Authentication Client - Specops Password Policy

REMARQUE
Authentication Client nécessite une installation/un déploiement sans assistance. Vous pouvez télécharger les fichiers d’installation ici. Aucune configuration ou aucun paramètre msi n’est requis pour le déploiement.

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe.

Specops Authentication Client utilise des fichiers ADMX pour modifier les paramètres du registre Windows afin de modifier la façon dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML de paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le registre Windows sont modifiées lorsqu’un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).

Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés à Specops Authentication Client : la création du raccourci du menu Démarrer, et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.

Accéder aux modèles ADMX Specops

Pour accéder aux modèles ADMX associés au Specops Authentication Client :

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC).
  2. Effectuez un clic droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez modifier, puis sélectionnez Modifier.
  3. Dans l’arborescence, accédez à Configuration ordinateur > Stratégies > Modèles d’administration : Définitions de stratégie (fichiers ADMX) > Specops Authentication Client. Vous y trouverez tous les modèles ADMX associés à Specops Authentication Client.

Masquer le lien de réinitialisation du mot de passe sur la page d’ouverture de session

Emplacement : Améliorer la connexion Windows et le changement de mot de passe > Afficher le lien de réinitialisation de mot de passe

Lors de la connexion à Windows, sous les champs nom d’utilisateur/mot de passe, un lien "Réinitialiser le mot de passe…" permet aux utilisateurs des organisations exécutant Specops uReset ou Specops Password Reset de réinitialiser leurs mots de passe. Ce paramètre permet d’afficher ou de masquer le lien de réinitialisation du mot de passe affiché sur la page de connexion Windows.

  1. Ouvrez le fichier Afficher le lien de réinitialisation de mot de passe.
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création de raccourcis dans le menu Démarrer

Emplacement :Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour l’inscription / le changement / la réinitialisation

Avec Specops Authentication Client installé, lorsqu’un utilisateur se connecte à Windows, des raccourcis pour s’inscrire, réinitialiser et changer le mot de passe, sont créés dans le menu Démarrer. Ce sont des raccourcis pratiques permettant aux utilisateurs d’utiliser facilement Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne doivent pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés à la prochaine ouverture de session si ce paramètre a été défini sur désactivé.

L’inscription, la réinitialisation et le changement du mot de passe ont chacun leur propre fichier de modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit :

  • Créer un raccourci dans le menu Démarrer pour l’inscription
  • Créer un raccourci dans le menu Démarrer pour la réinitialisation de mot de passe
  • Créer un raccourci dans le menu Démarrer pour le changement de mot de passe
  1. Ouvrez le fichier dont vous souhaitez changer le comportement (voir la liste des fichiers ci-dessus).
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création d’un magasin central pour les modèles d’administration de stratégie de groupe

Le magasin central pour les modèles d’administration vous permet de stocker tous les fichiers de modèles dans un seul emplacement sur SYSVOL où ils peuvent être consultés et présentés sur n’importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles d’administration de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis%windir%\PolicyDefinitions.

Le fichier ADMX doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions

Le fichier ADML doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us

Pour plus d’informations concernant le magasin central et les bonnes pratiques, veuillez consulter : www.support.microsoft.com/kb/929841

Pour obtenir de l’aide sur l’installation du produit et du client, veuillez consulter la section Installation.

Pour les téléchargements, veuillez consulter la section Téléchargement.

Interface utilisateur de retour dynamique

REMARQUE
L’interface utilisateur de retour dynamique nécessite Windows 10 ou version ultérieure, ou Windows Server 2016 ne pas afficher le dernier nom d’utilisateur" est défini sur Activé.
REMARQUE
Le retour dynamique à la modification du mot de passe n’est pas pris en charge lors de l’authentification avec RSA SecurID.

Specops Authentication Client et Microsoft Entra SSPR

Cette section s’applique aux organisations utilisant Specops Password Policy, Microsoft Entra ID hybride et Microsoft Entra SSPR pour les réinitialisations de mot de passe.

Lorsqu’Microsoft Entra SSPR réinitialise le mot de passe d’un utilisateur dans Microsoft Entra ID hybride, Specops Password Policy Sentinel est appelé pour évaluer le nouveau mot de passe.

Microsoft Entra SSPR sera informé si Specops Password Policy rejette le nouveau mot de passe. Veuillez noter cependant qu’Microsoft Entra SSPR ne sait pas pourquoi la réinitialisation du mot de passe a été rejetée. Envisagez d’implémenter Specops uReset pour obtenir une meilleure expérience utilisateur.

Si les ordinateurs clients sont déjà configurés à l’aide d’Intune ou d’une stratégie de registre et utilisent Microsoft Entra SSPR pour le lien "Réinitialisation du mot de passe...", cette configuration doit être annulée.

Pour utiliser Microsoft Entra SSPR afin de réinitialiser le mot de passe à partir du lien "Réinitialiser le mot de passe..." sur l’écran de connexion Windows, utilisez la configuration suivante :

  • Déployer Specops Authentication Client et les MSI d’exécution Specops CefSharp
  • Assurez-vous que "AllowPasswordReset" sous "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" dans la valeur de registre est désactivé (inexistant ou défini sur 0). Ceci désactive la fonctionnalité intégrée Microsoft Entra SSPR "Réinitialiser le mot de passe...".
  • Configurez une stratégie de groupe affectant l’ordinateur, avec "Utiliser Microsoft Entra SSPR pour les réinitialisations de mot de passe" défini sur "Activé" à partir de Specops Client ADMX
  • Veuillez noter que les fonctionnalités "Réinitialisation du mot de passe sans VPN avec mise à jour des informations d’identification en cache" ne fonctionnent qu’avec Specops uReset, et non avec Microsoft Entra SSPR.