Politiques

Les politiques Specops sont des collections de règles d'authentification multi-facteurs utilisées par Specops Authentication. Cette page décrit comment configurer les politiques pour l'authentification lors de la connexion aux pages d'administration de Specops Authentication, voir Configuration d'une politique. Elle explique également comment configurer le mode de sécurité d'inscription pour les administrateurs, voir Modes de sécurité d'inscription.

Des politiques distinctes peuvent également être configurées pour des produits Specops Authentication individuels.

Configuration d'une politique

Pour configurer une politique et inclure les services d'identité :

Connectez-vous au Web Specops Authentication et cliquez sur Politiques dans la navigation de gauche.
Cliquez sur Configurer à côté de chaque politique pour définir ses exigences d'authentification.
Cliquez sur l'icône plus pour les services d'identité que vous souhaitez inclure dans la politique.
Vous devrez attribuer un poids (valeur étoile) pour chaque service d'identité sélectionné. Cela vous permettra d'attribuer une valeur plus élevée aux services d'identité que vous estimez offrir un niveau de sécurité supérieur. Par exemple, attribuer 2 étoiles à Specops Authenticator équivaudrait à deux services d'identité valant 1 étoile. Veuillez vous référer à la Attribution de poids aux services d'identité pour des conseils supplémentaires.
Pour exiger que l'utilisateur utilise un service d'identité spécifique, cochez la case Obligatoire.
Configurez le poids requis (étoiles) pour l'inscription.
Configurez le poids requis (étoiles) pour l'authentification.

Remarque

Le nombre d'étoiles requis pour l'authentification doit être égal ou inférieur au nombre d'étoiles requis pour l'inscription.
Pour compléter le processus d'inscription ou d'authentification, l'utilisateur devra remplir la barre d'étoiles avec le nombre d'étoiles défini par la politique.
Cliquez sur Enregistrer lorsque vous avez terminé.

Remarque

Les politiques peuvent également être affectées par les paramètres de Géoblocage, et Emplacement réseau de confiance.

Suppression d'un service d'identité d'une politique

Pour supprimer un service d'identité :

Cliquez sur Configurer.
Supprimez l'un des services d'identité de votre politique en cliquant sur l'icône moins à côté du service d'identité. Le service d'identité sera déplacé vers la boîte "Services d'identité non sélectionnés" à droite.

Meilleures pratiques de configuration des politiques

Lors de la configuration des politiques pour plusieurs applications Specops (uReset, Authentication for O365, et Key Recovery), il est important de garder à l'esprit que certaines configurations peuvent affecter négativement le processus d'inscription pour les utilisateurs.

Lorsque des politiques pour différentes applications sont configurées nécessitant différents services d'identité, l'utilisateur devra s'identifier avec plus de services pour répondre aux exigences de toutes les applications. Configurer des politiques pour utiliser le même ensemble de services d'identité raccourcira le processus d'inscription pour les utilisateurs.

Pour plus d'informations sur l'inscription, veuillez vous référer au document de meilleures pratiques.

Services d'identité faibles

En raison de la nature de certains services d'identité (auto-inscrits), ils sont considérés comme plus faibles que d'autres. Les services d'identité listés ci-dessous sont considérés comme faibles :

Questions de sécurité
Code mobile (SMS)
Email personnel

Modes de sécurité d'inscription

Lorsque les utilisateurs s'inscrivent pour la première fois, ils devront s'identifier en fournissant leur mot de passe Windows. Les modifications ultérieures de l'inscription (réinscription) nécessiteront une identification avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows, si le mode de sécurité est défini sur Moyen ou Élevé.

Il existe trois modes de sécurité disponibles pour les administrateurs : Sécurité faible, Sécurité moyenne, et Sécurité élevée. Ces modes de sécurité reflètent la force relative des politiques configurées, et déterminent en partie avec quels services d'identité l'utilisateur doit se réinscrire (chaque fois que les utilisateurs doivent modifier leur inscription).

Sécurité faible : Les utilisateurs doivent uniquement fournir leur mot de passe Windows pour s'identifier.
Sécurité moyenne : Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows.
Sécurité élevée : Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité fort précédemment utilisé, ou deux services faibles (au cas où ils ne se seraient pas inscrits avec des services d'identité forts), en plus de leur mot de passe Windows. Les services d'identité faibles, tels que les questions de sécurité, ne seront pas présentés à l'utilisateur comme une option, à moins qu'ils ne se soient inscrits uniquement avec des services d'identité faibles.

Remarque

Les utilisateurs se verront présenter des services d'identité pour la (ré-)inscription si l'utilisateur a été précédemment inscrit avec ledit service, et qu'il fait partie d'une politique affectant l'utilisateur. L'identité Windows de l'utilisateur fait toujours partie de la procédure de (ré-)inscription.

Les modes faible ou moyen sont définis automatiquement, en fonction des configurations de politique. Le mode de sécurité élevé doit être activé par les administrateurs afin d'imposer la réinscription avec des services d'identité forts.

Services d'identité auto-inscrits et modes de sécurité

Pour les modes de sécurité moyenne et élevée, les utilisateurs affectés par des politiques incluant des services d'identité auto-inscrits, tels que Duo Security et Okta, devront s'authentifier avec le service d'identité auto-inscrit sur la page d'inscription. Cela signifie que les utilisateurs devront avoir leur inscription avec Duo Security ou Okta en place avant de pouvoir s'inscrire avec Specops Authentication.

Paramètres de verrouillage

Les services d'identité Code mobile (SMS), E-mail, et Adresse e-mail personnelle peuvent être configurés pour être verrouillés après des saisies incorrectes par l'utilisateur. Pour configurer ces paramètres de verrouillage, allez dans le menu Services d’identité dans Authentication Web, et cliquez sur l'icône des paramètres à côté du service d'identité en question. Les éléments suivants peuvent être configurés :

Seuil de verrouillage : détermine combien de fois une saisie incorrecte peut être fournie.
Durée de verrouillage en minutes : détermine combien de temps le service d'identité sera verrouillé.

Paramètre des emplacements de réseau de confiance

Lorsque le paramètre Uniquement provenant d'emplacements réseau approuvés est activé, les utilisateurs ne peuvent s'inscrire que lorsqu'ils s'authentifient à partir de l'un des emplacements de réseau de confiance spécifiés par les administrateurs. Pour plus d'informations, voir Emplacement réseau de confiance.