Authentication Client - Specops uReset 8

REMARQUE
Authentication Client nécessite une installation/un déploiement sans assistance. Vous pouvez télécharger les fichiers d’installation ici. Aucune configuration ou aucun paramètre msi n’est requis pour le déploiement.

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe.

Specops Authentication Client utilise des fichiers ADMX pour modifier les paramètres du registre Windows afin de modifier la façon dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML de paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le registre Windows sont modifiées lorsqu’un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).

Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés à Specops Authentication Client : la création du raccourci du menu Démarrer, et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.

Accéder aux modèles ADMX Specops

Pour accéder aux modèles ADMX associés au Specops Authentication Client :

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC).
  2. Effectuez un clic droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez modifier, puis sélectionnez Modifier.
  3. Dans l’arborescence, accédez à Configuration ordinateur > Stratégies > Modèles d’administration : Définitions de stratégie (fichiers ADMX) > Specops Authentication Client. Vous y trouverez tous les modèles ADMX associés à Specops Authentication Client.

Masquer le lien de réinitialisation du mot de passe sur la page d’ouverture de session

Emplacement : Améliorer la connexion Windows et le changement de mot de passe > Afficher le lien de réinitialisation de mot de passe

Lors de la connexion à Windows, sous les champs nom d’utilisateur/mot de passe, un lien "Réinitialiser le mot de passe…" permet aux utilisateurs des organisations exécutant Specops uReset ou Specops Password Reset de réinitialiser leurs mots de passe. Ce paramètre permet d’afficher ou de masquer le lien de réinitialisation du mot de passe affiché sur la page de connexion Windows.

  1. Ouvrez le fichier Afficher le lien de réinitialisation de mot de passe.
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création de raccourcis dans le menu Démarrer

Emplacement :Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour l’inscription / le changement / la réinitialisation

Avec Specops Authentication Client installé, lorsqu’un utilisateur se connecte à Windows, des raccourcis pour s’inscrire, réinitialiser et changer le mot de passe, sont créés dans le menu Démarrer. Ce sont des raccourcis pratiques permettant aux utilisateurs d’utiliser facilement Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne doivent pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés à la prochaine ouverture de session si ce paramètre a été défini sur désactivé.

L’inscription, la réinitialisation et le changement du mot de passe ont chacun leur propre fichier de modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit :

  • Créer un raccourci dans le menu Démarrer pour l’inscription
  • Créer un raccourci dans le menu Démarrer pour la réinitialisation de mot de passe
  • Créer un raccourci dans le menu Démarrer pour le changement de mot de passe
  1. Ouvrez le fichier dont vous souhaitez changer le comportement (voir la liste des fichiers ci-dessus).
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création d’un magasin central pour les modèles d’administration de stratégie de groupe

Le magasin central pour les modèles d’administration vous permet de stocker tous les fichiers de modèles dans un seul emplacement sur SYSVOL où ils peuvent être consultés et présentés sur n’importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles d’administration de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis%windir%\PolicyDefinitions.

Le fichier ADMX doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions

Le fichier ADML doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us

Pour plus d’informations concernant le magasin central et les bonnes pratiques, veuillez consulter : www.support.microsoft.com/kb/929841

Pour obtenir de l’aide sur l’installation du produit et du client, veuillez consulter la section Installation.

Pour les téléchargements, veuillez consulter la section Téléchargement.

Interface utilisateur de retour dynamique

REMARQUE
L’interface utilisateur de retour dynamique nécessite Windows 10 ou version ultérieure, ou Windows Server 2016 ne pas afficher le dernier nom d’utilisateur" est défini sur Activé.
REMARQUE
Le retour dynamique à la modification du mot de passe n’est pas pris en charge lors de l’authentification avec RSA SecurID.

Specops Secured Browser (Cefsharp)

Specops Secure Browser est utilisé pour réinitialiser le mot de passe d’un utilisateur à partir de l’écran de connexion de Windows. Il est disponible en deux versions, basées respectivement sur les moteurs de navigation CefSharp et Internet Explorer. Il est recommandé d’utiliser la version de Secured Browser basée sur CefSharp pour une meilleure sécurité et une meilleure expérience utilisateur.

Pour utiliser la version de Secured Browser basée sur CefSharp, l’environnement d’exécution CefSharp de Specops Authentication Client doit être déployé. L’environnement d’exécution a été testé par Specops pour être compatible avec le navigateur sécurisé et est un MSI distinct de Specops Authentication Client.

REMARQUE
Si l’environnement d’exécution CefSharp n’est pas installé, un message d’erreur s’affichera si vous tentez de réinitialiser un mot de passe à partir de l’écran de connexion Windows en appuyant sur le lien "Réinitialiser le mot de passe...". Il est possible de l’appliquer à l’aide du navigateur basé sur Internet Explorer, mais ceci est fortement déconseillé.

Utilisation

Le navigateur basé sur CefSharp prend en charge Specops uReset 8 et Specops Password Reset. Les organisations qui n’ont pas encore migré vers Specops uReset 8 doivent utiliser la version de Secured Browser basée sur Internet Explorer et ne doivent donc pas déployer le MSI de l’environnement d’exécution CefSharp pour Specops.

Organisations utilisant Specops uReset 8 ou Specops Password Reset

Il est recommandé de déployer l’environnement d’exécution CefSharp de Specops Authentication Client sur des ordinateurs clients x64 Windows 10 ou plus récents.

Organisations utilisant Specops Password Policy uniquement

Si aucune solution de réinitialisation n’est utilisée, il n’est pas nécessaire de déployer l’environnement d’exécution CefSharp de Specops Authentication Client (non applicable).

Utilisation de Specops Authentication Client pour uReset sur les machines jointes à Microsoft Entra ID

Le guide ci-dessous décrit comment configurer Specops Authentication Client pour uReset sur les machines jointes à Microsoft Entra ID.

Installation du client

Téléchargez le MSI de Specops Authentication Client et déployez-le sur les ordinateurs clients (pour plus d’informations sur l’installation du client, veuillez consulter le guide d’installation). Par exemple, Microsoft Intune peut être utilisé pour le déploiement.

Configuration du client

Pour utiliser Specops uReset, certains paramètres de registre sont nécessaires sur les ordinateurs clients. Bien que ceux-ci puissent être appliqués manuellement, il est recommandé d’utiliser Intune pour les déployer.

Téléchargement/importation de modèles d’administration (ADMX)

Téléchargez les modèles ADMX pour Specops Authentication Client. Veuillez noter qu’il existe deux versions de modèles ADMX. Pour les machines jointes à Microsoft Entra ID, utilisez Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.

Pour importer les fichiers admx/adml dans Intune, veuillez consulter Importer des modèles d’administration ADMX et ADML personnalisés dans Microsoft Intune (https://learn.microsoft.com/en-us/mem/intune/configuration/administrative-templates-import-custom).

REMARQUE

L’ADMX Specops dépend des modèles ADMX de Microsoft. Importez windows.admx/windows.adml depuis les derniers modèles ADMX de Microsoft avant d'importer les modèles ADMX de Specops.

Désactivation de Changement de mot de passe sous Windows

Afin d’offrir une meilleure expérience aux utilisateurs qui changent de mot de passe avec des retours concernant le respect des règles de stratégie de mot de passe lors de la saisie du nouveau mot de passe, il est recommandé de désactiver l’interface de changement de mot de passe intégrée de Windows et de conseiller aux utilisateurs d’utiliser Specops uReset à la place.

Pour désactiver l’interface de changement de mot de passe intégrée de Windows avec les modèles d’administration de Microsoft, procédez comme suit :

  1. Accédez à Configuration utilisateur > Modèles d’administration > Système > Options Ctrl + Alt + Suppr.
  2. Définissez Supprimer le changement de mot de passe sur Activé
REMARQUE
Veuillez noter que ce qui précède est un paramètre par utilisateur.

Configuration des URL vers uReset

Dans le Specops Gatekeeper Admin Tool, vous trouverez les URL pour l’inscription, la réinitialisation du mot de passe et le changement du mot de passe. Celles-ci doivent être copiées depuis l’outil d’administration de Gatekeeper et saisies sous :

Configuration ordinateur > Modèles d’administration > Specops Authentication Client (ordinateurs Microsoft Entra ID) > URL vers Specops Authentication

Bien qu’il soit recommandé de configurer les URL à l’aide de modèles ADMX, elles peuvent éventuellement être configurées dans le registre :

Clé de Registre Paramètres
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org
"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org
"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org

Configuration de raccourcis du menu Démarrer

En tant qu’utilisateur connecté, trois raccourcis du menu Démarrer sont disponibles (Inscription, Réinitialisation du mot de passe et Changement du mot de passe). Ceux-ci sont créés lorsque l’utilisateur se connecte.

Par défaut, l’utilisateur obtient les trois raccourcis. Pour afficher uniquement un sous-ensemble de raccourcis, activez ou désactivez les paramètres ci-dessous comme nécessaire. Par exemple, une configuration typique pourrait consister à masquer le raccourci de réinitialisation du mot de passe, mais à rendre disponibles les raccourcis de changement de mot de passe et d’inscription.

Les raccourcis créés lorsque l’utilisateur se connecte peuvent être personnalisés sous :

Configuration ordinateur > Modèles d’administration > Specops Authentication Client (Ordinateurs Microsoft Entra ID) > Paramètres généraux pour Specops Authentication Client

  • Créer un raccourci dans le menu Démarrer pour l’inscription
  • Créer un raccourci dans le menu Démarrer pour la réinitialisation de mot de passe
  • Créer un raccourci dans le menu Démarrer pour le changement de mot de passe

Bien qu’il soit recommandé de configurer les URL à l’aide de modèles ADMX, elles peuvent éventuellement être configurées dans le registre (1 pour créer le raccourci, 0 pour ne pas le créer) :

Clé de Registre Paramètres
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "CreateStartMenuShortcutEnroll"=dword:00000001
"CreateStartMenuShortcutReset"=dword:00000001
"CreateStartMenuShortcutChange"=dword:00000001

Configuration pour les machines jointes à Microsoft Entra ID

Specops Authentication Client fonctionne par défaut sur les machines sur site jointes à Active Directory et suppose qu’un contrôleur de domaine est accessible pour que les raccourcis du menu Démarrer (inscription, réinitialisation du mot de passe et changement de mot de passe) sont fonctionnels. Pour utiliser les raccourcis du menu Démarrer sur les ordinateurs Microsoft Entra ID, procédez comme suit :

  1. Rendez-vous sur Configuration ordinateur > Modèles d’administration > Specops Authentication Client (Ordinateurs Microsoft Entra ID) > Paramètres généraux pour Specops Authentication Client
  2. Définissez Activer les raccourcis pour les ordinateurs connectés au cloud sur Activé

Bien qu’il soit recommandé de configurer les URL à l’aide de modèles ADMX, elles peuvent éventuellement être configurées dans le registre :

Clé de Registre Paramètres
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "AllowShortcutsWithoutOnpremDomain"=dword:00000001