Expiration du mot de passe
Si vous êtes administrateur, vous pouvez obliger vos utilisateurs à réinitialiser leurs mots de passe à intervalles réguliers. Vous pouvez décider de l'ancienneté d'un mot de passe avant qu'il n'expire et doive être réinitialisé (par exemple, tous les 100 jours).
Les paramètres d'historique des mots de passe sont gérés dans l'onglet Paramètres généraux, tandis que les paramètres d'expiration des mots de passe sont gérés dans l'onglet Expiration des mots de passe.
Pour définir un âge maximum pour un mot de passe, cochez la case Âge maximum du mot de passe (jours) et spécifiez le temps (en jours) qui peut s'écouler avant qu'un mot de passe utilisateur n'expire.
Exemple: entrez 100 si vous souhaitez qu'un mot de passe expire 100 jours après sa dernière réinitialisation ou modification.
Vieillissement des mots de passe basé sur la longueur
Vous pouvez également ajouter une période de « vieillissement basé sur la longueur » en plus de la période d'expiration standard des mots de passe. Le vieillissement basé sur la longueur encourage les utilisateurs à créer des mots de passe plus longs et plus sécurisés, et les récompense en leur accordant un délai supplémentaire avant l'expiration de leurs mots de passe.
Pour activer le vieillissement des mots de passe basé sur la longueur, cochez la case Vieillissement des mots de passe basé sur la longueur.
Ici, vous pouvez configurer les éléments suivants:
- Nombre de niveaux d'expiration: 1 à 5 niveaux, chaque niveau accordant à l'utilisateur plus de temps jusqu'à l'expiration du mot de passe. La longueur de chaque niveau est déterminée par le paramètre Caractères par niveau.
- Caractères par niveau: nombre de caractères pour chaque niveau.
- Jours supplémentaires par niveau: combien de jours supplémentaires en plus de l'Âge maximum du mot de passe sont accordés pour chaque niveau atteint par l'utilisateur.
Remarque
Si l'âge maximum du mot de passe (âge maximum du mot de passe + vieillissement basé sur la longueur) dépasse le nombre de jours défini dans la stratégie de mot de passe du domaine Windows, l'âge maximum du mot de passe défini dans Specops Password Policy ne fonctionnera pas car l'utilisateur serait invité à changer son mot de passe par la stratégie intégrée avant que l'âge maximum du mot de passe ne soit atteint. Pour résoudre ce problème, augmentez la stratégie de mot de passe intégrée pour qu'elle corresponde ou dépasse l'âge maximum du mot de passe défini dans Specops Password Policy. Vous pouvez cliquer sur l'avertissement qui s'affiche pour voir la valeur de la stratégie de mot de passe du domaine intégrée.
Dans le champ Nombre de niveaux d'expiration, entrez combien de niveaux d'expiration il y aura. Un niveau d'expiration détermine combien de jours supplémentaires l'utilisateur aura jusqu'à l'expiration de son mot de passe. Cela dépend de la longueur du mot de passe de l'utilisateur. Pour augmenter le nombre de niveaux, déplacez le curseur vers la droite. Le nombre maximum de niveaux d'expiration qui peuvent exister est de 5.
Dans le champ Caractères par niveau, spécifiez la plage de caractères par niveau, en déplaçant le curseur.
Dans le champ Jours supplémentaires par niveau, spécifiez combien de jours d'expiration supplémentaires chaque niveau vaut.
Exemple: Vous pourriez définir le champ Âge maximum du mot de passe (jours) à 180 jours. Vous pourriez ensuite sélectionner 3 niveaux d'expiration, avec 3 caractères par niveau, avec 30 jours supplémentaires par niveau:
Remarque
La longueur minimale du mot de passe est de 5 caractères.
Cela signifie:
- Les mots de passe de 5 à 7 caractères de longueur relèvent du niveau d'expiration 1. Les mots de passe sous le niveau d'expiration 1 expirent dans 180 jours.
- Les mots de passe de 8 à 10 caractères de longueur relèvent du niveau d'expiration 2. Les mots de passe sous le niveau d'expiration 2 expirent dans 210 jours.
- Les mots de passe de 11 à 20 caractères de longueur relèvent du niveau d'expiration 3. Les mots de passe sous le niveau d'expiration 3 expirent dans 240 jours.
La longueur du mot de passe par niveau d'expiration dépend de ce que vous avez spécifié dans les champs Longueur maximale du mot de passe et Longueur minimale du mot de passe sous l'onglet Règles de mot de passe.
La longueur du mot de passe pour chaque niveau d'expiration changera si vous modifiez les champs de longueur maximale/minimale du mot de passe.
Si vous cochez la case Désactiver l'expiration pour le dernier niveau, les mots de passe qui répondent aux exigences pour le dernier niveau d'expiration de la liste n'expireront pas. Dans l'exemple ci-dessous, les mots de passe qui répondent aux exigences pour le niveau 3 n'expireront pas.
Représentation graphique du vieillissement des mots de passe
Lorsqu'ils changent leur mot de passe, les utilisateurs doivent taper suffisamment de caractères pour satisfaire la longueur minimale du mot de passe. Ils peuvent ensuite ajouter des caractères supplémentaires à leur mot de passe, en plus de la longueur de caractère requise de base. Lors de l'utilisation de Specops Password Policy en combinaison avec Specops uReset (version 8.4 et supérieure), les utilisateurs recevront un retour visuel sur la longueur de leur mot de passe choisi. Si trois niveaux d'expiration ont été configurés, l'utilisateur verra trois cases, chaque case représentant un niveau d'expiration. Lorsqu'un utilisateur entre suffisamment de caractères pour satisfaire les exigences d'un niveau, la case devient verte.
Notifications d'avertissement d'expiration
Vous pouvez avertir vos utilisateurs lorsque leurs mots de passe sont sur le point d'expirer. Vous pouvez configurer deux types de notifications d'avertissement:
Avertissement à la connexion
Vous pouvez configurer une notification d'avertissement pour apparaître lorsque vos utilisateurs se connectent, si leur mot de passe est sur le point d'expirer, dans la section Notifications d'expiration des mots de passe. Pour activer cette notification, cochez la case Avertissement à la connexion avant expiration (jours) et entrez un nombre. Par exemple: si vous souhaitez que la notification apparaisse 1 jour avant l'expiration du mot de passe d'un utilisateur, entrez 1.
Notification d'avertissement par email
Vous pouvez configurer un avertissement par email, qui sera envoyé à vos utilisateurs un certain nombre de jours avant l'expiration de leur mot de passe.
Pour configurer un email d'avertissement, suivez ces étapes:
Remarque
Les paramètres SMTP pour tous les mails sortants de Specops Password Policy sont configurés dans l'outil d'administration de domaine Password Policy: Domaine > Paramètres de domaine > Paramètres SMTP > Modifier
- Cochez la case Envoyer un avertissement par email (jours) et spécifiez un nombre. Par exemple: si vous souhaitez que l'email soit envoyé à vos utilisateurs 1 jour avant l'expiration de leur mot de passe, entrez 1.
-
Sélectionnez la langue pour le mail sortant dans le menu déroulant.
Remarque
Certaines informations dans le mail sortant sont générées par Password Policy. Ici, vous pouvez définir la langue pour ces informations. Plus précisément, les espaces réservés affectés sont %DynamicExpirationInfo% et %PasswordRules%. Pour voir quels fichiers de langue sont installés, dans l'outil d'administration de domaine, allez à Domaine > Fichiers de langue.
-
Les champs De l'email et De nom ne sont pas accessibles ici et sont remplis automatiquement par les informations fournies dans les paramètres SMTP, notamment les champs Adresse email de l'expéditeur par défaut et Nom d'affichage de l'expéditeur par défaut.
- Dans le champ À, entrez l'adresse email à laquelle le mail doit être envoyé. Entrez l'espace réservé %UserEmail% pour envoyer le mail à l'utilisateur concerné.
- Dans le champ CC, entrez toutes les autres adresses email auxquelles la notification doit être envoyée. Ici aussi, des espaces réservés (par exemple %ManagerEmail%) peuvent être utilisés.
- Dans le champ Objet, entrez l'objet pour l'email de notification. Utilisez des espaces réservés pour générer une ligne d'objet qui fournit des informations à l'utilisateur. Plus d'informations sur les textes d'espace réservé peuvent être trouvées sur la page Notifications.
-
Configurez le texte du Corps de l'email de notification en cliquant sur le bouton Modifier. Ici encore, des espaces réservés peuvent être utilisés (ils sont accessibles via l'icône % dans le ruban).
Remarque
Les emails peuvent être édités en format texte enrichi ou HTML (cliquez sur le bouton Basculer en vue HTML dans le ruban).