Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et peut être utilisé pour installer et évaluer MFA pour Windows. Pour plus d'informations sur les composants et concepts utilisés ci-dessous, voir la Vue d'ensemble.

L'installation recommandée consiste à télécharger le package d'installation auto-extractible et à compléter les étapes de l'assistant d'installation.

Alternativement, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d'installation basée sur le script PowerShell.

Exigences

L'environnement de votre organisation doit répondre aux exigences suivantes:

Composant	Exigence
Ordinateur serveur Gatekeeper	Système d'exploitation entièrement patché requis Joint à votre domaine Active Directory Windows Server 2016/2019/2022 (core ou expérience de bureau) .Net Framework 4.7.2 ou ultérieur
Outil d'administration Gatekeeper	Joint à votre domaine Active Directory Windows 10/11 ou Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou ultérieur
Client Specops	Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022 Secure Access non pris en charge sur les contrôleurs de domaine. .Net Framework 4.7.2 ou ultérieur Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le runtime Specops Cefsharp MSI doit être installé. Specops Secure Access nécessite .Net 8 Desktop Runtime déployé sur les ordinateurs clients.
Privilèges administratifs	Pour Active Directory et l'ordinateur serveur Gatekeeper. Il est recommandé d'exécuter l'installation en tant qu'administrateur de domaine.
Options de compte	Il y a trois options pour le compte sous lequel le service Windows Gatekeeper s'exécutera. Préparez-vous à utiliser l'une des options suivantes: Compte de service géré (recommandé): Utiliser un compte de service géré pour le Gatekeeper est facile, sans actions supplémentaires requises pour vous en tant qu'administrateur d'installation. Le script créera un compte de service géré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est "SRV17", le nom du compte de service géré sera "SGkSRV17$". Compte de domaine: Si vous préférez utiliser un compte de domaine, il doit être créé avant d'exécuter l'installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte à portée de main. Compte de service géré de groupe: Un compte de service valide que l'ordinateur Gatekeeper est autorisé à utiliser, doit d'abord être créé.
Groupes de sécurité	Le script d'installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n'est requise de votre part. Groupe Admin: Les utilisateurs membres de ce groupe seront administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web Authentication. L'utilisateur actuel sera automatiquement ajouté à ce groupe. Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations des utilisateurs. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Installation du Gatekeeper, des outils d'administration et du client

Création d'un compte client

Pour créer un compte client, voir Specops Authentication.
Sur la page Sélectionner le centre de données, identifiez le centre de données que vous souhaitez utiliser et cliquez sur Go.

Remarque

Specops Authentication est hébergé dans plusieurs centres de données. Il y a actuellement deux centres de données disponibles: EU (Europe) et NA (Amérique du Nord).

Avertissement

Assurez-vous de sélectionner le centre de données dans lequel vous souhaitez que votre compte soit créé. Vous ne pouvez pas changer de centre de données après la création de votre compte.
Dans le champ Nom de votre organisation, entrez le nom de votre organisation.
Dans le champ Nom de domaine de votre organisation, entrez un nom de domaine.
Dans le champ Nom du contact principal, entrez un nom. Idéalement, cela devrait être le nom de la personne configurant le compte.
Dans le champ Email du contact principal, entrez l'adresse email associée au contact principal.
Cochez chaque produit que vous avez licencié.
Cochez tous les packages supplémentaires que vous avez licenciés.
Acceptez les Conditions d'utilisation en cochant la case.
Cliquez sur Continuer.

Page de compte Cloud

Sur la page Comptes Cloud, vous devez créer votre premier Compte Cloud. Ce Compte Cloud est nécessaire pour effectuer le reste de l'installation.
- Dans le champ Adresse email du compte Cloud, entrez l'adresse email que vous souhaitez associer à ce Compte Cloud. Un suffixe sera ajouté à l'adresse email, pour différencier ce Compte Cloud d'un compte sur site avec la même adresse email/UPN.
- Le champ Nom complet du compte Cloud est en lecture seule. Le nom complet du Compte Cloud est automatiquement généré à partir de l'adresse email/UPN que vous avez spécifiée dans le champ Adresse email du compte Cloud.
Cliquez sur Continuer.
Un code sera envoyé à l'adresse email que vous avez fournie. Saisissez le code dans le champ Code et cliquez sur Confirmer.

Page de code mobile

Pour enregistrer votre téléphone mobile avec votre Compte Cloud, entrez votre numéro de téléphone mobile avec le bon indicatif de pays et cliquez sur Envoyer. Vous recevrez un code sur votre téléphone mobile, entrez-le à l'écran pour vous authentifier.

Page de mot de passe du compte Cloud

Sur la page Mot de passe du compte Cloud, entrez et confirmez le mot de passe que vous souhaitez utiliser pour ce Compte Cloud et cliquez sur OK. C'est le mot de passe avec lequel vous vous connecterez à votre Compte Cloud à l'avenir.

Remarque

La politique pour ce mot de passe ne peut pas être modifiée.

Web d'authentification

Vous serez connecté à la section Admin du Web Specops Authentication. Ici, vous pourrez créer un nouveau Gatekeeper. Un Gatekeeper est requis pour se connecter avec des comptes Active Directory.
Cliquez sur le bouton Créer un nouveau Gatekeeper. Sur la page de téléchargement, vous verrez le package d'installation auto-extractible et le code d'activation. Cliquez sur copier à côté du Code d'activation pour le stocker dans le presse-papiers. Si vous n'êtes pas actuellement sur le serveur où le Gatekeeper sera installé, notez le code d'activation.
Cliquez sur Télécharger à côté de Package d'installation auto-extractible par défaut. Le package contient les fichiers d'installation pour le Gatekeeper et vos informations de configuration. Par défaut, le package sera téléchargé dans votre dossier Téléchargements.
- Assurez-vous d'avoir un serveur prêt pour l'installation du package.
- Notez le code d'activation affiché sur la page, car il vous sera demandé lors de l'installation.
Copiez le package d'installation sur votre serveur s'il n'y est pas déjà, et exécutez le fichier d'installation sur votre serveur.

Installation des outils d'administration

Les outils d'administration sont utilisés pour installer et configurer le composant serveur, également connu sous le nom de Gatekeeper. Le processus d'installation doit être effectué sur le même serveur qui sera utilisé pour exécuter le Gatekeeper.

Dans le lanceur de configuration Specops Authentication (démarré en double-cliquant sur le package d'installation), cliquez sur Installer les outils d'administration.
Une fois les outils d'administration installés, cliquez sur Démarrer les outils d'administration.

Installation du Gatekeeper

Cliquez sur Installer Gatekeeper.
Il vous sera demandé de ne procéder que si vous avez le code d'activation de la page de téléchargement du Gatekeeper sur le Web Specops Authentication. Cliquez sur Suivant.
Sélectionnez le contrôleur de domaine Active Directory à connecter.
Si vous n'avez pas les permissions pour installer Specops Authentication au niveau du domaine, vous aurez la possibilité de configurer le Gatekeeper pour une unité organisationnelle où vous êtes administrateur. Limitez la racine de délégation et l'emplacement des objets de paramètres, puis cliquez sur Suivant.
Sélectionnez la portée Active Directory où les permissions doivent être créées, en mettant en surbrillance la portée dans l'arborescence AD, et en cliquant sur Ajouter sélectionné. Plusieurs emplacements peuvent être sélectionnés pour plusieurs portées de gestion. La portée Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication. Si vous ne voulez pas que les administrateurs et les gestionnaires soient dans la portée de gestion mais que vous voulez qu'ils gèrent toujours le système ou authentifient les utilisateurs, cochez la case Autoriser les administrateurs et les gestionnaires à être en dehors de la portée sélectionnée.
Cliquez sur Suivant.
Le Gatekeeper fonctionnera en tant que service Windows. Sélectionnez le contexte de compte sous lequel le service Gatekeeper doit s'exécuter. Vous pouvez choisir entre Compte de service géré, Compte de service géré de groupe et Compte de domaine personnalisé.
- Par défaut, c'est le Compte de service géré de groupe (GMSA) qui est recommandé pour la plupart des organisations
- Si le Compte de domaine personnalisé est sélectionné, entrez le nom de compte et le mot de passe du compte utilisateur sous lequel le service Gatekeeper s'exécutera.
- L'utilisation du Compte de service géré de groupe a des exigences supplémentaires, voir Compte de service géré de groupe ici.
Cliquez sur Suivant.
Ensuite, vous serez présenté avec un aperçu des groupes de sécurité associés à Specops Authentication. Par défaut, les groupes de sécurité suivants seront créés. Vous pouvez soit conserver les noms de groupe par défaut, soit entrer un nouveau nom:
- Groupe Admin: Les utilisateurs membres de ce groupe seront administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le Web Specops Authentication. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations des utilisateurs. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.
Remarque

À cette étape, vous pouvez également ajouter des membres aux groupes de sécurité en cliquant sur le lien Modifier les membres pour le groupe de sécurité, puis en cliquant sur Ajouter un membre. Notez également que cela n'est disponible que lors d'une installation propre du Gatekeeper.
Cliquez sur Suivant.
Si les administrateurs de domaine sont inclus dans la portée de cette installation, Inscription de l'administrateur devra être configurée. Si vous souhaitez autoriser les administrateurs de domaine à s'inscrire, cochez la case appropriée. Cliquez sur Suivant.
Si votre organisation utilise un serveur proxy pour acheminer le trafic Internet vers l'extérieur, vous serez invité à configurer le serveur proxy pour permettre au Gatekeeper d'accéder à Internet. Sinon, l'assistant d'installation passera cette étape.
Entrez le code d'activation de la page de téléchargement du Gatekeeper sur le Web Specops Authentication, et cliquez sur Activer.
Vous recevrez un message indiquant que le Gatekeeper a été configuré et activé avec succès.
Cliquez sur Terminer.
Vérifiez que le statut de connexion Cloud dans la section Paramètres de communication indique Connecté.

Vérification de domaine

Afin d'activer les notifications par email, vous devez vérifier tous les domaines associés à ce compte. Lisez plus à propos de la vérification de domaine.

Installation du Client Specops

Le Client Specops est installé avec un installateur basé sur MSI. Notez que la mise à niveau du Client Specops écrasera le Client installé.

Si installé, le Client Specops peut être trouvé dans "Ajouter/Supprimer des programmes" ou "Programmes et fonctionnalités" depuis le Panneau de configuration Windows. Les versions et les éditions peuvent varier.

Remarque

Les anciennes versions du Client Specops peuvent être identifiées comme "Specops uReset Client" ou "Specops Password Client."

Le Client Specops peut être utilisé avec les produits logiciels Specops suivants:

Specops Password Reset
Specops Password Policy
Specops uReset

Mise à niveau du Client Specops

Les organisations utilisant uniquement Specops Password Policy doivent déployer le MSI du Client Specops. Le Runtime CefSharp MSI n'est pas requis pour ce scénario.

Les organisations utilisant Specops uReset ou Specops Password Reset, doivent déployer le Runtime CefSharp MSI en plus du MSI du Client Specops. Le Runtime CefSharp MSI est requis par le navigateur sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que le Client Specops utilise une version spécifique du Runtime CefSharp MSI, il est important de déployer le dernier Runtime CefSharp MSI en même temps ou avant de déployer le MSI du Client Specops.

Bien que le MSI du Client Specops ne puisse être installé qu'avec exactement 1 version, plusieurs versions du Runtime CefSharp MSI peuvent être installées en même temps. Le but est de simplifier le déploiement dans une grande organisation.

Le flux recommandé pour la mise à niveau du Client Specops est:

Déployez le dernier Runtime CefSharp MSI, s'il n'est pas déjà déployé
Déployez le dernier MSI du Client Specops
Retirez toute version précédente du Runtime CefSharp MSI, si nécessaire
Téléchargez et mettez à jour les modèles administratifs (ADMX) pour avoir la dernière version en place. Dans la plupart des cas, aucun changement de configuration n'est nécessaire, sauf indication contraire dans les notes de version. Voir la section ci-dessous sur la configuration du Client Specops.

Remarque

Lors de l'utilisation du Client Specops en conjonction avec un outil de réinitialisation de mot de passe:

La dernière version du runtime du navigateur CefSharp est requise si Specops uReset/Specops Password Reset est utilisé (les clients de Specops Password Policy uniquement n'ont pas besoin du runtime du navigateur CefSharp). Il est recommandé de déployer le runtime du navigateur CefSharp avant le Client Specops lui-même.

Le comportement d'installation/mise à niveau pour le runtime du navigateur CefSharp a été modifié. L'installation d'un runtime CefSharp plus récent ne remplacera plus le runtime installé plus ancien. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L'intention est de pouvoir effectuer un déploiement dans une organisation, où le nouveau navigateur CefSharp est d'abord déployé. Une fois déployé, le Client Specops peut être mis à niveau. Cela facilitera la vérification que le Client Specops fonctionne sur tous les ordinateurs lors d'une mise à niveau, que le dernier runtime du navigateur CefSharp ait été déployé ou non.

Le Client Specops doit être installé sur les ordinateurs clients de l'organisation, soit en l'installant manuellement, soit en le déployant à l'aide d'un outil de déploiement.

Téléchargement du Client Specops

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d'installation du client de l'installateur de Password Policy.

Déploiement du Client Specops

Pour déployer le Client Specops à tous les utilisateurs, utilisez GPSI, Specops Deploy/App, ou tout autre outil de déploiement. Le Client Specops prend en charge l'installation silencieuse lors du déploiement à l'aide d'un outil de déploiement. Le MSI du client peut être déployé silencieusement en utilisant les commutateurs MSI standard (par exemple /qn). Il n'y a pas de paramètres de ligne de commande Specops pour l'installation MSI.

Installation ou mise à niveau manuelle du Client Specops

Ouvrez l'assistant de configuration du Client Specops que vous venez de télécharger (fichier .msi)
Dans l'assistant, cliquez sur Suivant.
Acceptez le contrat de licence en cochant la case, puis cliquez sur Suivant.
Sélectionnez l'emplacement où le Client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Client\), puis cliquez sur Suivant.
Cliquez sur Installer.
Une fois l'installation terminée, cliquez sur Terminer.

Configuration du Client Specops

Le Client Specops peut être configuré à l'aide du modèle administratif dans la Console de gestion des stratégies de groupe. Pour plus d'informations sur sa configuration, veuillez vous référer à la page Client Specops.

Installation de NPS pour Secure Access

Les organisations avec des utilisateurs accédant à leur réseau à distance via un VPN, ou accédant à des ordinateurs via une passerelle de bureau à distance (RDGW) peuvent protéger leurs utilisateurs en ajoutant un second facteur pour ces connexions. Le serveur VPN ou la passerelle de bureau à distance peut, en utilisant RADIUS, être configuré pour appeler le serveur de stratégie réseau Microsoft (NPS) avec le compagnon NPS Specops installé et configuré, ce qui permet l'utilisation de Secure Access.

Pour que cela fonctionne, Microsoft NPS doit être installé. Pour plus d'informations sur l'installation de NPS, veuillez vous référer à cette page.

Installation du compagnon NPS Specops

NPS fonctionne en conjonction avec le compagnon NPS Specops. Le compagnon NPS doit être installé séparément.

Vous pouvez télécharger l'installateur ici.