Authentication Client- Specops uReset 8

REMARQUE
Authentication Client nécessite une installation/un déploiement sans assistance. Vous pouvez télécharger les fichiers d’installation ici. Aucune configuration ou paramètre msi n’est requis pour le déploiement.

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe.

Specops Authentication Client utilise des fichiers ADMX pour modifier les paramètres du registre Windows afin de modifier la façon dont le logiciel interagit avec le logiciel système. Les modèles ADMX sont des fichiers XML de paramètres de stratégie de groupe Windows qui spécifient quelles clés de registre dans le registre Windows sont modifiées lorsqu’un certain paramètre de stratégie de groupe est modifié (les fichiers ADML sont les fichiers XML localisés contenant les chaînes de texte associées aux fichiers ADMX).

Les modèles ADMX peuvent être utilisés pour modifier de nombreuses clés de registre, mais ce document se concentre sur deux paramètres en particulier liés à Specops Authentication Client : la création du raccourci du menu Démarrer, et afficher/masquer le lien de réinitialisation du mot de passe sur la page de connexion.

Accéder aux modèles ADMX Specops

Pour accéder aux modèles ADMX associés au Specops Authentication Client :

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC).
  2. Effectuez un clic droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez modifier, puis sélectionnez Modifier.
  3. Dans l’arborescence, accédez à Configuration ordinateur > Stratégies > Modèles d’administration : Définitions de stratégie (fichiers ADMX) > Specops Authentication Client. Vous y trouverez tous les modèles ADMX associés à Specops Authentication Client.

Masquer le lien de réinitialisation du mot de passe sur la page d’ouverture de session

Création de raccourcis dans le menu Démarrer


Emplacement :Paramètres généraux du client > Créer des raccourcis dans le menu Démarrer pour l’inscription / le changement / la réinitialisation

Avec Specops Authentication Client installé, lorsqu’un utilisateur se connecte à Windows, des raccourcis pour s’inscrire, réinitialiser et changer le mot de passe, sont créés dans le menu Démarrer. Ce sont des raccourcis pratiques permettant aux utilisateurs d’utiliser facilement Specops uReset ou Specops Password Reset. Ce paramètre vous permet de masquer ces raccourcis, au cas où ils ne doivent pas être affichés. Si ces raccourcis ont déjà été créés sur un ordinateur, ils seront supprimés à la prochaine ouverture de session si ce paramètre a été défini sur désactivé.

L’inscription, la réinitialisation et le changement du mot de passe ont chacun leur propre fichier de modèle. La procédure ci-dessous est la même pour les trois. Les fichiers sont nommés comme suit :

  • Créer un raccourci dans le menu Démarrer pour l’inscription
  • Créer un raccourci dans le menu Démarrer pour la réinitialisation de mot de passe
  • Créer un raccourci dans le menu Démarrer pour le changement de mot de passe
  1. Ouvrez le fichier dont vous souhaitez changer le comportement (voir la liste des fichiers ci-dessus).
  2. Sélectionnez la case d’option Désactivé.
  3. Cliquez sur OK.
    REMARQUE
    pour activer à nouveau le paramètre, vous pouvez définir la case d’option sur Non configuré ou Activé.
    Alt text for this image

Création d’un magasin central pour les modèles d’administration de stratégie de groupe


Le magasin central pour les modèles d’administration vous permet de stocker tous les fichiers de modèles dans un seul emplacement sur SYSVOL où ils peuvent être consultés et présentés sur n’importe quel serveur de votre domaine. Pour créer un magasin central pour les modèles d’administration de stratégie de groupe, copiez les fichiers ADMX/ADML du client Specops uReset depuis%windir%\PolicyDefinitions.

Le fichier ADMX doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions

Le fichier ADML doit être copié vers :

[votre domaine]\sysvol\[votre domaine]\Policies\PolicyDefinitions\en-us

Pour plus d’informations concernant le magasin central et les bonnes pratiques, veuillez consulter : www.support.microsoft.com/kb/929841

Pour obtenir de l’aide sur l’installation du produit et du client, veuillez consulter la section Installation.

Pour les téléchargements, veuillez consulter la section Téléchargement.

Interface utilisateur de retour dynamique


REMARQUE
L’interface utilisateur de retour dynamique nécessite Windows 10 ou version ultérieure, ou Windows Server 2016 ne pas afficher le dernier nom d’utilisateur" est défini sur Activé.

Specops Secured Browser (Cefsharp)


The Specops Secured Browser is used to reset passwords for a user from the Windows logon screen. It comes in two flavors, based on CefSharp and Internet Explorer browser engines, respectively. It is recommended to use the CefSharp-based Secured Browser for better security and user experience.

To use the CefSharp-based Secured Browser, the Specops Authentication Client CefSharp runtime must be deployed. The runtime has been tested by Specops to be compatible with the Secured Browser, and is a separate MSI from the Specops Authentication Client.

NOTE
If the CefSharp runtime isn't installed, an error message will be displayed if attempting to reset a password from the Windows logon screen by pressing the 'Reset Password...' link. It is possible to enforce using the Internet Explorer based browser, but strongly not recommended.

Usage

The CefSharp-based browser supports Specops uReset 8 and Specops Password Reset. Organizations that have not yet migrated to Specops uReset 8 must use the Internet Explorer-based Secured Browser, and should therefore not deploy the MSI for Specops the CefSharp runtime.

Organizations using Specops uReset 8 or Specops Password Reset

It is recommended to deploy the Specops Authentication Client CefSharp runtime on x64 Windows 10 or newer client computers.

Organizations using Specops Password Policy only

If no reset solution is used, there is no need deploy the Specops Authentication Client CefSharp runtime (not applicable).

Using the Specops Authentication Client for uReset on Microsoft Entra ID-joined computers


The guide below describes how to configure the Specops Authentication Client for uReset on Microsoft Entra ID-joined computers.

Installing the Client

Download the Specops Authentication Client MSI and deploy to client computers (for more information on installing the Client, please see the installation guide). For instance, Microsoft Intune can be used for deployment.

Configuring the Client

To use Specops uReset, a few registry settings are required on client computers. While these can be applied manually, it is recommended to use Intune to deploy them.

Downloading/Importing Administrative Templates (ADMX)

Download ADMX templates for Specops Authentication Client. Note that there are two flavors of the ADMX templates. For Microsoft Entra ID-joined computers, use Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.

Import the admx/adml files into Intune, see Import custom ADMX and ADML administrative templates into Microsoft Intune (https://learn.microsoft.com/en-us/mem/intune/configuration/administrative-templates-import-custom).

NOTE

The Specops ADMX has a dependency on Microsoft's ADMX templates. Import windows.admx/windows.adml from Microsoft's latest ADMX templates before importing the Specops ADMX templates.

Disabling "Change Password" in Windows

To provide a better user experience for users changing passwords with feedback on password policy rules fulfilled while typing the new password, it is recommended to disable Windows' built-in change password interface, and advise users to use Specops uReset instead.

To disable Windows' built-in change password interface with Microsoft's Administrative templates, do the following:

  1. Go to User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options
  2. Set Remove Change Password to Enabled
NOTE
Note that the above is a per-user setting.

Configuring URLs to uReset

In the Specops Gatekeeper Admin Tool, URLs for enrollment, password reset and password change can be found. These should be copied from Gatekeeper Admin Tool and entered under:

Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > URLs to Specops Authentication

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in registry:

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org
"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org
"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org

Configuring start menu shortcuts

As a logged in user, there are three start menu shortcuts available (Enroll, Password Reset and Password Change). These are created when the user logs in.

By default, the user gets all three shortcuts. To show only a subset of the shortcuts, enable or disable the settings below as needed. For instance, a typical configuration could be to hide the password reset shortcut, but make the password change and the enrollment shortcuts available.

Which shortcuts are created when the user logs in can be customized under:

Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > General settings for Specops Authentication Client general settings

  • Create start menu shortcut to enroll
  • Create start menu shortcut to password reset
  • Create start menu shortcut to password change

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in registry (1 to create the shortcut, 0 to not create it):

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "CreateStartMenuShortcutEnroll"=dword:00000001
"CreateStartMenuShortcutReset"=dword:00000001
"CreateStartMenuShortcutChange"=dword:00000001

Configuring for Microsoft Entra ID-joined computers

The Specops Authentication Client by default operates on on-prem Active Directory-joined computers and assumes a domain controller to be reachable for the start menu shortcuts (Enroll, Password Reset and Password Change) to work. To use the start menu shortcuts on Microsoft Entra ID computers, do the following:

  1. Go to Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > General settings for Specops Authentication Client general settings
  2. Set Enable shortcuts for cloud joined computer to Enabled

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in the registry:

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "AllowShortcutsWithoutOnpremDomain"=dword:00000001