Inscription administrateur

Specops Authentication pour MFA for Windows permet aux administrateurs d’inscrire des utilisateurs au système, sans obliger les utilisateurs à passer par le processus d’inscription. Ceci peut être effectué avec n’importe quel service d’identité dont les informations d’identification sont stockées dans Active Directory.

• Avant d’utiliser ce guide, vous devez disposer de :
• Connaissance de base de PowerShell
• PowerShell 4.0 ou version ultérieure
• Specops Authentication pour MFA for Windows configuré avec un Gatekeeper actif
• Specops Authentication pour l’appartenance au groupe d’administrateurs MFA for Windows
• Specops Authentication pour Module PowerShell MFA for Windows, installé avec les outils d’administrationC:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Services d’identité disponibles à l’inscription

Les administrateurs peuvent s’inscrire auprès des services d’identité suivants :

• Adresse e-mail personnelle
• Mobile Code
• Questions secrètes
• Yubikey
• Mobile Bank ID
• Google

Applets de commande

Les applets de commande peuvent être utilisés par les administrateurs lors de la gestion des utilisateurs ou de leur inscription par lots dans Specops Authentication pour MFA for Windows.

Pour importer le module, exécutez la commande suivante dans PowerShell sur votre serveur Gatekeeper :

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Récupère les paramètres Username, IdentityServiceId et EnrollmentProof. Peut être utilisée pour s’inscrire à tous les services d’identité à l’exception de : Questions secrètes, Duo Security, Specops Fingerprint, Authentificateurs, Identification du gestionnaire, Symantec VIP, LinkedIn et Windows Identity.
Utilisez l’applet de commande Get-SpecopsAuthenticationIdentityServices pour rechercher l’attribut IdentityServiceId de votre service d’identité.

Exemple d’utilisation :

            Add-SpecopsAuthenticationIdentityServiceEnrollment -Username mySamAccountName -IdentityServiceId <span class="mc-variable ID_Services.google variable">Google</span> -EnrollmentProof MyGoogleAccount

Inscription d’un administrateur à Mobile Code (SMS)

Mobile Code (SMS) L’inscription d’un administrateur à nécessite la mise à jour de l’attribut mobile sur l’objet utilisateur et les données d’inscription dans l’objet feuille. Un administrateur peut mettre à jour l’attribut mobile sur un compte d’utilisateur à partir de l’outil de gestion Active Directory ou avec PowerShell. Si vous utilisez l’attribut téléphone portable par défaut, utilisez la commande suivante :

Set-ADUser -Identity user0020 -MobilePhone ’+1-202-555-0191’

Si vous stockez le numéro de portable dans un attribut personnalisé, vous devez fournir cet attribut à la place. Si, par exemple, le numéro de portable se trouve dans l’attribut otherMobile, vous pouvez utiliser la commande suivante :

Set-ADUser -Identity user0020 -Replace @{otherMobile=’+1-202-555-0191’}

Pour l’outil d’administration Gatekeeper 8.23 et versions ultérieures : après la mise à jour de l’attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l’objet feuille.

Add-SAMobileCodeEnrollment -Username jane.doe -MobileNumber +123 -GatekeeperServer dc02.subaru.local

Pour l’outil d’administration Gatekeeper 8.22 et versions antérieures : après la mise à jour de l’attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l’objet feuille.

Add-SpecopsAuthenticationIdentityServiceEnrollment -username user0020 -IdentityServiceId MobileCode -EnrollmentProof +12025550191

Inscription d’un administrateur à Adresse e-mail personnelle

Exemple d’utilisation :

Add-SpecopsAuthenticationIdentityServiceEnrollment -username user0020 -IdentityServiceId AlternateEmail -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Récupère les paramètres Username, Answers et Language. Language est un code de langue à 2 chiffres facultatif. Answers récupère un tableau de questions et de réponses.

Exemple d’utilisation :

$questionsAndAnswers = @{"Question"="Who are you?"; "Answer"="No one"},@{"Question"="Why are you here?"; "Answer"="I am not"}
            Add-SpecopsAuthenticationQuestionsEnrollment –Username mySamAccountName –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Répertorie les services d’identité auprès desquels un utilisateur est inscrit.

Exemple d’utilisation :

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Répertorie tous les services d’identité disponibles avec votre abonnement Specops Authentication.

Exemple d’utilisation :

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Supprime tous les services d’identité auxquels un utilisateur est inscrit, à l’exception de ceux avec inscription automatique, comme Identité Windows, Duo Security, Identification du gestionnaire ou Symantec VIP.

Exemple d’utilisation :

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Supprime une inscription à un service d’identité d’un utilisateur.

Exemple d’utilisation :

Remove-SpecopsAuthenticationIdentityServiceEnrollment -Username mySamAccountName -IdentityServiceId Fingerprint