Inscription de l'administrateur

Specops Authentication pour MFA pour Windows permet aux administrateurs d'inscrire des utilisateurs au système, sans nécessiter que les utilisateurs passent par le processus d'inscription. Cela peut être réalisé avec n'importe quel service d'identité qui a des informations d'identifiant stockées dans Active Directory.

Avant d'utiliser ce guide, vous avez besoin de:
Connaissances de base de PowerShell
PowerShell 4.0 ou version ultérieure
Specops Authentication pour MFA pour Windows configuré avec un Gatekeeper actif
Appartenance au groupe d'administrateurs Specops Authentication pour MFA pour Windows
Le module PowerShell Specops Authentication pour MFA pour Windows – installé avec les outils d'administration
- C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Services d'identité pour l'inscription

Les administrateurs peuvent s'inscrire avec les services d'identité suivants:

Email personnel
Code mobile
Questions secrètes
Yubikey
Mobile Bank ID
Google

Cmdlets

Les cmdlets peuvent être utilisés par les administrateurs lors de la gestion des utilisateurs, ou pour les inscrire en lots dans Specops Authentication pour MFA pour Windows.

Pour importer le module, exécutez la commande suivante dans PowerShell sur votre serveur Gatekeeper:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Prend les paramètres Username, IdentityServiceId, et EnrollmentProof. Peut être utilisé pour s'inscrire avec tous les services d'identité sauf: Questions secrètes, Duo Security, Specops Fingerprint, Authenticators, Manager Identification, Symantec VIP, LinkedIn, et Windows Identity. Utilisez le cmdlet Get-SpecopsAuthenticationIdentityServices pour trouver l'IdentityServiceId de votre service d'identité.

Exemple d'utilisation:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Inscription admin Code mobile (SMS)

L'inscription admin Code mobile (SMS) nécessite la mise à jour de l'attribut mobile sur l'objet utilisateur et des données d'inscription dans l'objet feuille. Un administrateur peut mettre à jour l'attribut mobile sur un compte utilisateur à partir de l'outil de gestion Active Directory, ou avec PowerShell. Si vous utilisez l'attribut de téléphone mobile par défaut, utilisez la commande suivante:

Set-ADUser
  -Identity user0020
  -MobilePhone '+1-202-555-0191'

Si vous stockez le numéro de mobile dans un attribut personnalisé, vous devez fournir cet attribut à la place. Si, par exemple, le numéro de mobile est dans l'attribut otherMobile, vous pouvez utiliser la commande suivante:

Set-ADUser
  -Identity user0020
  -Replace @{otherMobile='+1-202-555-0191'}

Pour Gatekeeper Admin Tool 8.23 et versions ultérieures: après avoir mis à jour l'attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l'objet feuille.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Pour Gatekeeper Admin Tool 8.22 et versions antérieures: après avoir mis à jour l'attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l'objet feuille.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Inscription admin Email personnel

Exemple d'utilisation:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Prend les paramètres Username, Answers et Language. Language est un code de langue optionnel à 2 chiffres. Answers prend un tableau de questions et réponses.

Exemple d'utilisation:

$questionsAndAnswers =
  @{'Question'='Who are you?'; 'Answer'='No one'},
  @{'Question'='Why are you here?'; 'Answer'='I am not'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Liste les services d'identité avec lesquels un utilisateur est inscrit.

Exemple d'utilisation:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Liste tous les services d'identité disponibles dans votre abonnement Specops Authentication.

Exemple d'utilisation:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Supprime tous les services d'identité inscrits d'un utilisateur, sauf ceux inscrits automatiquement, comme Windows Identity, Duo Security, Manager Identification ou Symantec VIP.

Exemple d'utilisation:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Supprime l'inscription d'un service d'identité d'un utilisateur.

Exemple d'utilisation:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint