernant le magasin central et les bonnes pratiques, veuillez consulter : www.support.microsoft.com/kb/929841

Pour obtenir de l’aide sur l’installation du produit et du client, veuillez consulter la section Installation.

Pour les téléchargements, veuillez consulter la section Téléchargement.

Interface utilisateur de retour dynamique


REMARQUE
L’interface utilisateur de retour dynamique nécessite Windows 10 ou version ultérieure, ou Windows Server 2016 ne pas afficher le dernier nom d’utilisateur" est défini sur Activé.

Specops Authentication Client and Microsoft Entra SSPR


This section applies to organizations using Specops Password Policy, hybrid Microsoft Entra ID and use Microsoft Entra SSPR for password resets.

When Microsoft Entra SSPR resets a user's password in hybrid Microsoft Entra ID, the Specops Password Policy Sentinel is invoked to evaluate the new password.

Microsoft Entra SSPR will be informed if Specops Password Policy rejects the new password. Note however, that Microsoft Entra SSPR lacks knowledge about why the password reset was rejected. Consider implementing Specops uReset to get a better user experience.

If client computers already are configured using Intune or registry policy and use Microsoft Entra SSPR for the "Password Reset..." link, this configuration must be reverted.

To use Microsoft Entra SSPR to reset password from the "Password Reset..." link on the Windows logon screen, use the following configuration:

  • Deploy the Specops Authentication Client and the Specops CefSharp runtime MSIs
  • Make sure "AllowPasswordReset" under "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" in registry value is disabled (non-existent or set to 0). This disables the built-in Microsoft Entra SSPR "Reset Password..." functionality.
  • Configure a Group policy affecting the computer, with "Use Microsoft Entra SSPR for password resets" set to "Enabled" from the Specops Client ADMX
  • Note that the features "VPN-less password reset with cached credential update" only works with Specops uReset, but not Microsoft Entra SSPR.