Specops Authentication Web

Le Web d'authentification peut être utilisé pour afficher les informations système et gérer divers aspects du produit, y compris les configurations à l'échelle du système et les politiques d'authentification multi-facteurs pour ses différentes ressources.

Une fois que vous avez installé et configuré le Gatekeeper, les utilisateurs qui sont membres du groupe d'administration d'authentification peuvent configurer davantage la solution depuis le Web d'authentification:

https://login.specopssoft.com/authentication/admin (centre de données US)

https://eu.login.specopssoft.com/authentication/admin (centre de données EU)

Gatekeepers

Depuis le menu Gatekeepers, vous pouvez voir une liste de vos Gatekeepers et leur statut de connexion. Pour la redondance, configurez et configurez des Gatekeepers supplémentaires.

Création et installation d'un nouveau Gatekeeper

Connectez-vous au Web d'authentification Specops.
Cliquez sur Gatekeepers.
Cliquez sur Nouveau.
Cliquez sur Télécharger sur Package d'installation auto-extractible par défaut.

Remarque

Notez le code d'activation affiché à l'écran car il vous sera demandé lors de l'installation.
Exécutez le fichier d'installation.
Complétez les étapes d'installation.
Retournez à la page Gatekeepers dans le Web d'authentification Specops, et assurez-vous que la priorité du Gatekeeper est conforme à vos besoins.

Désenregistrement des Gatekeepers

Cliquer sur un Gatekeeper dans la liste vous amènera à la page de détails de ce Gatekeeper. Ici, vous pouvez également désenregistrer le Gatekeeper en question. Cependant, il est recommandé de désenregistrer tout Gatekeeper depuis l'outil d'administration Gatekeeper. Pour plus d'informations sur la façon de désenregistrer les Gatekeepers, veuillez vous référer à la section Gestion des Gatekeepers hors ligne sur la page de l'outil d'administration Gatekeeper.

Comptes Cloud

Depuis le menu Comptes Cloud, vous pouvez:

Voir une liste des comptes Cloud existants
Ajouter de nouveaux comptes Cloud
Supprimer des comptes Cloud
Générer une URL d'inscription pour un nouveau compte Cloud

Visualisation des comptes Cloud existants

Vous pouvez voir une liste des comptes cloud existants. Vous pouvez également voir des détails supplémentaires, tels que: le nom du compte, le numéro de téléphone mobile, la dernière fois que le mot de passe a été changé, et la date d'expiration de la session d'inscription si l'utilisateur a une inscription en attente.

Ajout d'un nouveau compte Cloud

Pour ajouter un nouveau compte Cloud, vous devez être connecté avec un compte Cloud, ou un compte utilisateur Active Directory dans le groupe d'administration des utilisateurs.

Cliquez sur Ajouter un compte cloud.
Dans le champ Adresse e-mail du compte cloud, entrez le nom du compte (UPN) du compte utilisateur. Par exemple: nomutilisateur@domaine.com
Le champ Nom complet du compte cloud (upn) est en lecture seule. Le nom complet du compte Cloud est automatiquement généré à partir du nom du compte (UPN) spécifié dans le champ Adresse e-mail du compte cloud.
Cliquez sur Enregistrer.

Génération d'une URL de session d'inscription pour un compte Cloud

Vous pouvez générer une URL de session d'inscription pour un compte Cloud dans le menu Comptes Cloud. Une URL de session d'inscription permet à un compte Cloud de s'inscrire, afin qu'il puisse accéder aux pages d'administration dans le Web d'authentification Specops. L'URL doit être copiée et envoyée par e-mail ou message texte.

Remarque

Une URL d'inscription expirera 2 heures après sa génération. Si l'URL expire avant d'être utilisée, une nouvelle doit être générée.

Les administrateurs peuvent révoquer activement le lien avant la fin du temps d'expiration en cliquant sur le Lien de révocation en bas de la fenêtre.

Sélectionnez un compte Cloud dans la liste.
Cliquez sur Générer à côté du champ URL de session d'inscription.
Lorsque l'URL a été générée, cliquez sur le lien Copier le lien, pour le copier.

Suppression d'un compte Cloud

Vous pouvez supprimer un compte Cloud dans le menu des comptes Cloud.

Avertissement

Si vous êtes membre du « groupe Admin », vous aurez la possibilité de supprimer un autre compte Cloud.

Sélectionnez un compte dans la liste.
Cliquez sur Supprimer le compte.
Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.

Politiques

Les politiques Specops sont des collections de règles d'authentification multi-facteurs pour la fonctionnalité de base de Specops Authentication. Des politiques distinctes peuvent être configurées pour différentes applications Specops Authentication, ainsi que pour les administrateurs pour l'authentification pour le Web d'authentification.

Configuration d'une politique

Pour configurer une politique, cliquez sur Configurer à côté de chaque politique pour définir ses exigences d'authentification.

Cliquez sur Configurer ou Modifier les règles d'authentification.
Déplacez l'un des services d'identité que vous souhaitez utiliser de la boîte Services d'identité non sélectionnés à droite vers les Services d'identité sélectionnés à gauche en cliquant sur l'icône plus à côté du service d'identité.
Vous devrez attribuer un poids (valeur étoile) pour chaque service d'identité sélectionné. Cela vous permettra d'attribuer une valeur plus élevée à ces services d'identité que vous croyez offrir un niveau de sécurité plus élevé. Par exemple, attribuer au Specops Authenticator 2 étoiles équivaudrait à deux services d'identité valant 1 étoile. Veuillez vous référer à la page d'attribution de poids des services d'identité pour des conseils supplémentaires.
Pour exiger que l'utilisateur utilise un service d'identité spécifique, cochez la case Requis.
Configurez le poids requis (étoiles) pour l'inscription.
Configurez le poids requis (étoiles) pour l'authentification.

Remarque

Le nombre d'étoiles requis pour l'authentification doit être égal ou inférieur au nombre d'étoiles requis pour l'inscription.
Pour compléter le processus d'inscription ou d'authentification, l'utilisateur devra remplir la barre d'étoiles avec le nombre d'étoiles défini par la politique.
Cliquez sur Enregistrer lorsque vous avez terminé.

Notez que les politiques peuvent également être affectées par les paramètres de Blocage géographique, et Emplacements de réseau de confiance.

Suppression d'un service d'identité

Pour supprimer un service d'identité d'une politique, procédez comme suit:

Cliquez sur Configurer ou Modifier les règles d'authentification.
Supprimez l'un des services d'identité de votre politique en cliquant sur l'icône moins à côté du service d'identité. Le service d'identité sera déplacé vers la boîte Services d'identité non sélectionnés à droite.

Meilleures pratiques de configuration des politiques

Lors de la configuration des politiques pour plusieurs applications Specops (uReset, Authentication for O365, et Key Recovery), il est important de garder à l'esprit que certaines configurations peuvent affecter négativement le processus d'inscription pour les utilisateurs.

Lorsque les politiques pour différentes applications sont configurées nécessitant différents services d'identité, l'utilisateur devra s'identifier avec plus de services afin de satisfaire les exigences pour toutes les applications. Configurer des politiques pour utiliser le même ensemble de services d'identité raccourcira le processus d'inscription pour les utilisateurs.

Pour plus d'informations sur l'inscription, veuillez vous référer au document de meilleures pratiques.

Services d'identité faibles

En raison de la nature de certains services d'identité (auto-inscrits), ils sont considérés comme plus faibles que d'autres. Les services d'identité listés ci-dessous sont considérés comme faibles:

Questions de sécurité
Code mobile (SMS)
Email personnel

Modes de sécurité d'inscription

Lorsque les utilisateurs s'inscrivent pour la première fois, ils devront s'identifier en fournissant leur mot de passe Windows. Les modifications ultérieures de l'inscription (réinscription) nécessiteront une identification avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows, si le mode de sécurité est réglé sur Moyen ou Élevé.

Il existe trois modes de sécurité disponibles pour les administrateurs: Sécurité faible, Sécurité moyenne, et Sécurité élevée. Ces modes de sécurité reflètent la force relative des politiques configurées, et déterminent en partie avec quels services d'identité l'utilisateur doit se réinscrire (chaque fois que les utilisateurs doivent changer leur inscription).

Sécurité faible Les utilisateurs ne sont tenus de fournir que leur mot de passe Windows pour l'identification.
Sécurité moyenne Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows.
Sécurité élevée Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité fort précédemment utilisé, ou deux services faibles (au cas où ils ne se seraient pas inscrits avec des services d'identité forts), en plus de leur mot de passe Windows. Les services d'identité faibles, tels que les questions de sécurité, ne seront pas présentés à l'utilisateur comme une option, sauf s'ils ne se sont inscrits qu'avec des services d'identité faibles.

Remarque: les utilisateurs se verront présenter des services d'identité pour la (ré-)inscription si l'utilisateur a été précédemment inscrit avec ledit service, et qu'il fait partie d'une politique affectant l'utilisateur. L'identité Windows de l'utilisateur fait toujours partie de la procédure de (ré-)inscription.

Remarque: les modes faible ou moyen sont réglés automatiquement, en fonction des configurations de politique. Le mode de sécurité élevé doit être activé par les administrateurs afin d'imposer la réinscription avec des services d'identité forts.

Services d'identité auto-inscrits et modes de sécurité

Pour les modes de sécurité moyenne et élevée, les utilisateurs affectés par des politiques incluant des services d'identité auto-inscrits, tels que Duo Security et Okta, devront s'authentifier avec le service d'identité auto-inscrit sur la page d'inscription. Cela signifie que les utilisateurs devront avoir leur inscription avec Duo Security ou Okta en place avant de pouvoir s'inscrire avec Specops Authentication.

Paramètres de verrouillage

Les services d'identité Code mobile (SMS), Email, et Email personnel peuvent être configurés pour être verrouillés après des saisies incorrectes par l'utilisateur. Pour configurer ces paramètres de verrouillage, allez dans le menu Services d'identité dans le Web d'authentification, et cliquez sur l'icône des paramètres à côté du service d'identité en question. Les éléments suivants peuvent être configurés:

Seuil de verrouillage: détermine combien de fois une saisie incorrecte peut être fournie.
Durée du verrouillage en minutes: détermine combien de temps le service d'identité sera verrouillé.

Paramètre des emplacements de réseau de confiance

Lorsque ce paramètre est activé, les utilisateurs ne peuvent s'inscrire qu'en s'authentifiant depuis l'un des emplacements de réseau de confiance spécifiés par les administrateurs. Pour plus d'informations, voir Emplacements de réseau de confiance.

Services d'identité

Vous pouvez trouver une liste complète des services d'identité disponibles sous l'onglet Services d'identité. Vous pouvez activer/désactiver tous les services d'identité de cette liste. Vous configurez certains de ces services d'identité et gérez leurs paramètres à l'échelle du système sur cette page.

Si un service d'identité est configurable, vous verrez une Icône d'engrenage du service d'identité à côté.

Si un service d'identité est désactivé, vous verrez une Icône de croix du service d'identité à côté.

Si un service d'identité a été activé, vous verrez une Icône de coche du service d'identité à côté.

Exemples:

Un service d'identité configurable qui est actuellement désactivé.
Un service d'identité configurable qui est actuellement désactivé.

Une fois que vous configurez un service d'identité et que vous l'activez, votre utilisateur pourra s'inscrire et s'authentifier avec lui. Si vous le désactivez, le service d'identité ne sera plus disponible.

Texte alternatif pour cette image

Les services d'identité suivants peuvent être configurés:

Duo Security: Duo Security est un service de vérification en deux étapes. Lorsque les utilisateurs s'authentifient, ils recevront un code de vérification unique sur l'application mobile Duo Security. Ils doivent ensuite entrer le code pour s'authentifier avec succès. Pour configurer Duo Security, voir Duo.
Email et Email personnel: l'email de l'utilisateur est utilisé comme service d'identité en envoyant un code à l'adresse email enregistrée que l'utilisateur doit ensuite saisir dans le champ à l'écran. Email ne nécessite pas d'inscription, car il fait référence à l'adresse email dans l'attribut email dans AD (ou tout autre attribut s'il est remplacé) ; il ne peut être utilisé qu'avec des domaines associés à Specops Authentication. Email personnel doit être enregistré lors de l'inscription par l'utilisateur et il peut utiliser n'importe quelle adresse email de son choix.
Freja: Si les utilisateurs choisissent de s'inscrire avec Freja, ils doivent s'authentifier dans l'application Freja sur leur appareil. Pour configurer Freja, voir Freja.
Identification du gestionnaire: Lorsqu'un utilisateur s'authentifie en utilisant l'identification du gestionnaire, un email ou un message SMS est envoyé à son gestionnaire. Son gestionnaire doit ensuite approuver la demande d'authentification. Ce service d'identité est entièrement configurable, ce qui signifie que les administrateurs peuvent décider du contenu de la notification de demande d'authentification et si un gestionnaire doit s'authentifier avant de pouvoir approuver une demande d'authentification. Chaque utilisateur doit avoir un gestionnaire assigné dans Active Directory, et les comptes de gestionnaire doivent avoir une adresse email/numéro de téléphone mobile associé à leur profil afin de recevoir des demandes d'authentification des utilisateurs. Pour configurer l'identification du gestionnaire, voir Identification du gestionnaire.
Entra ID: permet à Specops Authentication de s'intégrer aux bibliothèques d'authentification Microsoft. Microsoft Authenticator peut être utilisé pour s'authentifier avec Specops Authentication sans utiliser de mot de passe.
Code mobile (SMS): Si les utilisateurs choisissent de s'inscrire avec le Code mobile (SMS), ils doivent entrer leur numéro de téléphone mobile. Ils recevront ensuite un code à quatre chiffres unique via un message SMS, qui doit être saisi pour s'authentifier avec succès. Pour configurer le Code mobile (SMS), voir Code mobile (SMS).
Okta: Okta est un service de vérification en deux étapes. Lorsque les utilisateurs s'authentifient, ils recevront une notification dans leur application mobile Okta. Ils doivent ensuite reconnaître cette notification pour vérifier leur identité. Les utilisateurs peuvent également choisir de recevoir un code Okta par message texte. Pour configurer Okta, voir Okta.
Passkeys: Les utilisateurs peuvent s'authentifier avec des passkeys qu'ils ont déjà configurés sur leur appareil. Les passkeys sont des identifiants numériques (authentificateurs), liés à un compte utilisateur et à un site Web ou une application. Quelques exemples de passkeys sont Windows Hello, Yubikey, Bitwarden et toute application d'authentification telle que Google Authenticator.
PingID: Avec PingID, les utilisateurs peuvent s'authentifier en utilisant l'application mobile PingID.
Questions secrètes: Les utilisateurs peuvent sélectionner des questions dans une liste prédéterminée et spécifier les réponses. Ils doivent ensuite répondre à ces questions pour s'authentifier avec succès. Pour configurer les questions secrètes, voir Questions secrètes.
SITHS eID: SITHS eID est un service d'authentification basé sur une carte à puce, qui permet aux employés (tels que les professionnels de la santé) des autorités, municipalités et conseils de comté en Suède de s'identifier électroniquement. Pour configurer SITHS eID, voir SITHS.
Specops Fingerprint: Specops Fingerprint permet aux utilisateurs de s'inscrire et de s'authentifier en utilisant des appareils avec des scanners d'empreintes digitales, tels que des smartphones et des tablettes. Les utilisateurs peuvent appuyer leur doigt sur le scanner d'empreintes digitales de leur appareil pour s'identifier instantanément. Les utilisateurs peuvent également utiliser Face ID pour s'authentifier, s'ils possèdent un iPhone X et supérieur. Pour utiliser ce service d'identité, les utilisateurs doivent avoir l'application installée sur leur appareil mobile.
Symantec VIP: Symantec VIP est un service de vérification en deux étapes. Lorsque les utilisateurs s'authentifient, ils recevront un code de vérification unique sur l'application mobile Symantec VIP. Ils doivent ensuite entrer le code pour s'authentifier avec succès. Pour configurer Symantec VIP, voir Symantec VIP.
Yubikey: Le Yubikey est un dispositif d'authentification matériel. Les utilisateurs peuvent s'authentifier en générant des mots de passe à usage unique (OTP) avec leur Yubikey (uniquement si le Yubikey prend en charge Yubico OTP comme fonction de sécurité). Pour plus d'informations sur Yubikey, consultez la page Yubikey.

Personnalisation

Il existe un certain nombre de fonctionnalités de personnalisation qui vous donnent le contrôle sur l'interface utilisateur finale de Specops Authentication, y compris: logos, texte et couleurs.

Changer le logo principal

Le logo en haut à gauche de la page, à la fois dans le Web d'authentification et le client Specops, peut être modifié pour répondre à vos exigences.

Dans l'onglet Image, cliquez sur Parcourir sous Logo principal et sélectionnez l'image que vous souhaitez utiliser.
Cliquez sur OK.
Cliquez sur Télécharger pour placer l'image.

Pour revenir à l'image par défaut, cliquez sur Par défaut.

Spécifications de l'image du logo principal

Les spécifications suivantes s'appliquent à l'image du logo principal:

Types de fichiers pris en charge: png, gif, jpg.
Taille de fichier maximale: un mégaoctet (1 Mo).
La transparence dans les images png sera rendue comme prévu, avec la couleur de fond apparaissant à travers les parties transparentes.
L'image sera rendue avec une hauteur de 40 pixels.
- Le rapport d'aspect du fichier téléchargé sera toujours conservé intact.
- Les images avec une hauteur inférieure à 40 pixels seront agrandies à 40 pixels. La qualité de l'image rendue diminuera.
- Les images avec une hauteur supérieure à 40 pixels seront réduites à 40 pixels. La qualité n'est pas nécessairement affectée.
- Pour de meilleurs résultats, utilisez une image avec une hauteur de exactement 40 pixels et une largeur ne dépassant pas 300 pixels. Si l'image est trop large, il n'y aura pas suffisamment de place pour rendre les éléments du menu dans l'en-tête.

Changer l'image de connexion

Vous pouvez également changer l'image sur la page de connexion qui est présentée aux utilisateurs.

Dans l'onglet Image, cliquez sur Parcourir sous Image de connexion et sélectionnez l'image que vous souhaitez utiliser.
Cliquez sur OK.
Cliquez sur Télécharger pour placer l'image. L'image apparaîtra en haut à gauche de la page.

Pour revenir à l'image par défaut, cliquez sur Par défaut.

Spécifications de l'image de connexion

Les spécifications pour l'image de connexion sont les mêmes que pour le logo (ci-dessus), sauf pour la taille. L'image de connexion a une largeur maximale de 235 pixels. Les images de moins de 235 px de large seront agrandies (ce qui diminuera la qualité de l'image), et les images de plus de 235 px de large seront réduites. Le rapport d'aspect de l'image originale sera toujours conservé dans l'image rendue.

Changer les couleurs

Diverses couleurs dans l'interface peuvent être modifiées pour correspondre à l'apparence de votre entreprise. Les couleurs qui peuvent être modifiées sont:

Fond de page (zone de contenu principal de la page)
Fond de menu (navigation en haut et sur le côté)
Fond de connexion (page de connexion)
Bouton par défaut (boutons principaux)
Bouton secondaire (boutons tels que Annuler, etc.)
Fond de la boîte d'information (zones de texte avec des informations supplémentaires)

Pour changer la couleur:

Dans l'onglet Style, cochez la case dans la colonne Personnalisé à côté de la couleur que vous souhaitez changer.
Sélectionnez la couleur que vous souhaitez utiliser:
- Cliquez sur l'icône de sélection de couleur dans la colonne Choisir la couleur et sélectionnez la couleur que vous souhaitez, puis cliquez sur OK OU
- Entrez le code couleur HTML (code couleur hexadécimal) dans le champ de texte.

Pour rétablir un élément particulier à sa couleur par défaut, décochez la case Personnalisé pour cet élément et cliquez sur Enregistrer.

Pour revenir à la couleur par défaut pour tous les éléments, cliquez sur Par défaut.

Changer les textes

Divers textes présentés à l'utilisateur dans les messages et notifications peuvent également être modifiés.

Dans l'onglet Texte, sélectionnez la langue que vous souhaitez modifier en cliquant sur l'onglet pour cette langue.
Cliquez sur l'élément de texte que vous souhaitez modifier, par exemple Satisfait, en-tête.
Sélectionnez Utiliser personnalisé.
Entrez le texte que vous souhaitez utiliser dans le champ Texte personnalisé et cliquez sur Enregistrer. La colonne Personnalisé dans la liste affichera maintenant une coche à l'élément de texte que vous avez modifié, tandis que la Valeur actuelle affiche le nouveau texte.

Pour revenir au texte par défaut, cliquez sur l'élément de texte, et sélectionnez Utiliser l'original, puis Enregistrer. Cela supprimera le texte personnalisé. Notez que supprimer uniquement le texte personnalisé ne rétablira pas l'élément de texte à l'état par défaut (au lieu de cela, le champ de texte sera alors vide).

Changer les noms des services d'identité

Les noms de certains services d'identité peuvent être modifiés pour mieux refléter la manière dont ils sont utilisés dans votre organisation. Les noms des services d'identité qui peuvent être modifiés sont:

Email (IdService_PrimaryEmail)
Identification du gestionnaire (IdService_ManagerIdentification)
Code mobile (IdService_MobileCode)
Email personnel (IdService_AlternateEmail)
Questions secrètes (IdService_QAndA)
Identité Windows (IdService_WindowsIdentity)

Les noms des services d'identité sont modifiés de la même manière que les autres textes, dans le tableau des Textes.

Inscription

Élément de texte	Description	Texte par défaut
Satisfait, en-tête	Lorsqu'un utilisateur s'est inscrit avec suffisamment de services d'identité pour répondre aux exigences de poids, il est envoyé à une page lui indiquant cela et a la possibilité de continuer ou de terminer le processus d'inscription. Ceci est l'en-tête de cette page.	Tout est fait !
Satisfait, message	Lorsqu'un utilisateur s'est inscrit avec suffisamment de services d'identité pour répondre aux exigences de poids, il est envoyé à une page lui indiquant cela et a la possibilité de continuer ou de terminer le processus d'inscription. Ceci est le texte d'information sur cette page.	Vous avez collecté suffisamment d'étoiles pour votre inscription. N'hésitez pas à améliorer vos informations d'inscription en collectant plus d'étoiles.
Modifier les inscriptions, message	Ce texte est affiché sur la page où l'utilisateur sélectionne les services d'identité pendant le processus d'inscription. Plus précisément, ce texte est utilisé lorsque l'utilisateur a choisi de modifier une inscription déjà complète.	Ajoutez ou modifiez des services d'identité à partir des listes ci-dessous. Assurez-vous que votre barre d'étoiles est toujours pleine après les modifications.
Instructions	Ce texte est affiché sur la page où l'utilisateur sélectionne les services d'identité pendant le processus d'inscription.	Utilisez les services d'identité ci-dessous pour vous identifier jusqu'à ce que vous ayez collecté suffisamment d'étoiles pour remplir la barre d'étoiles.
Rappel, en-tête	Ceci est l'en-tête qui sera affiché sur la première page de l'assistant d'inscription, avant que l'utilisateur ne doive entrer son mot de passe.	Rappel d'inscription
Rappel, message	Ce texte sera affiché sur la première page de l'assistant d'inscription, avant que l'utilisateur ne doive entrer son mot de passe.	Vous devez vous inscrire au service de réinitialisation de mot de passe. Appuyez sur le bouton ci-dessous pour démarrer l'assistant d'inscription.
Terminé, message	Ceci est affiché sur la page finale du processus d'inscription après que l'utilisateur s'est inscrit avec tous les services d'identité disponibles ou qu'il a sélectionné l'option "J'ai terminé" et non "Collecter plus d'étoiles".	Vous avez terminé l'inscription, vous pouvez maintenant fermer ce navigateur et continuer votre journée.
Déjà inscrit, en-tête	Déjà inscrit, en-tête	Inscrit
	Déjà inscrit, message	Vous êtes déjà inscrit ! Si vous le souhaitez, vous pouvez vous inscrire à des services d'identité supplémentaires ou apporter des modifications aux services d'identité auxquels vous êtes inscrit.

Mfa

Élément de texte	Description	Texte par défaut
Sélectionner le service d'identité, message	Ce texte est affiché sur la page où l'utilisateur sélectionne les services d'identité pendant le processus de connexion.	Utilisez les services d'identité ci-dessous pour vous identifier jusqu'à ce que vous ayez collecté suffisamment d'étoiles pour remplir la barre d'étoiles.
Impossible de s'inscrire car aucune politique, en-tête	Ce titre est affiché lorsqu'un utilisateur qui n'a pas de politique configurée essaie de se connecter.	Vous ne pouvez pas vous inscrire à ce service
Impossible de s'inscrire car aucune politique, message	Ce message est affiché lorsqu'un utilisateur qui n'a pas de politique configurée essaie de se connecter.	Aucune politique n'a été configurée pour vous pour ce service.
Inscription manquante, en-tête	Cet en-tête est affiché lorsqu'un utilisateur n'est pas inscrit à uReset et essaie de réinitialiser son mot de passe.	Inscription manquante
Impossible de réinitialiser le mot de passe, non inscrit à uReset	Ce texte est affiché lorsqu'un utilisateur n'est pas inscrit à uReset et essaie de réinitialiser son mot de passe.	Vous ne pouvez pas réinitialiser votre mot de passe car vous n'êtes pas inscrit au service de réinitialisation de mot de passe.
Impossible de se connecter depuis une IP non fiable	Ce texte est affiché à un utilisateur final lorsqu'il essaie de se connecter mais n'est pas autorisé en raison de la connexion depuis un emplacement réseau non fiable.	Vous ne pouvez pas vous connecter à la ressource {0} car vous ne vous connectez pas depuis un emplacement réseau de confiance.

Service Desk

Élément de texte	Description	Texte par défaut
Rechercher des utilisateurs	Ce texte est affiché sur la page de démarrage {0}.	Utilisez la boîte de recherche pour trouver des utilisateurs. Vous pouvez rechercher par noms de compte, adresses email ou noms réels des utilisateurs.
Message par défaut du corps du message de vérification avancée	Lors de la vérification avancée, un agent du Service Desk peut envoyer un message texte à l'utilisateur contenant un lien de vérification. Le texte par défaut du message est déterminé par ce modèle de message texte. Il peut être modifié par l'agent du Service Desk avant l'envoi.	Vérifiez votre identité ici
Sujet de l'email par défaut de la vérification avancée	Lors de la vérification avancée, un agent du Service Desk peut envoyer un email à l'utilisateur contenant un lien de vérification. Le texte par défaut de l'email est déterminé par ce modèle de sujet d'email. Il peut être modifié par l'agent du Service Desk avant l'envoi.	Vérifiez votre identité
Corps de l'email par défaut de la vérification avancée	Lors de la vérification avancée, un agent du Service Desk peut envoyer un email à l'utilisateur contenant un lien de vérification. Le texte par défaut de l'email est déterminé par ce modèle de corps d'email. Il peut être modifié par l'agent du Service Desk avant l'envoi.	Utilisez ce lien pour vérifier votre identité
Instructions de vérification du token RSA SecurID	Décrit comment les utilisateurs gèrent la vérification du token avec leurs appareils RSA SecurID. Ce texte doit spécifier si la vérification nécessite un token et/ou un code PIN. {0} sera remplacé par 'RSA SecurID' mais l'ajout de cet espace réservé n'est pas requis.	Entrez un code depuis l'application {0}.
Instructions de vérification du code RSA SecurID	Décrit comment les utilisateurs gèrent la vérification du token avec leurs appareils RSA SecurID. Ce texte doit spécifier si la vérification nécessite un token et/ou un code PIN. {0} sera remplacé par 'RSA SecurID' mais l'ajout de cet espace réservé n'est pas requis.	Entrez un code depuis l'application {0}.
Corps du message de notification de réinitialisation de mot de passe - Utilisateur	Décrit le corps du message texte pour la notification de réinitialisation de mot de passe de l'utilisateur. Ce texte doit spécifier les détails du corps du message. {password} sera remplacé par le nouveau mot de passe de l'utilisateur - cet espace réservé est requis. {upn} sera remplacé par l'upn de l'utilisateur - cet espace réservé n'est pas requis. {changepasswordlink} sera remplacé par le lien de réinitialisation de mot de passe - cet espace réservé n'est pas requis.	Votre nouveau mot de passe est:
Corps du message de notification de réinitialisation de mot de passe - Gestionnaire/Personnalisé	Décrit le corps du message pour la notification de réinitialisation de mot de passe du gestionnaire/personnalisé. Ce texte doit spécifier les détails du corps du message. {password} sera remplacé par le nouveau mot de passe de l'utilisateur - cet espace réservé est requis. {upn} sera remplacé par l'upn de l'utilisateur - cet espace réservé n'est pas requis. {changepasswordlink} sera remplacé par le lien de réinitialisation de mot de passe - cet espace réservé n'est pas requis.	Le nouveau mot de passe pour {upn} est: {password}
Corps du message SMS de notification de réinitialisation de mot de passe - Utilisateur	Décrit le corps du message pour la notification de réinitialisation de mot de passe de l'utilisateur. {password} sera remplacé par le nouveau mot de passe de l'utilisateur - cet espace réservé est requis. {upn} sera remplacé par l'upn de l'utilisateur - cet espace réservé n'est pas requis. {changepasswordlink} sera remplacé par le lien de réinitialisation de mot de passe - cet espace réservé n'est pas requis.	Nouveau mot de passe:

Changement/réinitialisation de mot de passe

Élément de texte	Description	Texte par défaut
Changement de mot de passe - Succès, message	Ce texte est affiché lorsque l'utilisateur a terminé une réinitialisation de mot de passe ou un changement de mot de passe.	Votre mot de passe a été changé ! Si vous utilisez un ordinateur Windows, il est recommandé de vous déconnecter et de vous reconnecter avec votre nouveau mot de passe. De plus, n'oubliez pas de mettre à jour votre nouveau mot de passe, par exemple dans l'application email sur votre téléphone, si nécessaire.
Changement de mot de passe - Succès, message pour navigateur sécurisé	Ce texte est affiché lorsque l'utilisateur a terminé une réinitialisation de mot de passe ou un changement de mot de passe qui a commencé depuis la vue du mot de passe d'identité Windows.	Votre mot de passe a été changé ! N'oubliez pas de mettre à jour votre nouveau mot de passe, par exemple dans l'application email sur votre téléphone, si nécessaire.
Changement/réinitialisation de mot de passe - Instructions, message	Ce texte est affiché au-dessus des règles de mot de passe lorsqu'un utilisateur est sur le point d'effectuer un changement de mot de passe ou une réinitialisation de mot de passe.
Changement/réinitialisation de mot de passe - Instructions, message sur mobile	Ce texte est affiché sur les petits appareils où l'utilisateur clique pour développer les instructions de mot de passe, au-dessus des règles de mot de passe lorsqu'un utilisateur est sur le point d'effectuer un changement de mot de passe ou une réinitialisation de mot de passe.	Afficher les instructions
Page de sélection de mot de passe - Instructions	Ce texte est affiché sur la page de démarrage du mot de passe où l'utilisateur peut choisir entre un changement de mot de passe et une réinitialisation de mot de passe.	Besoin de changer votre mot de passe ? Si vous connaissez votre mot de passe actuel, vous pouvez vous connecter avec celui-ci pour le changer. Si vous avez oublié votre mot de passe, vous pouvez utiliser la deuxième option pour vous connecter puis réinitialiser votre mot de passe.
Page de sélection de mot de passe - Titre	Ce texte est affiché sur la page de démarrage du mot de passe. Ceci est le titre de la section.	Nouveau mot de passe
Page de sélection de mot de passe - Bouton de changement de mot de passe	Ce bouton est affiché sur la page de démarrage du mot de passe. Ce bouton initie un changement de mot de passe lorsque le mot de passe est connu.	Je connais mon mot de passe
Page de sélection de mot de passe - Bouton de réinitialisation de mot de passe	Ce bouton est affiché sur la page de démarrage du mot de passe. Ce bouton initie un changement de mot de passe lorsque le mot de passe n'est pas connu.	J'ai oublié mon mot de passe

Autre

Élément de texte	Description	Texte par défaut
Étiquette de nom d'utilisateur sur la page de nom d'utilisateur	Ce texte est affiché lorsqu'un utilisateur entre son nom d'utilisateur lors de la connexion.	Nom d'utilisateur
Étiquette de nom d'utilisateur sur la page de mot de passe	Ce texte est affiché lorsqu'un utilisateur entre son nom d'utilisateur lors de la connexion.	Nom d'utilisateur
Instructions de vérification du token RSA SecurID	Décrit comment les utilisateurs gèrent la vérification du token avec leurs appareils RSA SecurID. Ce texte doit spécifier si la vérification nécessite un token et/ou un code PIN. {0} sera remplacé par 'RSA SecurID' mais l'ajout de cet espace réservé n'est pas requis.	Entrez un code depuis l'application {0}.
Instructions de vérification du code RSA SecurID	Décrit comment les utilisateurs gèrent la vérification du token avec leurs appareils RSA SecurID. Ce texte doit spécifier si la vérification nécessite un token et/ou un code PIN. {0} sera remplacé par 'RSA SecurID' mais l'ajout de cet espace réservé n'est pas requis.	Entrez un code depuis l'application {0}.
Page de sélection de déverrouillage - Instructions	Ce texte est affiché sur la page de démarrage de déverrouillage où l'utilisateur peut déverrouiller son compte si le mot de passe est connu.	Si vous connaissez votre mot de passe actuel, mais que le compte est verrouillé, vous pouvez le déverrouiller pour pouvoir vous connecter.
Page de sélection de déverrouillage - Titre	Ce texte est affiché sur la page de démarrage de déverrouillage. Ceci est le titre de la section.	Déverrouiller le compte

Service d'identité

Élément de texte	Description	Texte par défaut
Nom d'affichage pour l'identité Windows	Ce texte remplacera le nom d'affichage pour le service d'identité Windows là où le service d'identité est utilisé.	Identité Windows
Nom d'affichage pour le code mobile	Ce texte remplacera le nom d'affichage pour le service d'identité Code mobile là où le service d'identité est utilisé.	Code mobile
Nom d'affichage pour l'email	Ce texte remplacera le nom d'affichage pour le service d'identité Email là où le service d'identité est utilisé.	Email
Nom d'affichage pour l'email personnel	Ce texte remplacera le nom d'affichage pour le service d'identité Email personnel là où le service d'identité est utilisé.	Email personnel
Nom d'affichage pour l'identification du gestionnaire	Ce texte remplacera le nom d'affichage pour le service d'identité Identification du gestionnaire là où le service d'identité est utilisé.	Identification du gestionnaire
Nom d'affichage pour les questions secrètes	Ce texte remplacera le nom d'affichage pour le service d'identité Questions secrètes là où le service d'identité est utilisé.	Questions secrètes

First Day Password

Élément de texte	Description	Texte par défaut
Titre de la page de démarrage de First Day Password	Titre de la page d'accueil de First Day Password	Définir un mot de passe
Description de la page de démarrage de First Day Password	Description sur la page d'accueil de First Day Password	Il est temps de choisir votre premier mot de passe. Sur la page suivante, vous verrez une liste de règles et de restrictions sur la façon dont un mot de passe peut être construit. Une fois que vous êtes satisfait de votre mot de passe, vous devrez le répéter dans la deuxième case.
Message d'URL invalide de First Day Password	Information à l'utilisateur final lorsque le lien a expiré ou est invalide	Ce lien pour définir votre mot de passe a expiré ou est invalide, contactez votre administrateur pour obtenir de l'aide.
Non éligible pour First Day Password	Message d'erreur lorsqu'un utilisateur n'est pas éligible pour First Day Password après s'être connecté	Vous n'êtes actuellement pas éligible pour le processus First Day Password.
Informations initiales de mot de passe de First Day Password	Informations optionnelles affichées à l'utilisateur en haut de la page de réinitialisation lors de la définition de leur premier mot de passe.
Message de fin de First Day Password	Ce texte est affiché lorsque l'utilisateur de First Day Password a terminé la configuration du mot de passe.	Votre mot de passe Windows a maintenant été défini.

Définir une langue de secours

La langue de secours permet aux administrateurs de désigner des chaînes de langue personnalisées secondaires au cas où aucune chaîne personnalisée n'existe dans la langue que l'utilisateur final a définie comme langue d'interface. Cela signifie que les administrateurs peuvent s'assurer que le texte correct est toujours présenté à l'utilisateur.

Dans Authentication Web, allez à Personnalisation > Textes
Cliquez sur l'onglet de la langue que vous souhaitez définir comme langue de secours, et cliquez sur Définir comme langue de secours. La langue de secours sera marquée en gras.

Remarque

Si une langue a été définie comme langue de secours, le bouton vous permettra de désactiver la langue de secours, sinon il vous permettra de la définir.

L'ordre dans lequel les chaînes de texte sont affichées à l'utilisateur est le suivant:

Valeur personnalisée pour la langue actuelle de l'utilisateur.
Valeur personnalisée pour la langue de secours (si aucune valeur personnalisée n'existe pour la langue actuelle).
Texte par défaut pour la langue actuelle (s'il n'y a pas de valeurs personnalisées pour la langue actuelle ou la langue de secours).

Cette fonctionnalité peut être utilisée pour s'assurer que les messages personnalisés importants sont toujours affichés aux utilisateurs, même lorsque toutes les langues disponibles n'ont pas été mises à jour avec le même message personnalisé. Exemple: si vous avez un message personnalisé pour le message d'inscription terminée (Enroll_Completed_Message) en français, vous pouvez définir l'anglais comme langue de secours et vous assurer que la chaîne Enroll_Complete_Message en anglais a également une valeur personnalisée. Si un utilisateur a sa langue définie sur autre chose que le français ou l'anglais, il verra toujours le message en anglais, même s'il n'y a pas de texte personnalisé pour sa langue actuelle.

Rapports

Le menu Rapports contient plusieurs rapports utiles. Parcourez les onglets disponibles pour afficher les rapports.

Utilisation: Depuis l'onglet Utilisation, vous pouvez voir les inscriptions terminées, les authentifications terminées, ainsi que l'activité des messages texte (tels que les notifications, ou l'utilisation du Code mobile (SMS)).
Audit: Depuis l'onglet Audit, vous pouvez suivre les changements d'événements dans uReset. Cliquez sur Obtenir les événements pour une liste complète des événements. Alternativement, filtrez par ressource ou par date. Les résultats seront affichés, et vous pouvez cliquer sur chaque événement pour plus de détails.
Événements système: Depuis l'onglet Événements système, vous pouvez voir les opérations de journal effectuées par uReset. Les informations affichées, les avertissements et les erreurs sont destinés aux administrateurs responsables du dépannage du système. Cliquez sur Trouver sans aucune information de filtrage pour une liste complète des activités. Alternativement, filtrez les activités par type, gravité, dates, utilisateur, nom de l'événement et identifiant de l'activité. Les résultats seront affichés. Vous pouvez cliquer sur chaque événement pour plus de détails, y compris les informations de dépannage.
Utilisateurs non inscrits: Depuis l'onglet Utilisateurs non inscrits, vous pouvez suivre la progression de l'inscription en générant et en exportant des rapports liés aux inscriptions des utilisateurs.

Abonnements

Vous pouvez voir l'état de votre abonnement uReset, y compris les fonctionnalités activées et les services d'identité depuis l'onglet Abonnements. Vous pouvez également voir les statistiques d'utilisation, y compris l'authentification terminée par mois, et tout le temps.

Compte

Depuis le menu Compte, vous pouvez ajouter plusieurs domaines à votre compte d'organisation Specops Authentication, gérer les paramètres CAPTCHA et gérer vos paramètres email personnalisés.

Domaines

Pour ajouter plusieurs domaines à votre compte d'organisation uReset.

Sélectionnez Compte dans Authentication Web.
Dans l'onglet Noms de domaine, cliquez sur Ajouter nouveau.
Entrez le nom de domaine dans le champ Nom de domaine, et cliquez sur Enregistrer.

Vous pouvez désigner les domaines associés à votre compte comme vérifiés pour garantir un niveau de sécurité supplémentaire. Vous pouvez en savoir plus sur la vérification de domaine ici.

La protection du nom de domaine garantit que votre compte Specops Authentication ne peut pas être accédé automatiquement en utilisant votre nom de domaine enregistré. Vous pouvez en savoir plus sur la protection du nom de domaine ici.

Domaine préféré

Lorsque vous avez plusieurs domaines enregistrés, vous pouvez désigner l'un d'entre eux comme domaine préféré. Ce sera alors le domaine affiché dans toutes les URL associées à Specops Authentication après le paramètre ?domain= (pages d'administration, inscription, etc.).

Définir le domaine préféré

Sélectionnez Compte dans Authentication Web
Dans la liste Noms de domaine, cliquez sur Modifier pour le domaine que vous souhaitez définir comme domaine préféré.
Sélectionnez la case à cocher Définir comme domaine préféré.
Cliquez sur Enregistrer

CAPTCHA

Dans cet onglet, vous pouvez configurer les paramètres pour afficher dynamiquement un CAPTCHA. Le CAPTCHA est utilisé pour empêcher la collecte automatisée de noms d'utilisateur. Ce paramètre protégera les points de terminaison où un utilisateur saisit son nom d'utilisateur. Si le CAPTCHA est activé, toute tentative suspecte d'accès aux points de terminaison incitera l'utilisateur à relever un défi CAPTCHA. La technologie Google reCAPTCHA est utilisée. Il est recommandé d'activer le CAPTCHA.

Vous pouvez configurer le CAPTCHA sur l'une des options suivantes:

Désactiver Captcha: désactive complètement le CAPTCHA.
Activer Captcha pour les demandes provenant de lieux de réseau non fiables: lorsque les emplacements de réseau de confiance sont activés, cette option activera le CAPTCHA uniquement pour les utilisateurs se connectant à partir d'adresses IP en dehors de vos emplacements de réseau de confiance.
Toujours activer Captcha: cela active Captcha pour tous les utilisateurs.

CAPTCHA pour les navigateurs ADAL

Le navigateur ADAL est un navigateur personnalisé de Microsoft utilisé pour effectuer une authentification déléguée à partir, par exemple, de Microsoft Outlook ou Microsoft Word. Ces navigateurs ne sont pas entièrement compatibles avec Google reCAPTCHA et l'utilisateur final peut être confronté à de nombreux défis CAPTCHA successifs. Pour éviter que les utilisateurs ne soient confrontés à plusieurs défis CAPTCHA, vous pouvez cocher la case CAPTCHA activé dans les navigateurs ADAL.

Paramètres de messagerie

Remarque

Si les paramètres SMTP ont été configurés dans l'outil d'administration Gatekeeper pour utiliser votre propre fournisseur SMTP au lieu de la configuration par défaut de Specops (qui utilise des fournisseurs tiers, tels que SendGrid), cette section sera désactivée. Pour utiliser la configuration par défaut et configurer les paramètres de messagerie ici, connectez-vous à l'outil d'administration Gatekeeper, allez dans Configuration de l'email, cliquez sur Modifier, et changez le menu déroulant en Configuration par défaut de Specops. Ensuite, cliquez deux fois sur OK.

Si vous souhaitez que les emails d'inscription, d'authentification et de vérification d'identité utilisateur soient envoyés à partir d'une adresse email personnalisée, vous pouvez le configurer ici.

Remarque

Configurer cette adresse email ne modifiera pas vos paramètres de notification (par exemple, pour les notifications Specops uReset).

Cliquez sur l'onglet Paramètres de messagerie
Cliquez sur l'email actuel pour entrer dans les paramètres de messagerie
Définissez le Nom d'affichage de l'expéditeur, l'Adresse de l'expéditeur, et sélectionnez le domaine dans le menu déroulant.

Remarque

Seuls vos domaines vérifiés et tous les domaines supplémentaires que vous avez enregistrés apparaîtront dans le menu déroulant. Pour plus d'informations sur les notifications par email de SA, consultez cet article de la base de connaissances.
Cliquez sur Enregistrer

Remarque

Cliquer sur Réinitialiser aux paramètres par défaut du système rétablira les paramètres de messagerie à l'adresse email par défaut définie par Specops (de specopssoft.com). Cela supprimera le paramètre de messagerie actuel.

Configuration des enregistrements DKIM pour les emails

DomainKeys Identified Mail (DKIM) est une norme d'authentification utilisée pour empêcher l'usurpation d'email. Plus précisément, DKIM tente d'empêcher l'usurpation d'un domaine utilisé pour envoyer des emails.

DKIM utilise le concept de propriétaire de domaine qui contrôle les enregistrements DNS pour un domaine. Lors de l'envoi d'un email avec DKIM activé, le serveur d'envoi signe les messages avec une clé privée. Un propriétaire de domaine ajoute également un enregistrement DKIM, qui est un enregistrement TXT modifié, aux enregistrements DNS sur le domaine d'envoi. Cet enregistrement TXT contiendra une clé publique utilisée par les serveurs de messagerie récepteurs pour vérifier la signature d'un message.

Envoyez une demande de DKIM au support produit (vous pouvez utiliser ce formulaire).
Le support produit génère un enregistrement DKIM, qui vous est envoyé.
Ajoutez l'enregistrement DKIM à votre enregistrement DNS.
Une fois ajouté, le support produit peut vérifier l'existence de l'enregistrement.

Informations

L'onglet Informations affiche des informations sur la date de création du compte et la date d'acceptation des conditions d'utilisation.

Supprimer le compte

Les comptes peuvent être supprimés en contactant Specops.

Comptage des utilisateurs

Vous pouvez actualiser les statistiques d'inscription, disponibles sur la page de rapports, en lançant un nouveau comptage d'utilisateurs. Par défaut, le comptage d'utilisateurs nocturne sera effectué à 4h00 UTC.

Les dernières statistiques de comptage peuvent également être trouvées sur la page.

Configuration de l'heure de comptage des utilisateurs

Ici, vous pouvez configurer à quelle heure le comptage des utilisateurs sera effectué sur le Gatekeeper.

Définissez l'heure à laquelle vous souhaitez que le comptage des utilisateurs soit effectué.

Remarque

L'heure est définie en Temps Universel Coordonné (UTC).
Cochez la case Envoyer des rappels d'inscription une fois le comptage terminé pour envoyer des rappels d'inscription aux utilisateurs chaque fois que le comptage des utilisateurs est effectué.
Cliquez sur Enregistrer les paramètres.

Lancer manuellement le comptage des utilisateurs

Le comptage des utilisateurs peut être lancé à tout moment en cliquant sur le bouton Commencer le comptage.

Secure Service Desk

Le Secure Service Desk fournit tous les outils nécessaires à vos agents de service desk pour aider les utilisateurs appelant avec des problèmes d'authentification. Les agents du service desk Specops peuvent aider les utilisateurs à réinitialiser leurs mots de passe ou à déverrouiller leurs ordinateurs (si chiffrés avec Bitlocker ou Symantec) dans un environnement sécurisé et facile à utiliser, tandis que les vérificateurs d'utilisateurs du service desk Specops peuvent vérifier les utilisateurs et vérifier les inscriptions. Le service desk contient également des informations et des statistiques sur les utilisateurs.

Remarque

Remarque sur les numéros de téléphone dans Active Directory

Important: pour que la messagerie texte fonctionne correctement dans le Service Desk, le numéro de téléphone mobile enregistré dans Active Directory doit suivre le format du plan de numérotation E.164. Cela signifie que les numéros de téléphone mobile doivent avoir le format suivant: +[code_pays][numéro_abonné_sans_le_premier_zéro]. Par exemple, pour le numéro de téléphone suédois (code pays 46) 073-3123456, le numéro dans AD doit être +46733123456 ; pour le numéro de téléphone américain (code pays 1) 415 555 2671, le format dans AD doit être +14155552671.

Notez que l'enregistrement des numéros de téléphone dans Active Directory en utilisant tout autre format entraînera l'incapacité de l'agent du service desk Specops à envoyer des messages texte à l'utilisateur en question.

Rôles des agents du Secure Service Desk

Il existe deux types distincts d'agents du Secure Service Desk: l'agent du service desk Specops et le vérificateur d'utilisateurs du service desk Specops. Ces deux types d'agents ont chacun un ensemble différent de permissions:

L'agent du service desk Specops a les permissions pour effectuer toutes les actions dans le Secure Service Desk.

Le vérificateur d'utilisateurs du service desk Specops peut effectuer les actions suivantes:

Vérifier l'identité (à la fois vérification rapide et avancée)
Voir les inscriptions des utilisateurs
Envoyer des liens d'inscription aux utilisateurs

Configuration d'une politique d'accès au Secure Service Desk

Pour plus de sécurité, vous pouvez configurer des politiques d'authentification multi-facteurs pour les utilisateurs (généralement les agents du service desk Specops) accédant au service desk.

Cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur le bouton Configurer pour configurer la politique.
Configurez la politique, puis cliquez sur Enregistrer.

Configuration des paramètres pour le Secure Service Desk

Sur la page Paramètres, vous pouvez configurer les éléments suivants:

Vérification d'identité
URL de remplacement de vérification
Options de réinitialisation de mot de passe
Options de confidentialité des utilisateurs
Options de récupération de clé
Options d'inscription

Vérification d'identité

Forcer la vérification d'identité

Si ce paramètre est activé, le mot de passe de l'utilisateur ne peut pas être réinitialisé, ni son ordinateur déverrouillé par le service desk, tant que l'identité de l'utilisateur n'a pas été vérifiée en lui demandant de s'authentifier avec l'un des services d'identité auxquels il s'est précédemment inscrit.

Cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur le bouton Paramètres pour configurer les paramètres.
Cliquez sur la section Vérification d'identité.
Cochez la case Imposer la vérification d'identité, et cliquez sur Enregistrer.

Remarque

Lorsque les utilisateurs ont des jetons matériels RSA avec PIN, RSA sera l'option de vérification avancée requise.

Configurer les méthodes de vérification activées

Par défaut, toutes les méthodes de vérification disponibles (et futures) sont activées dans le Service Desk. Si vous souhaitez contrôler quelles méthodes de vérification peuvent être utilisées dans le Service Desk, vous pouvez le faire ici.

Remarque

N'oubliez pas que lorsque ce paramètre est activé, les nouvelles méthodes de vérification introduites doivent être activées via ces paramètres avant de pouvoir être utilisées dans le Service Desk.

Cliquez sur Service Desk dans la navigation de gauche.
Cliquez sur le bouton Paramètres pour configurer les paramètres.
Cliquez sur la section Vérification d'identité.
Cliquez sur le bouton Configurer les méthodes de vérification activées.
Cochez la case Utiliser uniquement les méthodes de vérification explicitement activées.
Activez ou désactivez les méthodes de vérification de votre choix en cliquant sur leur bouton de statut.

URL de remplacement de vérification

Ici, vous pouvez entrer une URL de remplacement de vérification qui sera affichée à un agent du Service Desk lorsque l'URL de vérification ne peut pas être envoyée directement à l'utilisateur. L'agent du service desk peut alors lire l'URL à l'utilisateur. Pour plus d'informations sur cette fonctionnalité et sa configuration, consultez la page URL de remplacement.

Options de réinitialisation de mot de passe

Les options suivantes peuvent être activées dans les paramètres de réinitialisation de mot de passe:

Forcer les utilisateurs à changer de mot de passe après réinitialisation

Remarque

Si cette option est activée, les agents du Service Desk ne peuvent pas saisir manuellement les mots de passe pour les réinitialisations. Le nouveau mot de passe sera envoyé à l'utilisateur par email ou par message texte.
Autoriser le remplacement manuel du mot de passe (pour remplacer les mots de passe générés par le système si l'option Mots de passe générés par le système a été activée)
Autoriser uniquement les mots de passe générés par le système (pour activer la génération de mots de passe par le système ; l'agent du service desk Specops ne pourra pas lire le mot de passe généré)
Notifications (voir la section Activer des méthodes de notification supplémentaires ci-dessous)

Activer des méthodes de notification supplémentaires

Cette section permet de configurer les possibilités de notification pour l'agent du service desk Specops. En plus de l'email et du téléphone mobile de l'utilisateur, plusieurs méthodes de notification supplémentaires peuvent être activées. Cela est particulièrement utile si l'email et le numéro de mobile de l'utilisateur n'ont pas été configurés dans Active Directory. Les paramètres suivants peuvent être activés:

Activer l'envoi de nouveaux mots de passe par email ou message texte: lorsque cette option est cochée, les méthodes de notification par email et texte sont disponibles pour l'agent du service desk Specops (à condition que les attributs pour l'utilisateur soient configurés correctement dans Active Directory)
Vers un email personnalisé: permet d'envoyer des emails de notification à des adresses email autres que celles enregistrées dans Active Directory.
Vers le gestionnaire: permet d'envoyer des notifications au gestionnaire de l'utilisateur (email et message texte, si correctement configuré dans Active Directory)
Sélectionnez Service Desk dans la navigation de gauche.
Cliquez sur l'onglet Paramètres.
Développez Options de réinitialisation de mot de passe.
Cochez Activer l'envoi de nouveaux mots de passe aux gestionnaires pour activer l'envoi à un gestionnaire.
Cochez Activer l'envoi de nouveaux mots de passe à des adresses email personnalisées pour activer l'envoi à des emails personnalisés.

Remarque

Cette option n'est pas disponible si l'option Mots de passe générés par le système a été activée. Il s'agit d'une précaution de sécurité pour éviter que l'agent du service desk Specops puisse lire le mot de passe généré.
Cliquez sur Enregistrer

Options de confidentialité des utilisateurs

Ces options peuvent être utilisées pour restreindre l'accès des agents du service desk Specops à certaines informations utilisateur. Les options suivantes sont disponibles:

Partie du numéro: permet d'afficher, de masquer ou d'afficher uniquement une partie du numéro de téléphone de l'utilisateur pour l'agent du service desk Specops.
Afficher/Masquer (email): permet d'afficher ou de masquer l'adresse email de l'utilisateur pour l'agent du service desk.

Masquer le numéro de téléphone et/ou l'adresse email d'un utilisateur

Sélectionnez Service Desk dans la navigation de gauche.
Cliquez sur l'onglet Paramètres.
Développez les options Options de confidentialité des utilisateurs.
Réglez le premier menu déroulant sur Masquer pour masquer le numéro de téléphone de l'utilisateur de la vue de l'agent du service desk. Notez qu'il est également possible de montrer une partie du numéro de téléphone à l'agent du service desk.
Réglez le deuxième menu déroulant sur Masquer pour masquer l'email de l'utilisateur de la vue de l'agent du service desk.
Cliquez sur Enregistrer

Options de récupération de clé

Cette section vous permet de configurer des notifications supplémentaires pour les opérations de récupération de clé:

Activer l'envoi de la clé de récupération aux gestionnaires: permet d'envoyer la clé de récupération au gestionnaire de l'utilisateur si elle est configurée correctement dans Active Directory.
Activer l'envoi de la clé de récupération à des adresses email personnalisées: permet d'envoyer la clé de récupération à des emails autres que ceux associés à l'utilisateur dans Active Directory. Les emails personnalisés doivent être dans les domaines enregistrés.

Options d'inscription

Ici, vous pouvez configurer si les agents du service desk Specops peuvent inscrire des utilisateurs à certains services d'identité sans intervention de l'utilisateur. Cette fonctionnalité ne peut être utilisée que lorsque l'utilisateur a été vérifié. Pour plus d'informations sur cette fonctionnalité, veuillez consulter la section Inscription.

Configuration de l'ajout d'inscription

Allez dans Secure Service Desk > Paramètres
Ouvrez Options d'inscription
Cochez l'option Autoriser l'agent du service desk à inscrire des utilisateurs
Assurez-vous que les services d'identité sont configurés correctement pour permettre l'ajout d'inscriptions.
Remarque

Le paramètre Mettre à jour le numéro de mobile dans AD doit être défini sur l'une des options suivantes:
- Toujours
- Si le numéro est manquant dans Active Directory
- Stocker dans le sous-objet utilisateur (chiffré)
Notez également que si le paramètre est défini sur Si le numéro est manquant dans Active Directory et que le numéro est déjà présent dans Active Directory, la fonctionnalité d'ajout d'inscription ne fonctionnera pas.

Dépannage de l'ajout d'inscription

Si le bouton Ajouter une inscription est inaccessible, les administrateurs doivent vérifier les éléments suivants:

Vérifiez que Ajouter une inscription est activé dans les paramètres du Secure Service Desk (Options d'inscription).
Vérifiez que les services d'identité Code mobile (SMS) et/ou Email personnel sont activés.
Vérifiez que les paramètres pour le service d'identité Code mobile (SMS) permettent d'ajouter le numéro de mobile de l'utilisateur à AD.

Remarque

La fonctionnalité ne sera également pas disponible si le paramètre Mettre à jour le numéro de mobile dans AD est défini sur Si le numéro est manquant dans Active Directory et qu'il y a déjà un numéro présent dans AD.

Options de langue

Les options de langue vous permettent de définir la langue préférée pour les emails et les sms envoyés depuis le Secure Service Desk.

Allez dans Secure Service Desk > Paramètres.
Ouvrez Options de langue.
Cochez la case marquée Utiliser la langue préférée.
Dans le menu déroulant de langue, sélectionnez la langue que vous souhaitez utiliser comme langue préférée.
Cliquez sur Enregistrer

Personnalisation des emails et des textes pour l'identification du gestionnaire

L'une des options de vérification rapide est de faire identifier l'utilisateur par son gestionnaire. Cela se fait en envoyant un lien de vérification au gestionnaire de l'utilisateur par message texte ou par email. Ces messages peuvent être personnalisés dans le service d'identité d'identification du gestionnaire.

Cliquez sur Services d'identité dans la navigation de gauche
Cliquez sur Identification du gestionnaire
Sélectionnez l'onglet Configuration du service desk en haut
Entrez les textes de Sujet et de Corps du message
Remarque

Dans les champs Sujet ainsi que Corps, des textes de remplacement peuvent être utilisés. Les remplacements suivants sont disponibles:
- %UserDisplayName%: insère le nom d'affichage de l'utilisateur qui doit être identifié
- %UserUPN%: insère l'UPN de l'utilisateur depuis Active Directory
- %ManagerVerificationUrl%: insère l'URL de vérification que le gestionnaire peut cliquer pour vérifier l'utilisateur
- %ManagerDisplayName%: insère le nom d'affichage du gestionnaire
- %ServiceDeskUserDisplayName%: insère le nom d'affichage de l'agent du service desk envoyant le message
Cochez la case Activé pour activer le message

Remarque

Pour désactiver (temporairement) le message personnalisé, retirez la coche de cette case.
Cliquez sur Enregistrer

Specops Secure Access

Specops Secure Access apporte l'authentification à deux facteurs à l'écran de connexion Windows ; il exige que les utilisateurs s'authentifient avec un service d'identité supplémentaire en plus de leur mot de passe principal Windows lorsqu'ils se connectent à leur ordinateur. Cela fournit une couche de sécurité supplémentaire. Secure Access est conçu pour augmenter la sécurité avec un impact minimal sur les utilisateurs. Le processus d'authentification est flexible en ce sens que les utilisateurs peuvent choisir eux-mêmes quel service d'identité supplémentaire ils souhaitent utiliser comme second facteur.

Actuellement, les services d'identité suivants peuvent être configurés avec Secure Access:

Code mobile
Yubikey
Specops:ID
Duo

Configuration d'une politique de Secure Access

La configuration de Secure Access consiste à configurer une politique qui inclut les services d'identité auxquels vos utilisateurs ont accès.

Dans la navigation de gauche de Specops Authentication Web, allez à MFA pour Windows
Cliquez sur l'onglet MFA pour Windows, puis cliquez sur Configurer pour la politique.
Cliquez sur l'icône plus pour les services d'identité que vous souhaitez inclure dans la politique.
Cliquez sur Enregistrer

Configuration d'une politique NPS Companion

Le serveur de politique réseau Microsoft (NPS) est appelé via le NPS Companion en utilisant RADIUS pour activer l'authentification à deux facteurs pour l'accès à distance. Ici, vous pouvez configurer une politique pour ces utilisateurs.

Dans la navigation de gauche de Specops Authentication Web, allez à MFA pour Windows
Cliquez sur l'onglet NPS Companion, puis cliquez sur Configurer pour la politique.
Cliquez sur l'icône plus pour les services d'identité que vous souhaitez inclure dans la politique.
Cliquez sur Enregistrer

Utilisateur final

Afin de fournir une méthode d'authentification de secours (par exemple, dans les cas où l'accès en ligne n'est pas disponible), les utilisateurs doivent configurer une entrée d'enregistrement de compte dans leur application d'authentification.

Remarque

Si c'est la première fois que les utilisateurs accèdent à Secure Access et qu'ils ne se sont pas encore inscrits avec Specops Authentication, ils devront d'abord s'inscrire.

Cliquez sur le bouton S'inscrire.
Une fenêtre de navigateur sécurisée s'ouvrira. Suivez les instructions dans le navigateur pour vous inscrire avec Specops Authentication.

Configuration de l'enregistrement d'authentification hors ligne (Procédure de connexion initiale)

Remarque

Une application d'authentification telle que Microsoft Authenticator ou Google Authenticator est requise pour configurer l'authentification hors ligne.

Connectez-vous à votre ordinateur avec votre mot de passe principal Windows et un second facteur choisi dans la liste.
L'écran Secure Access affiche un code QR
Ouvrez votre application d'authentification et créez une nouvelle entrée.
Scannez le code QR depuis l'application d'authentification.
Entrez le code généré par l'application d'authentification.
Cliquez sur OK.

Les connexions suivantes nécessitent que l'utilisateur se connecte avec son mot de passe principal Windows et un second facteur de son choix.

Authentification hors ligne

Dans les situations où les utilisateurs ne peuvent pas se connecter à Internet, Secure Access peut toujours être utilisé en utilisant l'application d'authentification de l'utilisateur comme second facteur (voir ci-dessus, section précédente sur la connexion initiale).

Dans les cas où l'ordinateur de l'utilisateur est hors ligne, il sera présenté avec ce qui suit:

Connectez-vous à votre ordinateur avec votre mot de passe principal Windows.
L'écran Secure Access indiquera une Erreur de connexion au serveur.
Cliquez sur le bouton Code hors ligne.
Ouvrez votre application d'authentification et trouvez l'entrée d'enregistrement de compte MFA.
Entrez le code de votre application d'authentification.
Cliquez sur OK.