Client Specops
Remarque
Le client Specops nécessite une installation/déploiement silencieux. Vous pouvez télécharger les fichiers d'installation ici: Télécharger. Aucun paramètre de configuration ou msi n'est requis pour le déploiement.
Le client Specops peut être configuré à l'aide du modèle administratif dans la console de gestion des stratégies de groupe.
Le client Specops utilise des fichiers ADMX pour modifier les paramètres du registre Windows afin de changer la façon dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML de paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le registre Windows sont modifiées lorsqu'un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).
Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés au client Specops: créer le raccourci du menu Démarrer ; et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.
Accéder aux modèles ADMX de Specops
Pour accéder aux modèles ADMX associés au client Specops:
- Ouvrez l'outil de gestion des stratégies de groupe (GPMC).
- Faites un clic droit sur l'objet de stratégie de groupe (GPO) que vous souhaitez modifier, et sélectionnez Modifier.
- Dans la navigation par arborescence, accédez à Configuration de l'ordinateur > Stratégies > Modèles administratifs: Définitions de stratégie (fichiers ADMX) > Client Specops. Vous y trouverez tous les modèles ADMX associés au client Specops.
Masquer le lien de réinitialisation du mot de passe sur la page de connexion
Emplacement: Améliorer la connexion Windows et le changement de mot de passe > Afficher le lien de réinitialisation du mot de passe
Lors de la connexion à Windows, sous les champs nom d'utilisateur/mot de passe, un lien « Réinitialiser le mot de passe… » permet aux utilisateurs des organisations utilisant Specops uReset ou Specops Password Reset de réinitialiser leurs mots de passe. Ce paramètre vous permet d'afficher ou de masquer le lien de réinitialisation du mot de passe affiché sur la page de connexion Windows.
- Ouvrez le fichier Afficher le lien de réinitialisation du mot de passe.
- Sélectionnez le bouton radio Désactivé.
-
Cliquez sur OK.
Remarque
pour activer à nouveau le paramètre, vous pouvez régler le bouton radio sur Non configuré ou Activé.
Création de raccourcis dans le menu Démarrer
Emplacement: Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour s'inscrire/changer/réinitialiser
Avec le client Specops installé, lorsqu'un utilisateur se connecte à Windows, des raccourcis dans le menu Démarrer pour s'inscrire, réinitialiser et changer le mot de passe sont créés. Ce sont des raccourcis pratiques pour que les utilisateurs puissent facilement utiliser Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne devraient pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés à la prochaine connexion si ce paramètre a été défini sur désactivé.
S'inscrire, réinitialiser et changer le mot de passe ont chacun leur propre fichier modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit:
- Créer un raccourci dans le menu Démarrer pour s'inscrire
- Créer un raccourci dans le menu Démarrer pour réinitialiser le mot de passe
- Créer un raccourci dans le menu Démarrer pour changer le mot de passe
- Ouvrez le fichier pour lequel vous souhaitez modifier le comportement (voir la liste des fichiers ci-dessus).
- Sélectionnez le bouton radio Désactivé.
-
Cliquez sur OK.
Remarque
pour activer à nouveau le paramètre, vous pouvez régler le bouton radio sur Non configuré ou Activé.
Création d'un magasin central pour les modèles administratifs de stratégie de groupe
Le magasin central pour les modèles administratifs vous permet de stocker tous les fichiers modèles dans un seul emplacement sur SYSVOL où ils peuvent être accessibles et présentés sur n'importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles administratifs de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis %windir%\PolicyDefinitions.
Les fichiers ADMX doivent être copiés vers:
[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions
Les fichiers ADML doivent être copiés vers:
[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us
Pour plus d'informations sur le magasin central et les meilleures pratiques, visitez: www.support.microsoft.com/kb/929841
Pour obtenir de l'aide sur l'installation du produit et du client, veuillez vous référer à la section Installation.
Pour les téléchargements, veuillez vous référer à la section Téléchargements.
Interface utilisateur de retour dynamique
Remarque
Le retour dynamique lors du changement de mot de passe n'est pas pris en charge si le paramètre de stratégie de groupe "Connexion interactive: Ne pas afficher le dernier nom d'utilisateur" est défini sur Activé.
Remarque
Le retour dynamique lors du changement de mot de passe n'est pas pris en charge lors de l'authentification avec RSA SecurID.
Navigateur sécurisé Specops (Cefsharp)
Le navigateur sécurisé Specops est utilisé pour réinitialiser les mots de passe d'un utilisateur depuis l'écran de connexion Windows. Il est disponible en deux versions, basées respectivement sur les moteurs de navigateur CefSharp et Internet Explorer. Il est recommandé d'utiliser le navigateur sécurisé basé sur CefSharp pour une meilleure sécurité et expérience utilisateur.
Pour utiliser le navigateur sécurisé basé sur CefSharp, le runtime CefSharp du client Specops doit être déployé. Le runtime a été testé par Specops pour être compatible avec le navigateur sécurisé, et est un MSI distinct du client Specops.
Remarque
Si le runtime CefSharp n'est pas installé, un message d'erreur s'affichera si vous tentez de réinitialiser un mot de passe depuis l'écran de connexion Windows en appuyant sur le lien 'Réinitialiser le mot de passe...'. Il est possible d'imposer l'utilisation du navigateur basé sur Internet Explorer, mais fortement déconseillé.
Utilisation
Le navigateur basé sur CefSharp prend en charge Specops uReset 8 et Specops Password Reset. Les organisations qui n'ont pas encore migré vers Specops uReset 8 doivent utiliser le navigateur sécurisé basé sur Internet Explorer, et ne devraient donc pas déployer le MSI pour le runtime CefSharp de Specops.
Organisations utilisant Specops uReset 8 ou Specops Password Reset
Il est recommandé de déployer le runtime CefSharp du client Specops sur des ordinateurs clients Windows 10 x64 ou plus récents.
Organisations utilisant uniquement Specops Password Policy
Si aucune solution de réinitialisation n'est utilisée, il n'est pas nécessaire de déployer le runtime CefSharp du client Specops (non applicable).
Utilisation du client Specops pour uReset sur les ordinateurs joints à Microsoft Entra ID
Le guide ci-dessous décrit comment configurer le client Specops pour uReset sur les ordinateurs joints à Microsoft Entra ID.
Installation du client
Téléchargez le MSI du client Specops et déployez-le sur les ordinateurs clients (pour plus d'informations sur l'installation du client, veuillez consulter le guide d'installation. Par exemple, Microsoft Intune peut être utilisé pour le déploiement.
Configuration du client
Pour utiliser Specops uReset, quelques paramètres de registre sont nécessaires sur les ordinateurs clients. Bien qu'ils puissent être appliqués manuellement, il est recommandé d'utiliser Intune pour les déployer.
Téléchargement/Importation des modèles administratifs (ADMX)
Téléchargez les modèles ADMX pour le client Specops. Notez qu'il existe deux versions des modèles ADMX. Pour les ordinateurs joints à Microsoft Entra ID, utilisez Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.
Importez les fichiers admx/adml dans Intune, voir Importer des modèles administratifs ADMX et ADML personnalisés dans Microsoft Intune.
Remarque
Le fichier ADMX de Specops dépend des modèles ADMX de Microsoft. Importez windows.admx/windows.adml à partir des derniers modèles ADMX de Microsoft avant d'importer les modèles ADMX de Specops.
Désactivation de "Changer le mot de passe" dans Windows
Pour offrir une meilleure expérience utilisateur aux utilisateurs changeant de mot de passe avec un retour sur les règles de politique de mot de passe remplies lors de la saisie du nouveau mot de passe, il est recommandé de désactiver l'interface intégrée de changement de mot de passe de Windows, et de conseiller aux utilisateurs d'utiliser Specops uReset à la place.
Pour désactiver l'interface intégrée de changement de mot de passe de Windows avec les modèles administratifs de Microsoft, procédez comme suit:
- Allez dans Configuration utilisateur > Modèles administratifs > Système > Options Ctrl+Alt+Suppr
- Réglez Supprimer Changer le mot de passe sur Activé
Remarque
Notez que ce qui précède est un paramètre par utilisateur.
Configuration des URL vers uReset
Dans l'outil d'administration Specops Gatekeeper, les URL pour l'inscription, la réinitialisation du mot de passe et le changement de mot de passe peuvent être trouvées. Celles-ci doivent être copiées depuis l'outil d'administration Gatekeeper et saisies sous:
Configuration de l'ordinateur > Modèles administratifs > Client Specops (Ordinateurs Microsoft Entra ID) > URL vers Specops Authentication
Bien qu'il soit recommandé de configurer les URL à l'aide des modèles ADMX, elles peuvent éventuellement être configurées dans le registre:
| Clé de registre | Paramètres |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] | "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org |
Configuration des raccourcis dans le menu Démarrer
En tant qu'utilisateur connecté, il y a trois raccourcis disponibles dans le menu Démarrer (Inscription, Réinitialisation du mot de passe et Changement de mot de passe). Ceux-ci sont créés lorsque l'utilisateur se connecte.
Par défaut, l'utilisateur obtient les trois raccourcis. Pour n'afficher qu'un sous-ensemble des raccourcis, activez ou désactivez les paramètres ci-dessous selon les besoins. Par exemple, une configuration typique pourrait être de masquer le raccourci de réinitialisation du mot de passe, mais de rendre disponibles les raccourcis de changement de mot de passe et d'inscription.
Les raccourcis créés lorsque l'utilisateur se connecte peuvent être personnalisés sous:
Configuration de l'ordinateur > Modèles administratifs > Client Specops (Ordinateurs Microsoft Entra ID) > Paramètres généraux pour les paramètres généraux du client Specops
- Créer un raccourci dans le menu Démarrer pour s'inscrire
- Créer un raccourci dans le menu Démarrer pour réinitialiser le mot de passe
- Créer un raccourci dans le menu Démarrer pour changer le mot de passe
Bien qu'il soit recommandé de configurer les URL à l'aide des modèles ADMX, elles peuvent éventuellement être configurées dans le registre (1 pour créer le raccourci, 0 pour ne pas le créer):
| Clé de registre | Paramètres |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "CreateStartMenuShortcutEnroll"=dword:00000001 "CreateStartMenuShortcutReset"=dword:00000001 "CreateStartMenuShortcutChange"=dword:00000001 |
Configuration pour les ordinateurs joints à Microsoft Entra ID
Le client Specops fonctionne par défaut sur les ordinateurs joints à Active Directory sur site et suppose qu'un contrôleur de domaine est accessible pour que les raccourcis du menu Démarrer (Inscription, Réinitialisation du mot de passe et Changement de mot de passe) fonctionnent. Pour utiliser les raccourcis du menu Démarrer sur les ordinateurs Microsoft Entra ID, procédez comme suit:
- Allez dans Configuration de l'ordinateur > Modèles administratifs > Client Specops (Ordinateurs Microsoft Entra ID) > Paramètres généraux pour les paramètres généraux du client Specops
- Réglez Activer les raccourcis pour les ordinateurs joints au cloud sur Activé
Bien qu'il soit recommandé de configurer les URL à l'aide des modèles ADMX, elles peuvent éventuellement être configurées dans le registre:
| Clé de registre | Paramètres |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "AllowShortcutsWithoutOnpremDomain"=dword:00000001 |
Configuration du client pour Secure Access
Le client Specops doit être installé sur tous les ordinateurs utilisant Secure Access pour se connecter. Étant donné qu'il est important que le client Specops ne soit pas désinstallé sur ces ordinateurs, les utilisateurs individuels ne doivent pas être autorisés à désinstaller le client Specops (par exemple en ne leur permettant pas d'avoir des privilèges d'administrateur local). Nous recommandons fortement de surveiller les désinstallations du client Specops. Pour déployer le client Specops, il est recommandé d'utiliser un système de déploiement tel que GPSI ou Specops Deploy.
Les ordinateurs doivent être joints à Active Directory. Les utilisateurs dans Active Directory peuvent être protégés avec MFA. Les utilisateurs locaux ne sont pas pris en charge.
Chaque ordinateur client doit être provisionné avec des paramètres obligatoires, qui résident dans le registre. Il est recommandé d'utiliser des modèles ADMX.
Paramètres ADMX
Paramètres obligatoires
- URL de l'API Specops Authentication
- Clé API Specops Authentication
Paramètres optionnels
- Temps avant de nécessiter une MFA après une authentification en ligne réussie
- Autoriser l'authentification hors ligne
- Activer la MFA pour les connexions locales
- Activer la MFA pour les connexions à distance
Pour plus d'informations sur les modèles ADMX, consultez la section en haut de cette page.