Gestion des utilisateurs - Provisionnement
Toute la gestion des utilisateurs s’effectue dans la section Users (Utilisateurs) de Web Console.
Le provisionnement est le processus consistant à fournir aux utilisateurs la possibilité de s’authentifier avec un deuxième facteur lors de l’accès aux appareils/services protégés par ESET Secure Authentication On-Prem.
Depuis ESA 3.0, le numéro de téléphone n’est plus indispensable pour utiliser l’application mobile ESA, sauf si le provisionnement par SMS est utilisé. Le numéro de téléphone de chaque utilisateur est saisi manuellement lors de la création/modification de l’utilisateur dans Web Console, ou importé automatiquement avec les informations utilisateur lors de la synchronisation avec LDAP, ou tapé par l’utilisateur si l’auto-inscription est activée.
Chaque utilisateur appartient à un domaine (domaine, nom d’ordinateur, etc.). Les domaines et les utilisateurs sont créés automatiquement lorsqu’un utilisateur ouvre une session sur une machine sur laquelle un composant ESA est installé, se connecte à un service protégé par ESA ou si ESA est synchronisé avec LDAP. Vous pouvez aussi créer manuellement des domaines personnalisés.
L’image ci-dessous montre un domaine personnalisé et un domaine automatique. Le domaine personnalisé a été créé manuellement (Custom Realm) et l’utilisateur Test User y a été ajouté. Le domaine automatique et ses deux utilisateurs (admin, Test) ont été créés automatiquement. Le nom de domaine provient de l’ordinateur sur lequel la protection de connexion Windows est installée et sue lequel les deux utilisateurs ont ouvert une session. La colonne Status (État) indique si l’utilisateur a activé l’authentification à 2 facteurs (et s’il l’a utilisé au moins une fois) ou si la configuration de l’authentification à 2 facteurs est en attente. La colonne Display Name (Nom d’affichage) affiche la valeur du champ Display Name (Nom d’affichage). Il peut être défini manuellement par utilisateur ou synchronisé automatiquement à partir d’Active Directory (ou LDAP) en fonction de la configuration en accédant à Settings (Paramètres) > Default Fields (Champs par défaut) et en sélectionnant Default display name field (Champ de type de nom par défaut) en tant que type de champ (Field type).
Créer manuellement un domaine personnalisé
1.Cliquez sur l’icône à côté de Realms (Domaines), puis cliquez sur Create custom Realm (Créer un domaine personnalisé).
2.Tapez la chaîne souhaitée pour l’ID de domaine (Realm ID) et le nom du domaine (Realm Name). Sélectionnez Category (Catégorie), puis cliquez sur Save (Enregistrer).
Pour créer manuellement un domaine correspondant à un domaine Active Directory, vous devez trouver le GUID.
Obtenir un GUID de domaine à partir d’ADUC
1.Ouvrez Utilisateurs et ordinateurs Active Directory.
2.Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Propriétés.
3.Cliquez sur l’onglet Éditeur d’attributs, puis recherchez ObjectGUID.
4.Utilisez la valeur ObjectGUID dans le champ Realm ID (ID de domaine) lors de la création manuelle du domaine.
Obtenir un GUID de domaine via PowerShell
1.Ouvrez Windows PowerShell.
2.Exécutez l’une des commandes suivantes :
Get-ADDomain | select -Property ObjectGUID |
OU
wmic ntdomain list full |
Pour créer manuellement un domaine qui correspond à un ordinateur local (utilisateurs autres que le domaine), vous avez besoin du SID.
2.Exécutez PsGetsid.EXE ou PsGetsid64.EXE (selon votre version de bits de Windows) à partir de l’invite de commandes Windows ou de Windows PowerShell.
Ajouter manuellement un utilisateur à un domaine
1.Sélectionnez le domaine dans lequel vous souhaitez ajouter l’utilisateur.
2.Cliquez sur Add user.
3.Saisissez le nom, le numéro de téléphone et éventuellement l’adresse e-mail de l’utilisateur.
4.Cliquez sur Create user.
Format du numéro de téléphone Les numéros de téléphone mobile doivent être au format international « +421987654321 », où +421 est l’indicatif du pays. Par exemple, pour saisir le numéro de téléphone slovaque 0987654321 le zéro (« 0 ») du début doit être remplacé par l’indicatif de pays « +421 », ce qui donne +421987654321. Idem pour le numéro de téléphone américain « 201-321-4567 » qui donnerait « +12013214567 » (« 1 » étant l’indicatif du pays). |
Vous pouvez également importer des utilisateurs dans un domaine personnalisé à partir d’un fichier.
Envoyer l’application mobile aux utilisateurs
La méthode de provisionnement par défaut est ESET servers, c’est-à-dire la remise par SMS, qui nécessite un téléphone valide pour envoyer le lien d’installation.
1.Cochez la case correspondant aux utilisateurs qui recevront l’application mobile.
2.Cliquez sur Send application.
3.Fermez la fenêtre de confirmation.
Validité du lien de provisionnement La durée de validité du lien de provisionnement est de 24 heures ou jusqu’à la première utilisation. |
Activation de l'authentification à 2 facteurs par utilisateur
Cliquez sur un utilisateur et sélectionnez les options d’authentification souhaitées. Le mot de passe à usage unique (OTP) et l’authentification Push sont les plus pratiques. Si les mots de passe à usage unique par jeton matériel (Hard Token OTPs) ont été activés et importés, les jetons matériels seront disponibles dans le menu déroulant sous le bouton bascule Hard Token (Jeton matériel). Cliquez sur Save (Enregistrer) pour enregistrer les modifications.
Si une méthode d’authentification nécessite des informations, une notification s’affiche. Vous pouvez toujours enregistrer le profil de l’utilisateur et, si l’auto-inscription est activée, l’utilisateur peut renseigner les informations manquantes après s’être inscrit à l’authentification à 2 facteurs (2FA).
Si les mots de passe à usage unique par application mobile ( Mobile Application OTP) ou l’authentification push par application mobile (Mobile Application Push) ont été activés, une notification s’affiche pour vous rappeler d’envoyer le message d’inscription/provisionnement à l’utilisateur pour activer l’application mobile.
Si vous cliquez sur Do not send (Ne pas envoyer) ou sur Cancel (Annuler), vous pouvez utiliser le bouton Actions pour envoyer le message d’inscription/provisionnement ultérieurement. Si vous cliquez sur Send (Envoyer), une fenêtre d’informations affiche l’URL unique de l’application envoyée à l’utilisateur.
Activation de l’authentification à 2 facteurs pour plusieurs utilisateurs à la fois
1.Cochez la case correspondant aux utilisateurs pour lesquels vous activez l’authentification à 2 facteurs.
2.Cliquez sur 2FA (Authentification à 2 facteurs), sélectionnez Enable (Activer), puis sélectionnez l’option d’authentification souhaitée.
3.Fermez la fenêtre de confirmation.
Pour obtenir des instructions sur l’installation et l’utilisation de l’application mobile, cliquez sur le système d’exploitation mobile souhaité pour être redirigé vers l’article correspondant :