Agents du service desk

Cette page explique comment les agents du service desk peuvent utiliser Secure Service Desk.

Le menu supérieur pour le Secure Service Desk se compose des éléments suivants:

Admin: fournit des informations sur le compte avec lequel vous êtes connecté, et quels privilèges ce compte détient.
Service Desk: l'interface pour effectuer des actions de service desk (pour l'agent ; voir la section ci-dessous pour plus d'informations).
Nouveau mot de passe: pour changer le mot de passe de l'utilisateur actuel.
Inscription: voir et modifier les inscriptions pour l'utilisateur actuel.

Recherche d'un utilisateur

Avant que toute action au nom des utilisateurs appelant le service desk puisse être effectuée, l'utilisateur en question doit être trouvé dans Active Directory.

Cliquez sur Service Desk dans le menu supérieur.
Remplissez le nom ou le nom d'utilisateur de l'utilisateur dans le champ de recherche en haut à droite et cliquez sur l'icône de recherche.
S'il n'y a qu'une seule correspondance, les informations de l'utilisateur seront affichées. En cas de correspondances partielles, une liste des noms possibles dans Active Directory sera affichée.
Choisissez l'utilisateur correct dans la liste.

Vérification de l'identité d'un utilisateur

Jusqu'à ce que l'identité d'un utilisateur ait été vérifiée, une icône d'utilisateur rouge avec une barre oblique apparaîtra dans le coin supérieur droit de l'interface du service desk. Les agents du service desk peuvent vérifier l'identité de l'utilisateur appelant le Secure Service Desk en demandant à l'utilisateur de s'authentifier avec l'un des services d'identité avec lesquels l'utilisateur s'est déjà inscrit. Notez que si le paramètre Enforce identity verification a été activé, l'identité de l'utilisateur doit être vérifiée avant que d'autres actions (réinitialisation du mot de passe et déverrouillage de l'ordinateur) puissent être effectuées.

Une fois que l'utilisateur a été trouvé dans Active Directory (voir Recherche d'un utilisateur), cliquez sur l'onglet Vérifier l'identité.
Cliquez sur le service d'identité avec lequel vous souhaitez que l'utilisateur s'authentifie. L'utilisateur sera invité sur son ordinateur à s'authentifier. Notez que jusqu'à ce que l'utilisateur se soit authentifié, l'agent du service desk doit laisser l'onglet Vérifier l'identité ouvert.
Une fois authentifié, l'agent du service desk recevra une page de succès, et toutes les autres actions du service desk pourront être effectuées.

Alternativement, si les services d'identité inscrits ne sont pas utilisés, l'agent du service desk peut envoyer un message texte, un email ou une notification push PingID (Vérification Rapide) contenant un code. Ce message sera envoyé au numéro de mobile associé à l'utilisateur dans Active Directory ou apparaîtra dans l'application PingID si cette option a été choisie. Une fois reçu, l'utilisateur doit soit lire le code à l'agent du service desk pour confirmer son identité, soit reconnaître le message push de l'application PingID. Notez que l'option d'envoyer un code par message texte n'apparaîtra pas à l'écran si le numéro de téléphone mobile de l'utilisateur n'a pas été enregistré dans Active Directory ; l'option d'envoyer une Vérification Rapide n'apparaîtra pas si l'email de l'utilisateur n'a pas été enregistré dans Active Directory.

Vérification Rapide avec Symantec VIP et Okta

La vérification rapide avec Symantec VIP/Okta fonctionne de la même manière que PingID.

Remarque

Assurez-vous que l'utilisateur est inscrit avec Symantec VIP/Okta pour pouvoir utiliser ce service d'identité.

Vérification par notification push

(disponible si l'utilisateur a un appareil compatible push inscrit et actif avec Symantec VIP/Okta, ou si les messages texte ont été activés pour Okta)

Cliquez sur l'onglet Symantec VIP/Okta dans Vérification Rapide.
Cliquez sur Démarrer ; une notification push sera envoyée à l'utilisateur en cours de vérification.

Remarque

Pour Okta, si l'utilisateur a accès à plusieurs méthodes de notification, un écran supplémentaire sera affiché à l'agent du Service Desk où il pourra choisir quel type de message envoyer: Message Texte, Demande Push, Entrer Code. Si une seule méthode est disponible, elle sera sélectionnée automatiquement. Voir la section Vérifier par code pour plus d'informations.
L'utilisateur peut reconnaître la notification push qui vérifiera son identité.

Vérification par code

Cliquez sur l'onglet Symantec VIP/Okta dans Vérification Rapide.
Cliquez sur Démarrer.
Cliquez sur le lien Entrer Code.

Remarque

Pour Okta, si l'utilisateur a accès à plusieurs méthodes de notification, un écran supplémentaire sera affiché à l'agent du Service Desk où il pourra choisir quel type de message envoyer: Message Texte, Demande Push, Entrer Code. Si une seule méthode est disponible, elle sera sélectionnée automatiquement.
Dans le cas de Symantec VIP, si l'utilisateur a installé l'application de bureau Symantec, il peut récupérer le code à partir de là. Alternativement, l'agent peut faire envoyer un code par SMS ou appel téléphonique en cliquant sur le bouton approprié. Notez que cette option sera affichée automatiquement si l'utilisateur n'a activé que la notification par SMS.
Demandez à l'utilisateur de lire le code, et entrez-le dans le champ, puis cliquez sur Vérifier.

Identification du Manager

Il peut y avoir des situations dans lesquelles les utilisateurs ne peuvent pas vérifier leur identité eux-mêmes en raison de restrictions de communication/données. Dans ces cas, il peut être bénéfique que le manager de l'utilisateur identifie leur identité pour eux.

Activation de l'Identification du Manager

Dans Authentication Web, allez à Service Desk, et accédez à l'onglet Paramètres.
Cochez la case Identification du manager comme vérification rapide.
Cliquez sur Enregistrer.

Utilisation de l'Identification du Manager comme Vérification Rapide

Voici un exemple de la façon dont cette méthode de vérification rapide peut être utilisée.

Lorsque l'utilisateur appelle le Service Desk, cliquez sur Vérifier l'identité.
Sous Vérification Rapide, choisissez Identification du Manager. Vous verrez un message disant "Vous pouvez identifier l'identité de [user_name] en envoyant une demande de vérification au manager de [user_name]."
Cliquez sur Démarrer.
Le manager (s'il est enregistré comme tel dans Active Directory) recevra un email demandant de vérifier l'utilisateur. Il appartient au manager (et à l'utilisateur en question) de s'assurer que le bon utilisateur est vérifié (par exemple en appelant l'utilisateur).
Le manager clique sur Continuer dans l'email d'Identification du Manager. Le manager sera redirigé vers une fenêtre de navigateur avec la demande de vérification du Service Desk.
Le manager clique sur Vérifier pour vérifier l'utilisateur.

Avertissement

Il est essentiel dans ces types de scénarios que le manager soit conscient de l'appel du Service Desk, et qu'il s'assure qu'il s'agit bien de l'utilisateur en question qui essaie de se faire vérifier.

Vérification de l'identité et sécurité

Si Enforce identity verification est activé, l'agent du service desk est tenu de vérifier l'identité de l'utilisateur avant de pouvoir soit réinitialiser le mot de passe, soit déverrouiller l'ordinateur de l'utilisateur, augmentant ainsi la sécurité de l'interaction. Une fois l'identité vérifiée, l'interaction avec le Service Desk reposera sur la création de jetons de session sécurisés pour maintenir l'intégrité de la session.

Dans une session typique de service desk, l'agent du service desk émet une demande d'identification à l'utilisateur, en utilisant l'un des services d'identité de l'utilisateur. Une fois que l'utilisateur s'est authentifié avec le service d'identité, le jeton sécurisé est créé. Ce jeton est partagé entre l'agent du service desk spécifique et l'utilisateur pour la durée de la session. Chaque interaction (réinitialisation du mot de passe, déverrouillage de l'ordinateur) est validée contre ce jeton. Pour la durée de la session, le jeton ne fonctionnera que pour l'agent du service desk qui a initié la vérification de l'identité, pour effectuer des actions pour l'utilisateur qui a vérifié son identité.

Traçabilité

En plus de fournir un moyen sécurisé d'autoriser les actions du Service Desk, les jetons permettent également la création d'un journal d'événements continu associé à chaque session du Service Desk. Cela rend chaque session traçable et consultable. Toutes les informations concernant la session sont accessibles via le menu Reporting. Plus d'informations sur les fonctionnalités de journalisation et les rapports peuvent être trouvées dans la section Reporting ci-dessus.

Réinitialisation des mots de passe des utilisateurs

Une fois que l'utilisateur a été trouvé (voir Recherche d'un utilisateur) et son identité vérifiée (voir Vérification de l'identité d'un utilisateur), l'agent du service desk peut réinitialiser le mot de passe de l'utilisateur.

Cliquez sur l'onglet Réinitialiser le mot de passe.
Faites l'une des actions suivantes:
1. Entrez un nouveau mot de passe manuellement. Assurez-vous qu'il respecte les règles de mot de passe, qui sont listées sous le champ de texte.
  
  Remarque
  
  Cette option n'est pas disponible si l'option Mots de passe générés par le système est activée dans les paramètres. Voir la section Paramètres de réinitialisation du mot de passe ci-dessous pour plus d'informations.
2. Cliquez sur le bouton Générer. Cela générera un nouveau mot de passe, qui respectera les règles de mot de passe. L'agent du service desk ne pourra jamais voir ce mot de passe.
Sous Options, cochez l'option “[user] doit changer de mot de passe lors de la prochaine connexion.” pour s'assurer que l'utilisateur change son mot de passe la prochaine fois qu'il se connecte.
Dans la section de notification, cochez les cases pour chaque méthode de notification à utiliser. Les méthodes de notification suivantes sont disponibles (notez que plus d'une méthode de notification peut être choisie):
- À l'utilisateur par email (le mail sera envoyé à l'adresse email associée à l'utilisateur dans Active Directory)
- À l'utilisateur par message texte (le texte sera envoyé au numéro de mobile associé à l'utilisateur dans Active Directory)
- Au manager par email (le texte sera envoyé au manager associé à l'utilisateur dans Active Directory). Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- Au manager par texte (le texte sera envoyé au manager associé à l'utilisateur dans Active Directory). Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- À un email personnalisé. Utilisez le menu déroulant pour choisir entre différents domaines enregistrés. Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- En le lisant à l'utilisateur.
  
  Remarque
  
  Si l'option Mots de passe générés par le système a été activée dans les paramètres, l'agent du Service Desk ne pourra pas lire le nouveau mot de passe.
Remarque

L'email de l'utilisateur et le message texte ne sont visibles que si ceux-ci ont été configurés dans Active Directory. Envoyer au manager et à un email personnalisé n'est visible que si les options correctes ont été activées dans les paramètres, et si le manager de l'utilisateur a été configuré dans Active Directory. Voir la section Paramètres de réinitialisation du mot de passe ci-dessous pour plus d'informations.
Cliquez sur le bouton Réinitialiser le mot de passe.

Pour des informations sur les options de réinitialisation de mot de passe (paramètres), voir la section Configurer les paramètres pour Secure Service Desk.

Déverrouillage des ordinateurs des utilisateurs

Pour les utilisateurs dont les ordinateurs ont été chiffrés avec Bitlocker ou Symantec Endpoint Encryption, le service desk peut aider à déverrouiller un ordinateur verrouillé. L'agent du service desk sera présenté avec une série d'écrans qui guideront l'utilisateur à travers le processus de déverrouillage et fourniront la clé de réponse requise pour déverrouiller l'ordinateur.

Une fois que l'identité de l'utilisateur a été vérifiée (voir Vérification de l'identité d'un utilisateur), cliquez sur l'onglet Déverrouiller l'ordinateur.
Choisissez le bon logiciel de chiffrement (Bitlocker ou Symantec) en fonction de ce que l'utilisateur utilise. Pour les utilisateurs utilisant Symantec Endpoint Encryption, un choix supplémentaire devra être fait en fonction du type de Symantec:
1. Symantec Endpoint Encryption natif (reconnaissable par l'heure de la dernière connexion indiquée à l'écran)
2. Symantec Endpoint Encryption pour Bitlocker (l'écran de l'utilisateur indique Récupération Bitlocker)
3. Versions plus anciennes de Symantec Endpoint Encryption (l'écran de l'utilisateur indique jeton WDRT)
Selon le type de chiffrement, un numéro particulier doit être saisi par l'agent du service desk.
1. Symantec Endpoint Encryption natif: Numéro de séquence
2. Symantec Endpoint Encryption pour Bitlocker: ID de clé de récupération
3. Versions plus anciennes de Symantec Endpoint Encryption: ID de machine/disque (UUID ou DISKID)
4. Bitlocker natif: ID de clé de récupération
Choisissez comment transmettre la clé de récupération à l'utilisateur. Notez que plusieurs méthodes peuvent être choisies. Cochez la méthode souhaitée, ou ne cochez aucune si l'agent du service desk choisit de simplement lire le numéro à l'utilisateur.
- À l'utilisateur par email (le mail sera envoyé à l'adresse email associée à l'utilisateur dans Active Directory)
- À l'utilisateur par message texte (le texte sera envoyé au numéro de mobile associé à l'utilisateur dans Active Directory)
- Au manager par email (le texte sera envoyé au manager associé à l'utilisateur dans Active Directory). Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- Au manager par texte (le texte sera envoyé au manager associé à l'utilisateur dans Active Directory). Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- À un email personnalisé. Utilisez le menu déroulant pour choisir entre différents domaines enregistrés. Cette option n'est visible que si elle est activée dans les paramètres, voir la section Activation des méthodes de notification supplémentaires ci-dessous.
- En le lisant à l'utilisateur.
Cliquez sur Continuer ; l'agent du service desk se verra présenter une clé de récupération. Si aucune des méthodes ci-dessus (email ou message texte) n'a été choisie, le numéro doit être lu à l'utilisateur pour qu'il le saisisse sur son ordinateur.

Remarque

Pour les utilisateurs utilisant Symantec Endpoint Encryption natif, il y aura un code de somme de contrôle au-dessus du champ de clé de récupération qui peut être utilisé pour vérifier que l'utilisateur a entré la clé correcte dans son ordinateur (auquel cas les codes devraient correspondre).

Activation des méthodes de notification supplémentaires

En plus de l'email et du téléphone mobile de l'utilisateur, plusieurs méthodes de notification supplémentaires peuvent être activées. Cela est particulièrement utile si l'email et le numéro de mobile de l'utilisateur n'ont pas été configurés dans Active Directory. Les méthodes suivantes peuvent être activées:

Envoyer au manager (email et message texte, si correctement configuré dans Active Directory)
Envoyer à un email personnalisé

Sélectionnez Service Desk dans la navigation de gauche.
Cliquez sur l'onglet Paramètres.
Développez Options de récupération de clé.
Cochez Activer l'envoi de la clé de récupération aux managers pour activer l'envoi à un manager.
Cochez Activer l'envoi de la clé de récupération à des adresses email personnalisées pour activer l'envoi à des emails personnalisés.
Cliquez sur Enregistrer.

Vérification et ajout d'inscriptions

Dans le menu supérieur Inscription, vous pouvez voir avec quels services d'identité l'utilisateur s'est inscrit. Ici, vous pouvez également ajouter des inscriptions pour les services d'identité (Email Personnel et Code Mobile (SMS)) sans intervention de l'utilisateur si votre administrateur l'a configuré. Certains services d'identité peuvent également être supprimés afin que l'utilisateur puisse se réinscrire avec eux.

Ajouter une Inscription

Si configuré, les agents du Service Desk peuvent inscrire les utilisateurs avec Email Personnel et/ou Code Mobile (SMS) sans aucune intervention de l'utilisateur.

Remarque

Les inscriptions ne peuvent être ajoutées qu'après que l'identité de l'utilisateur a été vérifiée. Voir Vérification de l'identité d'un utilisateur pour plus d'informations sur la vérification de l'identité.

Remarque

Seuls les services d'identité correctement configurés seront affichés sur la page d'ajout d'inscription.

Ajout d'une inscription pour un utilisateur

Vérifiez l'utilisateur (voir Vérification de l'identité d'un utilisateur pour plus d'informations)
Cliquez sur Inscription
Dans la section Infos d'inscription utilisateur, cliquez sur le bouton Ajouter une inscription
Entrez le numéro de téléphone ou l'email personnel de l'utilisateur et cliquez sur Envoyer le Code
Demandez à l'utilisateur de lire le code de vérification qu'il a reçu à l'agent du Service Desk
Entrez le code de vérification dans le champ Vérifier le Code, puis cliquez sur Ajouter une Inscription

Remarque

Une fois que l'utilisateur a été inscrit avec le service d'identité, il apparaîtra dans la liste Service d'identité inscrit.

Vérification des détails de l'utilisateur

Cette section montre les détails de l'utilisateur actuellement accédé par l'agent du service desk. Elle contient des informations sur Infos utilisateur (informations enregistrées dans Active Directory), Infos mot de passe (informations sur l'expiration du mot de passe et l'inscription à Specops Authentication), et Historique (événements enregistrés pour cet utilisateur dans le Service Desk).

Pour vérifier les détails de l'utilisateur:

Trouvez l'utilisateur (voir Recherche d'un utilisateur).
Cliquez sur Détails de l'utilisateur.
Utilisez les onglets pour voir Infos utilisateur, Infos mot de passe, et Historique.