Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et peut être utilisé pour installer et évaluer MFA for Windows. Pour plus d’informations sur les composants et les concepts utilisés ci-dessous, veuillez consulter la Présentation.

L’installation recommandée consiste à télécharger le package d’installation auto-extractible et à suivre les étapes de l’assistant d’installation.

Sinon, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d’installation basée sur un script PowerShell.

Configuration requise

L’environnement de votre organisation doit être conforme à la configuration requise suivante :

Configuration requise
Composant Configuration requise
Ordinateur serveur Gatekeeper
  • L’environnement de votre organisation doit répondre aux exigences suivantes :
  • Associé à votre domaine Active Directory
  • Windows Server 2016/2019/2022 (Core ou Desktop Experience)
  • .Net Framework 4.7.2 or later
Outil d’administration de Gatekeeper
  • Associé à votre domaine Active Directory
  • Windows 10/11 ou Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Specops Authentication Client
  • Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022
  • Secure Access n’est pas pris en charge sur les contrôleurs de domaine.
  • .Net Framework 4.7.2 or later
  • Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le MSI d’exécution Specops Cefsharp doit être installé.
  • Specops Secure Access nécessite de déployer .Net 8 Desktop Runtime sur les ordinateurs clients.
Privilèges d’administration À la fois pour Active Directory et pour l’ordinateur du serveur Gatekeeper. Il est recommandé d’exécuter l’installation en tant qu’administrateur de domaine.
Options de compte Il existe trois options pour le compte sous lequel le service Gatekeeper Windows sera exécuté. Préparez-vous à utiliser l’un des éléments suivants :
  • Compte de service administré (recommandé) : L’utilisation d’un compte de service administré pour le Gatekeeper est simple, sans aucune action supplémentaire requise pour vous en tant qu’administrateur d’installation. Le script créera un compte de service administré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est "SRV17", le nom du compte de service administré sera "SGkSRV17$".
  • Compte de domaine : Si vous préférez utiliser un compte de domaine, celui-ci doit être créé avant de lancer l’installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte.
  • Compte de service administré de groupe : Un compte de service valide que l’ordinateur Gatekeeper est autorisé à utiliser doit d’abord être créé.
Groupes de sécurité Le script d’installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n’est requise de votre part.
  • Groupe d’administration : Les utilisateurs membres de ce groupe seront des administrateurs du portail. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
  • Groupe d’administration des utilisateurs : Les utilisateurs membres de ce groupe pourront accéder aux fonctions de gestion des utilisateurs sur le service Web d’authentification. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
  • Groupe de Gatekeepers : Les comptes de service membres de ce groupe seront autorisés à lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Installation de Gatekeeper, des outils d’administration et du client

Créer un compte client

  1. Pour créer un compte client, cliquez ici.
  2. Sur la page Sélectionner un centre de données, indiquez le centre de données que vous souhaitez utiliser, puis cliquez sur Accéder.
    REMARQUE
    Specops Authentication est hébergé sur plusieurs centres de données. Actuellement, deux centres de données sont disponibles : EU (Europe) et NA (Amérique du Nord).
    ATTENTION
    Assurez-vous de sélectionner le centre de données dans lequel vous souhaitez que votre compte soit créé. Vous ne pouvez pas changer de centre de données après la création de votre compte.
  3. Dans le champ , saisissez le nom de votre organisation.
  4. Dans le champ , saisissez un nom de domaine.
  5. Dans le champ , saisissez un nom. De préférence, ceci doit être le nom de la personne qui crée le compte.
  6. Dans le champ , saisissez l’adresse e-mail associée au contact principal
  7. Cochez tous les produits pour lesquels vous disposez d’une licence.
  8. Cochez les packages complémentaires pour lesquels vous disposez d’une licence.
  9. Acceptez les Conditions de service en cochant la case.
  10. Cliquez sur Continuer.

    11. page

  11. Sur la page , vous devez créer votre premier . Ce est requis pour effectuer le reste de l’installation.
    • Dans le champ , saisissez l’adresse e-mail que vous souhaitez associer à ce . Un suffixe sera ajouté à l’adresse e-mail pour différencier ce d’un compte sur site avec la même adresse e-mail/nom d’utilisateur principal (UPN).
    • Le champ Nom complet du compte cloud est en lecture seule. Le nom complet du est généré automatiquement à partir de l’adresse e-mail/nom d’utilisateur principal (UPN) que vous avez indiquée dans le champ .
  12. Cliquez sur Continuer.
  13. Un code sera envoyé à l’adresse e-mail que vous avez fournie. Saisissez le code dans le champ Code et cliquez sur Confirmer

    14. Page Mobile Code

  14. Pour inscrire votre téléphone portable à votre , saisissez votre numéro de téléphone portable avec l’indicatif du pays correspondant et cliquez sur Envoyer. Lorsque vous recevez le code sur votre téléphone portable, saisissez-le à l’écran pour vous authentifier.

    15. Page mot de passe

  15. Sur la page Mot de passe du , saisissez et confirmez le mot de passe que vous souhaitez utiliser pour ce , puis cliquez sur OK. Il s’agit du mot de passe avec lequel vous vous connecterez à votre à l’avenir.
    REMARQUE
    La stratégie pour ce mot de passe ne peut pas être modifiée.

    16. Authentification Web

  16. Vous serez connecté à la section Administration de Specops Authentication Web. Vous pourrez y créer un nouveau Gatekeeper. Un Gatekeeper est requis pour se connecter à des comptes Active Directory.
  17. Cliquez sur le bouton Créer un nouveau Gatekeeper. Sur la page de téléchargement, vous trouverez le package d’installation auto-extractible et le code d’activation. Cliquez sur copiez à côté du Code d'activation pour le stocker dans le presse-papiers. Si vous n’êtes pas actuellement sur le serveur sur lequel le Gatekeeper sera installé, veuillez noter le code d’activation.
  18. Cliquez sur Télécharger à côté du Package d'installation auto-extractible par défaut.. Le package contient les fichiers d’installation pour le Gatekeeper et vos informations de configuration. Par défaut, le package sera téléchargé dans votre dossier Téléchargements.
    • Assurez-vous que vous disposez d’un serveur prêt pour l’installation du package.
    • Veuillez noter le code d’activation affiché sur la page, car vous serez invité à le saisir lors de l’installation.
  19. Copiez le package d’installation sur votre serveur s’il ne s’y trouve pas déjà et exécutez le fichier d’installation sur votre serveur.

Installation des outils d’administration

Les outils d’administration permettent d’installer et de configurer le composant serveur, également appelé Gatekeeper. La procédure d’installation doit être effectuée sur le même serveur qui sera utilisé pour exécuter le Gatekeeper.

  1. Dans le lanceur d’installation de Specops Authentication (lancé en double-cliquant sur le package d’installation), cliquez sur Installer les outils d’administration.
  2. Une fois les outils d’administration installés, cliquez sur Démarrer les outils d’administration.

Installation de Gatekeeper

  1. Cliquez sur Installer Gatekeeper.
  2. Il vous sera demandé de continuer uniquement si vous disposez du code d’activation de la page de téléchargement de Gatekeeper sur Specops Authentication Web. Cliquez sur Suivant.
  3. Sélectionnez le contrôleur de domaine Active Directory à connecter.
  4. Si vous n’êtes pas autorisé à installer Specops Authentication au niveau du domaine, vous aurez la possibilité de configurer le Gatekeeper pour une unité d’organisation dont vous êtes administrateur. Limitez la racine de délégation et l’emplacement des objets de paramètres, puis cliquez sur Suivant.
  5. Sélectionnez l’étendue Active Directory dans laquelle les autorisations doivent être créées, en mettant en surbrillance l’étendue dans l’arborescence Active Directory, puis en cliquant sur Ajouter la sélection. Plusieurs emplacements peuvent être sélectionnés pour de multiples étendues de gestion. L’étendue d’Active Directory détermine quels utilisateurs peuvent utiliser le service Specops Authentication. Si vous ne souhaitez pas que les administrateurs et les responsables soient dans l’étendue de gestion, mais que vous souhaitez qu’ils continuent à gérer le système ou à authentifier les utilisateurs, cochez la case à côté de Autoriser les administrateurs et les responsables à se trouver en dehors de l’étendue sélectionnée.
  6. Cliquez sur Suivant.
  7. Le Gatekeeper sera exécuté en tant que service Windows. Sélectionnez le contexte de compte sous lequel le service Gatekeeper doit être exécuté. Vous pouvez choisir entre un Compte de service administré, un Compte de service administré de groupe et un Compte de domaine personnalisé.
    • La valeur par défaut est Compte de service administré de groupe (GMSA), ce qui est recommandé pour la plupart des organisations.
    • Si Compte de domaine personnalisé est sélectionné, saisissez le nom de compte et le mot de passe du compte utilisateur sous lequel le service Gatekeeper sera exécuté.
    • L’utilisation d’un Compte de service administré de groupe comporte des exigences supplémentaires, consultez Compte de service administré de groupe ici.
  8. Cliquez sur Suivant.
  9. Ensuite, vous verrez un aperçu des groupes de sécurité associés à Specops Authentication. Par défaut, les groupes de sécurité suivants seront créés. Vous pouvez soit conserver les noms de groupe par défaut, soit saisir un nouveau nom :
    • Groupe d’administration : Les utilisateurs membres de ce groupe seront des administrateurs du portail. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • Groupe d’administration des utilisateurs : Les utilisateurs membres de ce groupe pourront accéder aux fonctions de gestion des utilisateurs sur le service Specops Authentication Web. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • GatekeeperGroupe  : Les comptes de service membres de ce groupe seront autorisés à lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.
    REMARQUE
    Lors de cette étape, vous pouvez également ajouter des membres aux groupes de sécurité en cliquant sur le lien Modifier les membres du groupe de sécurité, puis en cliquant sur Ajouter un membre. Veuillez également noter que cette option n’est disponible que lors d’une nouvelle installation du Gatekeeper.
  10. Cliquez sur Suivant.
  11. Si les administrateurs de domaine sont inclus dans l’étendue de cette installation, Inscription administrateur devra être configurée. Si vous souhaitez autoriser les administrateurs de domaine à s’inscrire, cochez la case appropriée. Cliquez sur Suivant.
  12. Si votre organisation utilise un serveur proxy de transfert pour acheminer le trafic Internet vers l’extérieur, vous serez invité à configurer le serveur proxy pour autoriser le Gatekeeper à accéder à Internet. Sinon, l’assistant d’installation ignorera cette étape.
  13. Saisissez le code d’activation de la page de téléchargement de Gatekeeper sur Specops Authentication Web, puis cliquez sur Activer.
  14. Vous recevrez un message vous informant que le Gatekeeper a bien été configuré et activé.
  15. Cliquez sur Terminer.
  16. Vérifiez que l’État de la connexion au Cloud dans la section Paramètres de communication indique Connecté.

Vérification du domaine

Afin d’activer les notifications par e-mail, vous devez vérifier tous les domaines associés à ce compte. En savoir plus sur la vérification de domaine.

Installation de Specops Authentication Client

Specops Authentication Client est installé avec un programme d’installation basé sur MSI. Veuillez noter que la mise à niveau de Specops Authentication Client écrasera le client installé.

Si installé, Specops Authentication Client se trouve dans "Ajouter/Supprimer des programmes" ou "Programmes et fonctionnalités" dans le panneau de configuration de Windows. Les versions peuvent varier.

REMARQUE
Les anciennes versions de Specops Authentication Client peuvent être identifiées comme « Specops uReset Client » ou « Specops Password Client ».

Specops Authentication Client peut être utilisé avec les produits Specops Software suivants :

  • Specops Password Reset
  • Specops Password Policy
  • Specops uReset

Mise à niveau de Specops Authentication Client

Les organisations utilisant Specops Password Policy uniquement doivent déployer le MSI Specops Authentication Client. Le MSI d’exécution CefSharp n’est pas requis dans ce cas.

Les organisations utilisant Specops uReset ou Specops Password Reset, doivent déployer le MSI d’exécution CefSharp en plus du MSI Specops Authentication Client. Le MSI d’exécution CefSharp est requis par le navigateur sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que Specops Authentication Client utilise une version spécifique du MSI d’exécution CefSharp, il est important de déployer la dernière version en même temps ou avant de déployer le MSI Specops Authentication Client.

Bien que le MSI Specops Authentication Client ne puisse être installé qu’avec exactement 1 version, plusieurs versions du MSI d’exécution CefSharp peuvent être installées en même temps. Le but est de simplifier le déploiement dans une plus grande organisation.

Le flux recommandé pour la mise à niveau de Specops Authentication Client est comme suit :

  1. Déployer le dernier MSI d’exécution CefSharp, s’il n’a pas déjà été déployé.
  2. Déployer la dernière version du MSI Specops Authentication Client
  3. Annuler le déploiement de toutes les versions antérieures du MSI d’exécution CefSharp, si nécessaire
REMARQUE

Lors de l’utilisation de Specops Authentication Client avec un outil de réinitialisation de mot de passe :

La dernière version de l’environnement d’exécution du navigateur CefSharp requise si Specops uReset/Specops Password Reset est utilisé (seuls les clients de Specops Password Policy n’ont pas besoin de l’environnement d’exécution du navigateur CefSharp). Il est recommandé de déployer l’environnement d’exécution du navigateur CefSharp avant Specops Authentication Client lui-même.

Le comportement d’installation/mise à niveau pour l’environnement d’exécution du navigateur CefSharp a été modifié. L’installation d’un environnement d’exécution CefSharp plus récent ne remplacera plus l’environnement d’exécution installé plus ancien. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L’objectif est de pouvoir effectuer un déploiement au sein d’une organisation où le nouveau navigateur CefSharp est d’abord déployé. Une fois déployé, Specops Authentication Client peut être mis à jour. Ceci permettra de s’assurer plus facilement que Specops Authentication Client fonctionne sur tous les ordinateurs lors d’une mise à niveau, que la dernière version de l’environnement d’exécution du navigateur CefSharp ait été déployée ou non.

Specops Authentication Client doit être installé sur les ordinateurs clients de l’organisation, soit en l’installant manuellement, soit en le déployant à l’aide d’un outil de déploiement.

Téléchargement de Specops Authentication Client

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d’installation du client du programme d’installation de Password Policy.

Déploiement de Specops Authentication Client

Afin de déployer Specops Authentication Client pour tous les utilisateurs, veuillez utiliser GPSI, Specops Deploy/App, ou tout autre outil de déploiement. Specops Authentication Client prend en charge l’installation sans assistance lors du déploiement avec un outil de déploiement. Le client MSI peut être déployé silencieusement à l’aide de commutateurs MSI standard (par exemple, /qn). Il n’y a aucun paramètre de ligne de commande Specops pour l’installation MSI.

Installation ou mise à jour manuelle de Specops Authentication Client

  1. Ouvrez l’assistant de configuration de Specops Authentication Client que vous venez de télécharger (fichier .msi)
  2. Dans l’assistant, cliquez sur Suivant.
  3. Acceptez le contrat de licence en cochant la case et cliquez sur Suivant.
  4. Sélectionnez l’emplacement où le client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Authentication Client\ ), puis cliquez sur Suivant.
  5. Cliquez sur Installer.
  6. Une fois l’installation terminée, cliquez sur Terminer.

Configuration de Specops Authentication Client

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe. Pour plus d’informations concernant sa configuration, veuillez consulter la page Specops Authentication Client.