Intel® Authenticate : guide d'intégration pour GPO

Intel® Authenticate

Guide d'intégration deActive Directory Group Policy Objects (GPO)

Version 3.1

Date de publication du document : 27 mars 2018

Intel® Authenticate : guide d'intégration pour GPO*Les autres noms et marques peuvent être revendiqués comme la propriété de tiers

ii

Mentions légales et clauses d'exclusion de responsabilitéVous ne pouvez pas utiliser ce document, ni en faciliter l'utilisation, en rapport avec toute infraction ou autreanalyse juridique concernant les produits d'Intel décrits ci-après. Vous acceptez d'accorder à Intel une licencenon exclusive et libre de redevance pour toute revendication de brevet rédigée ultérieurement concernant lesujet mentionné.

Aucune licence (explicite ou implicite, par principe d'estoppel ou autre) sur quelque droit de propriétéintellectuelle que ce soit ne sera accordée par le présent document.

Les produits décrits peuvent faire l'objet de défauts de conception ou d'erreurs connues pouvant entraîner desdifférences par rapport aux spécifications publiées. Une liste des erreurs actuellement connues est disponiblesur demande.

Intel décline toute garantie expresse ou implicite, y compris mais sans s'y limiter, les garanties de valeurmarchande et d'adaptation à un usage quelconque, et d'absence de contrefaçon, comme toute garanties'inférant des pratiques commerciales établies ou des modalités d'exécution.

Les fonctionnalités et avantages de la technologie Intel varient selon la configuration du système et peuventnécessiter une activation de service ou de logiciel ainsi qu'un matériel spécifique. Les performances varientd'une configuration à une autre. Aucun système informatique ne peut être absolument sécurisé. Pour plus dedétails, contactez le fabricant ou le revendeur de votre ordinateur, ou rendez-vous sur intel.com.

Intel, Intel vPro, Intel Core, Xeon et le logo Intel sont des marques déposées d'Intel Corporation ou de sesfiliales aux États-Unis et/ou dans d'autres pays.

*Les autres noms et marques peuvent être revendiqués comme la propriété de tiers.

Microsoft, Windows et le logoWindows sont des marques commerciales ou déposées de Microsoft Corporationaux Etats-Unis et/ou dans d'autres pays.

Java est une marque déposée d'Oracle et/ou de ses filiales.

La marque et les logos Bluetooth® sont des marques déposées de Bluetooth SIG, Inc. utilisées sous licence parIntel Corporation.

© 2016-2018, Intel Corporation


iii

Sommaire

1 Introduction 1

1.1 Qu'est-ce qu'Intel® Authenticate ? 1

1.2 Facteurs d'authentification 2

1.2.1 Proximité Bluetooth® 2

1.2.2 Reconnaissance faciale 4

1.2.3 Empreinte 4

1.2.4 Code PIN protégé 5

1.2.4.1 Paramètres du code PIN protégé 5

1.2.4.2 Mécanisme de limitation du code PIN 6

1.2.5 Emplacement Intel® AMT 7

1.3 Actions 8

1.3.1 Connexion au SE 8

1.3.1.1 Blocage du mot de passe Windows* 9

1.3.2 Connexion au VPN 10

1.3.3 Verrouillage en cas d'absence 10

1.4 Composants Intel® Authenticate 11

1.4.1 Client et Engine 11

1.4.2 Stratégies 12

1.4.3 Application de gestion des facteurs 12

1.4.4 Application Intel® Authenticate 13

2 Configuration requise sur la plate-forme client 14

2.1 Configuration requise pour l'installation 14

2.1.1 Version minimale du micrologiciel Intel® ME 16

2.2 Configuration requise pour la Proximité Bluetooth® 17

2.3 Conditions requises pour l'Empreinte 18

2.4 Conditions requises pour la reconnaissance faciale 19

2.5 Configuration requise pour Emplacement Intel® AMT 19

2.5.1 Configuration de domaines domestiques à l'aide d'Intel® SCS 20

2.5.2 Configuration de domaines d'accueil à l'aide d'ePo Deep Command 21

2.6 Version PowerShell requise 21

3 Configuration de la connexion au VPN 22

3.1 Clients VPN pris en charge 22

3.2 Intel® IPT avec PKI 22

3.3 Préparation de l'autorité de certification 22

3.3.1 Systèmes d'exploitation serveur pris en charge 23

3.3.2 Installation des composants AC 23

3.4 Définition du modèle de certificat d'autorité pour la connexion au VPN 24

3.5 Configuration de l'appliance VPN 28


iv

3.6 Génération d'un certificat pour le client 29

4 Configuration de la connexion par carte à puce 31

4.1 Éléments à prendre en considération lors de l'utilisation de l'option Carte à puce 32

4.2 Définir le modèle de certificat d'autorité de certification pour carte à puce 32

5 Préparation à l'intégration 37

5.1 Préparation d'un certificat de signature numérique 37

5.2 Création d'une stratégie 39

6 Intégration avec des GPO 41

6.1 Flux de déploiement à l'aide d'un GPO 41

6.2 Configuration du serveur 41

6.3 Création d'un dossier partagé 42

6.4 Création de filtres WMI pour les GPO 43

6.5 Création d'un GPO pour la découverte d'Intel® Authenticate 45

6.6 Création d'un GPO pour l'installation d'Intel® Authenticate 49

6.7 Création d'un GPO pour la mise en œuvre de la stratégie 53

6.8 Création d'un GPO pour la réinitialisation de la stratégie 55

6.9 Flux de mise à niveau avec GPO 57

7 Résolution des problèmes 59

7.1 Résolution des problèmes d'installation 59

7.2 Résolution des problèmes d'inscription 59

7.3 Résolution des problèmes de connexion au SE 62

7.4 Résolution des problèmes liés à l'action Connexion au SE à l'aide d'une carte à puce 63

7.5 Résolution des problèmes liés à l'action Connexion au VPN 65

7.6 Résolution des problèmes liés au facteur Proximité Bluetooth® 66

7.7 Résolution des problèmes liés au facteur Empreinte 67

7.8 Résolution des problèmes liés à la reconnaissance faciale 69

7.9 Résolution des problèmes dansWindows* Hello 70

7.10 L'outil Check Tool 71

7.10.1 Conditions requises pour l'installation 71

7.10.2 Vérification des facteurs 74

7.11 Utilisation de l'outil Support Tool 76

7.11.1 Collecte de journaux 77

7.11.2 Redémarrage de tous les services et processus d'Intel® Authenticate 77

7.12 Codes d'erreur 78


1

1 Introduction

Ce guide explique comment intégrer et utiliser Intel® Authenticate avec Active Directory Group Policy Objects(appelé « GPO » dans le présent guide).

Remarque :

Intel® Authenticate dispose également de packages d'intégration distincts à utiliser lors de l'intégrationavec :

• McAfee* ePolicy Orchestrator (McAfee ePO)

• Microsoft* System Center Configuration Manager (SCCM)

Pour plus d'informations sur l'intégration et le déploiement avec ePO ou SCCM, reportez-vous au guideinclus dans le package d'intégration correspondant.

1.1 Qu'est-ce qu'Intel® Authenticate ?

Intel® Authenticate est une solution d'authentification multifacteur qui prend en charge les trois différentescatégories de facteurs d'authentification :

• Un élément connu de l'utilisateur, comme un code PIN

• Un élément que l'utilisateur possède, comme un smartphone

• L'identité de l'utilisateur, comme ses empreintes digitales

La fréquence des attaques dans les environnements d'entreprise augmente à un rythme alarmant. Denombreuses failles de sécurité surgissent lorsque des données d'identification de connexion sont compromises.Ces attaques aboutissent car la plupart des systèmes d'authentification stockent et traitent les donnéesd'authentification dans la couche logicielle. Le processus de comparaison des données soumises par l'utilisateuraux données originales stockées peut être vulnérable face aux attaques, aux modifications ou aux surveillancess'il est réalisé dans l'environnement du système d'exploitation.

Intel® Authenticate améliore la sécurité des applications et services d'entreprise en renforçant les flux et lesfacteurs d'authentification. Intel® Authenticate prend en charge les facteurs d'authentification avec lesdifférents niveaux de sécurité, où les facteurs avec le niveau le plus élevé sont « renforcés » et protégés dans lematériel de la plate-forme Intel®. Ainsi, il est difficile pour les personnes et les logiciels malveillants d'accéder àvos données d'authentification sensibles et de les pirater.

Pour chaque action prise en charge (voir Actions page 8), vous pouvez définir une combinaison de facteursd'authentification (voir Facteurs d'authentification page suivante) que vos utilisateurs finaux peuvent utiliser.

1 Introduction


2

Remarque :

Sur les systèmes non-équipés de processeurs Intel® vPro™, les jeux de facteurs sont limités à unmaximum de deux facteurs par jeu. Par exemple, ce jeu de facteurs n'est pas autorisé : {Empreinte ETProtection par code PIN ET Reconnaissance faciale}. L'application d'une stratégie contenant plus de deuxfacteurs dans un jeu de facteurs échoue sur les systèmes non-équipés de processeurs Intel® vPro™. Cetterestriction ne s'applique pas aux systèmes intégrant Intel® vPro™. Sur les systèmes équipés de latechnologie Intel® vPro™, vous pouvez définir autant de facteurs que vous le souhaitez pour chaque jeu defacteurs.

1.2 Facteurs d'authentification

Cette section décrit les facteurs d'authentification pris en charge par Intel® Authenticate.

1.2.1 Proximité Bluetooth®

Ce facteur permet à l'utilisateur d'inscrire son smartphone personnel ou professionnel et de l'utiliser commefacteur d'authentification. Le processus intégral d'authentification utilisant le facteur Proximité Bluetooth estautomatique. Il ne requiert aucune action de la part de l'utilisateur. Pour cela, il suffit à l'utilisateur d'avoir sontéléphone inscrit avec lui lorsqu'il effectue l'action.

Il existe une configuration requise pour ce facteur (voir Configuration requise pour la Proximité Bluetooth®page 17).

Le niveau de sécurité de ce facteur dépend du téléphone et de la version Windows* de l'utilisateur.

Téléphone Windows* 7Windows* 10version 1607

Windows* 10versions 1703 et supérieures

Android* Protégé Protégé Protégé

iPhone* Protégé Logiciel Protégé (par défaut) ou Logiciel

Remarque : sousWindows* 10 versions 1703 et ultérieures, leniveau de sécurité « Protégé » peut être moins pratique en casd'utilisation d'un iPhone*. Pour cette combinaison, vous devezdécider de l'équilibre approprié entre la sécurité et la convivialitépour votre structure organisationnelle.

1 Introduction


3

Voici comment fonctionnent les différents niveaux de sécurité :

• Protégé : le téléphone est inscrit sur la plate-forme de l'utilisateur à l'aide d'un code secret que seuls letéléphone et la plate-forme partagent. Le code partagé est traité et protégé par le matériel sur la plate-forme Intel®. Lorsque l'utilisateur réalise une action pour laquelle la Proximité Bluetooth est définiecomme facteur d'authentification, Intel® Authenticate envoie une demande d'authentification autéléphone. Si le téléphone est suffisamment proche, la demande aboutit et le facteur ProximitéBluetooth est accepté. Ce niveau de sécurité exige de l'utilisateur qu'il installe une petite application surson téléphone (voir Application Intel® Authenticate page 13).

• Logiciel : le téléphone est inscrit uniquement à l'aide du couplage Bluetooth de Windows. Tant que lesystème d'exploitation indique que le téléphone est « connecté », le facteur Proximité Bluetooth estaccepté. Ce niveau de sécurité n'utilise aucune application sur le téléphone.

La stratégie contient deux entrées pour ce facteur (vous ne devez en utiliser qu'une seule) :

• Proximité Bluetooth protégée : si vous sélectionnez ce facteur, seul le niveau de sécurité « Protégé »est activé. Cela signifie que les utilisateurs de Windows 10 version 1607 ne seront PAS autorisés àinscrire ni à utiliser un iPhone avec le facteur Proximité Bluetooth.

• Proximité Bluetooth : si vous sélectionnez ce facteur, les niveaux de sécurité « Protégé » et« Logiciel » pertinents seront activés pour chaque combinaison téléphone et système d'exploitation del'ordinateur (répertoriés dans le tableau ci-dessus). SousWindows 10 versions 1703 et ultérieures, leparamètre par défaut pour les utilisateurs d'un iPhone est le niveau de sécurité « Protégé ». Cependant,vous pouvezmodifier le paramètre dans la stratégie afin que le niveau de sécurité « Logiciel » soit activéen permanence sur ces versions de Windows lors de l'utilisation d'un iPhone.

Lors de l'inscription, Intel® Authenticate détermine automatiquement le niveau de sécurité à appliquer (enfonction des paramètres de la stratégie que vous avez définis) et détecte le téléphone de l'utilisateur et lesystème d'exploitation de l'ordinateur. L'utilisateur doit ensuite suivre les étapes d'inscription qui s'affichent.

Modification du niveau de sécurité après l'inscription

SousWindows 10 versions 1703 et ultérieures, il est possible de modifier le niveau de sécurité du facteurProximité Bluetooth® après que l'utilisateur a déjà inscrit son téléphone. Pour ce faire, vous devez appliquerune nouvelle stratégie comportant le niveau de sécurité requis. Une fois la nouvelle stratégie appliquée, lorsquel'utilisateur essaie de se connecter, l'authentification à l'aide de son téléphone ne pourra pas aboutir.L'utilisateur devra se connecter en utilisant un autre jeu de facteurs ou son mot de passe Windows. Quelquesminutes après la connexion, l'application de gestion des facteurs s'ouvre et affiche un message indiquant qu'ildoit réinscrire son téléphone. Après la réinscription, l'authentification avec le téléphone recommencera àfonctionner.

1 Introduction


4

1.2.2 Reconnaissance faciale

Ce facteur permet à l'utilisateur d'inscrire son visage et de l'utiliser comme facteur d'authentification.

Il existe des conditions requises pour ce facteur (voir Conditions requises pour la reconnaissance faciale page19).

Remarque :

Ce facteur n'est pas un facteur « renforcé », car les données biométriques de l'utilisateur sont généralementprotégées uniquement dans le logiciel. Le niveau de protection dépend du mécanisme de sécurité fourni parle fournisseur de la caméra.

1.2.3 Empreinte

Ce facteur permet à l'utilisateur d'inscrire ses empreintes et de les utiliser comme facteur d'authentification.

Intel Authenticate prend en charge deux types de lecteurs d'empreintes digitales :

• Lecteurs d'empreintes protégées : ce type de lecteur d'empreintes digitales est conçu pour êtreentièrement autonome avec la technologie appelée « Match on Chip ». Les données biométriques(l'empreinte de l'utilisateur) sont protégées et traitées sur la puce du lecteur d'empreintes digitales.Ainsi, il est difficile pour les personnesmalveillantes d'accéder aux données d'empreintes digitales del'utilisateur et de les dérober.

• Lecteurs d'empreintes logicielles : ce type de lecteur d'empreintes digitales est moins sécurisé carles données biométriques de l'utilisateur sont généralement protégées uniquement dans le logiciel. Leniveau de protection dépend du mécanisme de sécurité fourni par le fournisseur du lecteur d'empreintesdigitales. Ce type de lecteur d'empreintes digitales ne peut pas assurer le même niveau de protectionqu'un lecteur d'empreintes protégées.

Il existe des conditions requises pour ce facteur (voir Conditions requises pour l'Empreinte page 18).

1 Introduction


5

1.2.4 Code PIN protégé

Ce facteur permet à l'utilisateur de créer un code PIN (Personal Identification Number) à utiliser en tant quefacteur d'authentification. Le code PIN est créé à l'aide d'un clavier protégé affiché via la Technologie Intel® deprotection de l'identité et Protected Transaction Display. Les principales fonctionnalités de sécurité d'Intel® IPTavec PTD sont les suivantes :

• Le grattage d'écran logiciel ou les attaques de logiciels malveillants tentant de réaliser une captured'écran du clavier ne peuvent pas voir les chiffres réels du code PIN. Tout le clavier devient noir.

• Chaque fois que la fenêtre du clavier est présentée, l'ordre du clavier numérique est modifié de manièrealéatoire. Cela signifie que les emplacements de clic de souris utilisés pour saisir le code PIN sont modifiésà chaque fois. Il est donc impossible de capturer le modèle de clic de souris nécessaire à la saisie du codePIN et de l'utiliser à nouveau.

• Les clics de souris pour l'entrée du code PIN sont traduits et utilisés dans le matériel de protection. Lavaleur réelle du code PIN n'est pas exposée en-dehors du matériel.

• Un « mécanisme de limitation du code PIN » suit le nombre de tentatives de saisie de code PIN nonvalide. À des intervalles spécifiques, il refuse les nouvelles tentatives pendant un laps de temps donné.Cette fonction minimise les risques d'attaques en force sur le code PIN (voir Mécanisme de limitation ducode PIN page suivante).

• La saisie au clavier du code PIN n'est pas autorisée. Cette fonction minimise les risques d'attaquesd'enregistreur de clavier.

Remarque :

Lorsque vous utilisez plusieurs écrans, le clavier est affiché uniquement sur l'un des écrans et il est occultésur les autres, avec certaines configurations système. Avec d'autres configurations système, le clavier estaffiché sur tous les moniteurs. Il s'agit d'un comportement normal.

1.2.4.1 Paramètres du code PIN protégé

Les paramètres du code PIN protégé vous permettent de définir les exigences de complexité d'un code PINvalide. Lors de la définition du facteur Code PIN protégé dans la stratégie, vous pouvez définir les paramètressuivants pour le code PIN :

• Longueur minimale du code PIN : nombre minimal de chiffres que l'utilisateur doit définir pour soncode PIN. Valeurs valides : entre 4 et 10. Le nombre de nombres séquentiels ascendants que l'utilisateurpeut utiliser dans son code PIN est limité à un moins la valeur de ce paramètre. Par exemple, avec unparamètre de 5, un code PIN de « 12345 » n'est pas valide, mais un code PIN de « 12349 » est valide.

• Nombre de chiffres uniques minimum : nombre minimal de chiffres uniques que l'utilisateur doitdéfinir pour son code PIN. Valeurs valides : entre 3 et 10. (La valeur ne peut pas être supérieure à lavaleur de la longueur minimale du code PIN.)

1 Introduction


6

1.2.4.2 Mécanisme de limitation du code PIN

Le facteur d'authentification Code PIN protégé comprend un mécanisme de limitation de code PIN intégré. Celasignifie que lorsqu'un utilisateur entre un code PIN non valide, un compteur de codes PIN non valides se met enmarche. Après un certain nombre de saisies de codes PIN non valides, le système verrouille la saisie de code PINpendant un laps de temps spécifique. Pendant ce verrouillage, l'utilisateur ne pourra pas réaliser d'actions pourlesquelles le Code PIN protégé est un facteur d'authentification obligatoire. Cette fonctionnalité limite l'efficacitédes attaques de force contre le code PIN d'un utilisateur. Plus le nombre de saisies de codes PIN non validesaugmente, plus la durée de verrouillage augmente.

Nombre de tentatives de saisiede codes PIN non valides

Temps (en minutes) avantla prochaine tentative de saisie du code PIN

1 – 4 0

5 – 7 1

8 – 11 10

12 + 30

Le compteur de codes PIN non valides est réinitialisé 60 minutes après la dernière tentative de saisie d'un codePIN non valide.

Remarque :

• le mécanisme de limitation du code PIN ne prend pas en charge plusieurs compteurs de codes PIN nonvalides distincts pour chaque utilisateur. Lorsque le mécanisme de limitation est activé, il est activé pourtous les utilisateurs. (Cela signifie que tous les utilisateurs de la plate-forme devront attendre pendant ladurée requise avant de pouvoir entrer leur code PIN.)

• La saisie d'un code PIN valide ne réinitialise pas le compteur de codes PIN sur zéro. Si le compteurpossédait déjà une valeur élevée (suite à plusieurs saisies de codes PIN non valides), les futures saisiesde codes PIN non valides activeront le mécanisme plus tôt que nécessaire.

1 Introduction


7

1.2.5 Emplacement Intel® AMT

Ce facteur utilise la fonctionnalité de détection de l'environnement de la Technologie d'administration activeIntel® (Intel® AMT). Les plates-formesmobiles fonctionnent généralement dans deux environnements réseaudistincts :

• À l'intérieur du réseau de l'entreprise

• À l'extérieur du réseau de l'entreprise, par exemple via des points d'accès sans fil publics et des réseauxdomestiques

La fonctionnalité de détection de l'environnement est utilisée pour reconnaître le type de réseau adapté à laplate-forme. La fonctionnalité est activée en configurant les noms de suffixe DNS des « domainesdomestiques » dans Intel® AMT. Ces domaines domestiques sont considérés comme dignes de confiance par leréseau de l'entreprise.

Le facteur d'authentification Emplacement Intel® AMT utilise la détection de l'environnement pour vouspermettre de définir différentes stratégies d'authentification selon l'emplacement de la plate-forme. Vous fereznormalement en sorte que les actions requièrent davantage de facteurs d'authentification, ou des facteurs plusstricts, lorsque la plate-forme est située en-dehors du réseau de votre entreprise.

Par exemple, vous pouvez définir les combinaisons de facteurs d'authentification suivantes :

Emplacement d'Intel® AMT ET Proximité Bluetooth

OU

Code PIN protégé ET Proximité Bluetooth

Cette combinaison signifie que lorsque la plate-forme est exploitée à l'intérieur d'un des domaines domestiques,le seul facteur d'authentification requis est Proximité Bluetooth. Mais si la plate-forme est exploitée à l'extérieurdes domaines domestiques, l'utilisateur devra également s'authentifier à l'aide du facteur Code PIN protégé.

Ce facteur ne requiert pas d'intervention de l'utilisateur, mais il requiert une configuration sur la plate-formeavant son utilisation. Pour plus d'informations, voir Configuration requise pour Emplacement Intel® AMT page19.

Remarque :

• Si la plate-forme est connectée via un réseau local sans fil (WLAN) et qu'aucun profil WLAN n'estconfiguré, l'inscription du facteur Emplacement Intel® AMT échouera à coup sûr.

• En général, vous utilisez ce facteur en association avec d'autres facteurs. L'utilisation de ce facteur entant que facteur d'authentification unique signifie que l'authentification n'est possible que si la plate-forme est située à l'intérieur du réseau de votre entreprise.

• Si l'utilisateur se connecte au réseau de l'entreprise via une connexion VPN, le facteur EmplacementIntel® AMT considère que la plate-forme se situe en dehors du réseau de l'entreprise.

1 Introduction


8

1.3 Actions

Cette section décrit les actions prises en charge par Intel® Authenticate.

Remarque :

pour la plupart des actions, vous pouvez définir plusieurs facteurs d'authentification. Plus de facteursimpliquent plus de sécurité, mais réduisent la convivialité pour les utilisateurs finaux. Lors de la définition dunombre et du type de facteurs pour chaque action, vous devez équilibrer les exigences de sécurité de votreentreprise et l'expérience utilisateur.

1.3.1 Connexion au SE

Cette action permet aux utilisateurs de se connecter au système d'exploitation Windows* à l'aided'Intel® Authenticate plutôt qu'à l'aide de leur mot de passe Windows. Lors de la connexion, une indicationvisuelle s'affiche sur l'écran de connexion Windows, informant l'utilisateur qu'il peut utiliserIntel® Authenticate pour se connecter. L'utilisateur peut alors appuyer sur Entrée pour se connecter àWindows à l'aide des facteurs d'authentification que vous avez définis. L'utilisateur ne sera pas invité à entrerson mot de passe Windows*.

Remarque :

Le paramètre Do not display last user name in login screen (Ne pas afficher le nom utilisateur à l'écran deconnexion) dans les paramètres de stratégie de groupe n'est PAS pris en charge. Veillez à ne PAS activer ceparamètre.

Lors de la connexion, les facteurs Intel® Authenticate définis pour l'action Connexion au SE sont vérifiés. Si lavérification aboutit, Intel® Authenticate envoie les informations d'identification àWindows* pour finaliser leprocessus de connexion. Si la plate-forme est connectée à un domaine, l'utilisateur y sera également connectéautomatiquement. Windows* se charge de la connexion au domaine, y compris à tout service connecté tel quel'authentification Windows* intégrée (IWA) et aux services de fédération Active Directory (ADFS).

Vous pouvez définir le type d'informations d'identification qu'Intel® Authenticate transmet àWindows* :

• Mot de passe Windows* de l'utilisateur : cette option est définie par défaut.

• Carte à puce virtuelle : lorsque cette option est activée, le processus de connexion est effectué à l'aided'un certificat. Le certificat est généré et protégé dans le matériel de la plate-forme Intel à l'aide d'Intel®

Identity Protection Technology avec Public Key Infrastructure (Intel® IPT avec PKI). Si l'authentificationdes facteurs est réussie, Intel® Authenticate déverrouille le certificat pour Windows* et finalise leprocessus de connexion. L'activation de cette option permet de réduire l'utilisation des mots de passeWindows* au minimum dans votre environnement. Cette option requiert une configurationsupplémentaire (voir Configuration de la connexion par carte à puce page 31).

Lorsque l'action de connexion au SE est activée à l'aide de mots de passe, Intel® Authenticate doit enregistrerle mot de passe Windows de l'utilisateur. Si l'option de carte à puce n'est pas utilisée, la première connexionaprès l'inscription doit être réalisée à l'aide du mot de passe Windows. L'utilisateur peut ensuite se connecter àl'aide d'Intel® Authenticate.

1 Introduction


9

1.3.1.1 Blocage du mot de passe Windows*

Pour éviter que les utilisateurs n'essaient de contourner les règles définies pour la connexion au SE avecIntel® Authenticate, vous avez trois options différentes. (N'en choisissez qu'une seule.)

Remarque :

Pour les options 1 et 2, une fois l'authentification établie, le mot de passe Windows* est toujours transmis àWindows* pour terminer le processus de connexion.

Option 1 : Exiger un mot de passe Windows* plus complexe

Pour dissuader les utilisateurs de se servir de leur mot de passe Windows*, vous pouvez accroître la complexitédes règles régissant le mot de passe Windows*. Plutôt que de mémoriser et de saisir un mot de passe long etcomplexe, la plupart des utilisateurs choisiront simplement la connexion via Intel® Authenticate.

Option 2 : Bloquer le mot de passe dans la stratégie

Cette option force l'utilisateur à se connecter via une authentification reposant sur les facteursIntel® Authenticate que vous avez définis dans la stratégie. Pour activer cette fonction, accédez à la stratégieIntel® Authenticate, puis sélectionnez l'option Interdire à l'utilisateur de se connecter avec son motde passe Windows*.

Lorsque cette option est sélectionnée, une fois qu'un utilisateur s'est connecté à l'aide d'Intel® Authenticate,l'option de connexion avec un mot de passe Windows est désactivée. L'utilisateur voit alors un messageindiquant que le service informatique a désactivé la connexion avec un mot de passe Windows*.

Remarque :

Dans certaines conditions, Intel® Authenticate permet toujours à l'utilisateur de se connecter avec son motde passe Windows :

• Si Intel® Authenticate détecte une erreur système ou un autre problème empêchant l'utilisateur de seconnecter avec Intel® Authenticate.

• Si Intel® Authenticate détecte que le mot de passe Windows* de l'utilisateur n'est pas enregistré dans lemagasin de données sécurisé. (Par exemple, l'utilisateur a changé de mot de passe ou le mot de passe aexpiré.)

Option 3 : Utiliser l'option de carte à puce et bloquer le mot de passe dans Active Directory

C'est l'option la plus sécurisée. Elle permet de ne jamais utiliser le mot de passe Windows*. Pour procéder ainsi :

1. Activez l'option de carte à puce pour la connexion au système d'exploitation (voir Configuration de laconnexion par carte à puce page 31).

2. Vérifiez que les utilisateurs ont bien inscrit leurs facteurs et qu'ils peuvent se connecter avecIntel® Authenticate et un certificat de carte à puce.

3. Dans les propriétés de compte d'utilisateur Active Directory, sélectionnez l'option Une carte à puce estnécessaire pour ouvrir une session interactive.

1 Introduction


10

Remarque :

Lorsque cette option est activée, l'utilisateur peut toujours essayer de se connecter avec un mot de passeWindows. Dans ce cas, un message d'erreur s'affiche pour lui demander d'utiliser une carte à puce pourse connecter.

1.3.2 Connexion au VPN

Cette action permet aux utilisateurs de se connecter au réseau VPN (Virtual Private Network) de votreentreprise à l'aide des facteurs d'authentification pris en charge par Intel® Authenticate. Vous configurez leclient VPN de sorte qu'il utilise un certificat pour l'authentification à la place d'un mot de passe. Le certificat estgénéré et protégé dans le matériel de la plate-forme Intel à l'aide d'Intel® Identity Protection Technology avecPublic Key Infrastructure (Intel® IPT avec PKI). Lors de la connexion, les facteurs Intel® Authenticate définispour la connexion au VPN sont vérifiés. Si la vérification aboutit, Intel® Authenticate déverrouille le certificat etle transmet au client VPN pour connexion au VPN.

Pour pouvoir utiliser cette action, vous devez configurer les systèmes client et le point d'accès du VPN. Pour plusd'informations, voir Configuration de la connexion au VPN page 22.

1.3.3 Verrouillage en cas d'absence

Lorsque cette fonction est activée, la station de travail est automatiquement verrouillée lorsque le téléphoneinscrit de l'utilisateur n'est pas à proximité (lorsque l'utilisateur s'est éloigné avec son téléphone). À son retour,l'utilisateur devra se connecter à nouveau à l'aide d'Intel® Authenticate. Lorsque vous définissez le verrouillageen cas d'absence, vous pouvez également définir une « période de grâce » pendant laquelle le verrouillage ne semet pas en place si l'utilisateur revient à son poste de travail.

Cette fonction dépend de la précision avec laquelle le téléphone ou le système d'exploitation indique que letéléphone est hors de portée. Le degré de précision peut varier d'un modèle de téléphone à un autre. En outre,l'emplacement du téléphone (par exemple, dans la poche de l'utilisateur) peut provoquer des verrouillagesinopportuns. Afin de réduire les verrouillages inopportuns, la luminosité de tous les écrans s'estompe pendant7 secondes avant le verrouillage. Si l'utilisateur déplace sa souris ou utilise son clavier pendant ces 7 secondes,l'écran n'est pas verrouillé et le verrouillage en cas d'absence est temporairement désactivé. Le rétablissementd'une connexion avec le téléphone active de nouveau le verrouillage en cas d'absence.

Remarque :

• Le verrouillage en cas d'absence n'est pas prévu pour remplacer le verrouillage des stations de travailinactives après un laps de temps spécifique via vos stratégies informatiques.

• La fonctionnalité Verrouillage en cas d'absence est activée à l'aide du facteur Proximité Bluetooth (voirProximité Bluetooth® page 2).

• Le verrouillage en cas d'absence est disponible uniquement si l'action de connexion au SE ou l'action deconnexion au VPN est activée dans la stratégie.

1 Introduction


11

1.4 Composants Intel® Authenticate

Cette section décrit les principaux composants utilisés par Intel® Authenticate.

1.4.1 Client et Engine

Le logiciel Intel® Authenticate de la plate-forme client est installé aux emplacements suivants :

• C:\Program Files\Intel\Intel Authenticate

• C:\Program Files (x86)\Intel\Intel Authenticate

Les composants logiciels sur la plate-forme client sont divisés en deux niveaux logiques : « Client » et« Engine ». Chaque jeu de composants est installé dans un sous-dossier du même nom (Client et Engine).

Sur la plate-forme client, Intel Authenticate se base sur les deux services décrits dans ce tableau.

Nom d'affichage du service Description

Intel Authenticate: Client Ce service gère principalement les tâches au niveau du systèmed'exploitation. Cela inclut les communications avec l'application de gestion desfacteurs (voir Application de gestion des facteurs page suivante).

Intel Authenticate: Engine Ce service gère principalement les tâches qui requièrent les communicationsavec les applets logiciels dans le microprogramme de la plate-forme.Intel Authenticate installe et utilise plusieurs applets dans Intel® DynamicApplication Loader (Intel® DAL). De plus, ce service gère également lesconnexions Bluetooth utilisées par Intel® Authenticate.

Remarque : ces deux services doivent être exécutés pour qu'Intel® Authenticate fonctionne correctement.

1 Introduction


12

1.4.2 Stratégies

Les stratégies contiennent les paramètres d'Intel® Authenticate que vous souhaitez appliquer sur la plate-forme client. Cela inclut les actions à activer et la combinaison de facteurs d'authentification à définir pourchaque action. La méthode que vous utilisez pour créer et déployer la stratégie dépend de l'option d'intégrationchoisie (SCCM, GPO, ePO). Une fois que vous avez créé la stratégie, celle-ci est déployée sur les plates-formesclient et mise en œuvre. L'utilisateur est alors invité à inscrire les facteurs d'authentification définis dans lastratégie appliquée (voir Application de gestion des facteurs ci-dessous).

Chaque plate-forme client ne peut avoir qu'une seule stratégie. Mais vous pouvez remplacer et appliquer ànouveau des stratégies autant que nécessaire.

Remarque :

Les stratégies sont protégées par un certificat de signature (voir Préparation d'un certificat de signaturenumérique page 37). Vous pouvez remplacer une stratégie uniquement si la nouvelle stratégie est signéeavec le même certificat que celui utilisé pour signer la stratégie existante sur la plate-forme. Si voussouhaitez utiliser un certificat de signature différent, vous devez tout d'abord réinitialiser (supprimer) lastratégie existante avant de définir la nouvelle.

1.4.3 Application de gestion des facteurs

Peu de temps après la mise en œuvre de la stratégie, l'application de gestion des facteurs s'ouvreautomatiquement sur la plate-forme client. Cette application fonctionne comme un assistant simple qui guidel'utilisateur final tout au long du processus d'inscription des facteurs d'authentification. A la fin de l'inscription,l'utilisateur peut alors commencer à utiliser les fonctionnalités d'Intel® Authenticate, en fonction desparamètres définis dans la stratégie. L'utilisateur ne peut pas modifier les paramètres dans la stratégie mise enœuvre.

Après l'inscription, l'utilisateur peut également ouvrir l'application de gestion des facteurs à tout moment etl'utiliser pour gérer (réinscrire) ses facteurs inscrits. Par exemple, il peut modifier son code PIN protégé ouchanger le téléphone qu'il utilise pour la Proximité Bluetooth® . Lorsqu'un utilisateur souhaite réinscrire unfacteur, il doit d'abord s'authentifier. Par exemple, pour modifier son code PIN, il doit fournir le code PINd'origine. Pour changer de téléphone, il doit s'authentifier avec le téléphone actuellement inscrit.

Remarque :

• l'application de gestion des facteurs est dynamique et elle affiche les écrans et les instructions selon lesparamètres de la stratégie mise en œuvre. Le processus d'inscription est relativement simple. Il ne prendque quelques minutes. Il est toutefois recommandé de vous familiariser avec le flux avant de procéderau déploiement sur les utilisateurs finaux. Pour vous aider à comprendre le flux, vous pouvez consulter leguide d'inscription situé dans le dossier racine de ce package d'installation.

• Une résolution d'écran minimale de 1024 x 768 est requise pour utiliser l'application de gestion desfacteurs (les résolutions inférieures ne sont pas prises en charge).

1 Introduction


13

1.4.4 Application Intel® Authenticate

Le facteur Proximité Bluetooth® exige de l'utilisateur qu'il installe une petite application sur le téléphone àutiliser avec Intel® Authenticate.

Remarque :

Le niveau de sécurité « Logiciel » du facteur Proximité Bluetooth® n'utilise pas l'application. Lors del'inscription, les utilisateurs dotés de ce niveau de sécurité ne devront pas installer l'application ou entrer uncode d'inscription. Pour plus d'informations, voir Proximité Bluetooth® page 2.

Les applications sont publiées dans Google Play (pour les téléphones Android*) et l'App Store (pour lesiPhone*) :

• App Store : https://itunes.apple.com/app/intel-authenticate/id1171157350

• Google Play : https://play.google.com/store/apps/details?id=com.intel.auth13217

L'application de gestion des facteurs inclut des boutons de téléchargement dans la page Proximité Bluetooth.L'utilisateur est invité à télécharger et à installer l'application Intel® Authenticate directement sur sontéléphone dans le cadre du processus d'inscription. Vous pouvez également envoyer les liens ci-dessus à vosutilisateurs et leur demander d'installer l'application appropriée sur leur téléphone avant la procédured'inscription.

Remarque :

• Sur les téléphones Android*, l'application s'exécute en arrière-plan. Par défaut, un grand nombre detéléphones Android empêchent le démarrage automatique des services d'arrière-plan. Sur cestéléphones, l'utilisateur doit autoriser manuellement le démarrage automatique de l'applicationIntel® Authenticate. (Si l'application ne s'exécute pas en arrière-plan, la vérification de ProximitéBluetooth échouera.)

• Sur les iPhone*, l'utilisateur doit veiller à ne pas fermer l'application. Par ailleurs, après le redémarragedu téléphone, l'application devra être ouverte manuellement.

1 Introduction

https://itunes.apple.com/app/intel-authenticate/id1171157350

https://play.google.com/store/apps/details?id=com.intel.auth13217


14

2 Configuration requise sur la plate-forme client

Cette section décrit la configuration requise pour Intel® Authenticate sur les plates-formes client.

Remarque :

• Les versions indiquées dans cette section sont les versions minimales prises en charge. Cependant, saufmention contraire, il est recommandé d'utiliser systématiquement la dernière version publiée pourchaque élément de configuration.

• Vous pouvez utiliser l'outil Check Tool afin de déterminer si une plate-forme répond aux conditionsrequises (voir L'outil Check Tool page 71).

2.1 Configuration requise pour l'installation

Ce tableau décrit la configuration minimale requise pour l'installation d'Intel® Authenticate sur les plates-formes client.

Configuration requise Détails

Processeur La plate-forme doit posséder un processeur de 6e génération (ou supérieur)appartenant à l'une des familles de processeurs suivantes :

• Intel® Core™

• Intel® Core™ M

• Intel® Core™ vPro™

• Intel® Core™ M vPro™

• Intel® Xeon® E3 (v5 ou supérieure)

MicroprogrammeIntel® ME

SKU d'entreprise du micrologiciel Moteur de gestion Intel® :

• Intel® ME 11.8 : version 11.8.50.3399 ou supérieure

• Intel® ME 11.7

• Intel® ME 11.6 : version 11.6.0.1117 ou supérieure

• Intel® ME 11.0 : version 11.0.0.1157 ou supérieure (version 11.0.0.1202minimum pour les plates-formes sur lesquelles le service de capteur Intel® estactivé).

Remarque :

• Par défaut, l'installation est bloquée sur toute version de micrologicielIntel® ME inférieure à 11.8.50.3399 (voir Version minimale du micrologicielIntel® ME page 16).

• La référence client n'est PAS prise en charge.



15


Logiciel Intel® ME(Moteur de gestionIntel®)

Logiciel Moteur de gestion Intel® version 11.6.0.1019 ou supérieure.

Le programme d'installation du logiciel Intel® ME installe automatiquementplusieurs composants. Voici les principaux composants requis et utilisés par Intel®Authenticate :

• Pilote de l'interface du moteur de gestion Intel® (Intel® MEI)

• Chargeur d'applications dynamique Intel® (Intel® DAL)

• Service JHI (Java Host Interface)

Système d'exploitation • Windows* 10 version 1709 (64 bits) :

• Version minimale : 10.0.16299.125

• Windows 10 version 1703 (64 bits) :


• Windows 10 version 1607 (64 bits) :


• Windows* 7 (32 bits et 64 bits)

Remarque : les correctifs suivants sont également nécessaires sousWindows* 7uniquement :

• KB2921916 : s'il n'est pas installé, l'installation sans assistance échoue.

• KB3033929 : s'il n'est pas installé, l'option Carte à puce ne fonctionne pas.

• KB2863706 : s'il n'est pas installé, l'authentification par empreinte logicielleéchoue.

Processeur graphiqueintégré

La version 21.20.16.4481 ou supérieure du pilote Graphiques HD Intel® doit êtreinstallée.

Remarque : certaines fonctionnalités d'Intel® Authenticate se basent sur lescapacités fournies par Intel® IPT avec Protected Transaction Display. Ces capacitésrequièrent un CPU Intel® avec processeur graphique intégré. Sur certaines plates-formes possédant également un processeur graphique discret, une fonctionnalitéde processeur graphique commutable peut être activée. Intel® Authenticate prenduniquement en charge la fonctionnalité de processeur graphique commutable si lepilote graphique discret peut transférer automatiquement l'appartenance auprocesseur graphique intégré lorsqu'Intel® IPT avec PTD est requis.

Protocole TLS Le protocole TLS (Transport Layer Security) doit être activé.

.NET Framework L'application de gestion des facteurs requiert la version 4.5.2 ou supérieure de .NETFramework.


https://support.microsoft.com/en-us/kb/2921916

https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2015/3033929



16

2.1.1 Version minimale du micrologiciel Intel® ME

Par défaut, l'installation est bloquée sur toute version de micrologiciel Intel® ME dont la version est inférieure à11.8.50.3399.

Si vous décidez d'installer Intel® Authenticate sur une version antérieure, les données stockéesdans le micrologiciel Intel® ME sont potentiellement vulnérables. Sont concernées, entre autres, lesdonnées d'inscription, comme la protection par code PIN, le mot de passe Windows* et les clés PKI. Pourinstaller Intel® Authenticate sur les versions antérieures du micrologiciel Intel® ME prises en charge, unindicateur d'installation spécial (ByPassMEFirmwareCheck) est nécessaire.

Remarque :

• Pour des raisons de sécurité, il est fortement recommandé de mettre à niveau les versions antérieuresdu micrologiciel Intel® ME vers la version 11.8.50.3399 ou supérieure. Pour plus d'informations,consulter la communication officielle ici.

• Si l'application Intel® Authenticate est déjà installée, la mise à niveau du micrologiciel Intel® ME vers laversion 11.8.50.3399 ou supérieure entraînera son arrêt. Pour que l'application Intel® Authenticatefonctionne à nouveau, vous devrez la réinitialiser puis définir une nouvelle fois la stratégie. En outre, lesutilisateurs devront inscrire une nouvelle fois tous leurs facteurs.(Pour réinitialiser Intel® Authenticate,voir Création d'un GPO pour la réinitialisation de la stratégie page 55)

Ce tableau décrit l'indicateur ByPassMEFirmwareCheck.

Indicateur Détails

BypassMEFirmwareCheck Valeurs valides :

• 0 : la valeur par défaut. L'application Intel® Authenticate serauniquement installée si la version 11.8.50.3399 ou supérieure estdétectée. (La mise à jour depuis des versions antérieures d'Intel®Authenticate sera également bloquée sur des plates-formes dotées d'uneversion inférieure à 11.8.50.3399.)

• 1 : si vous définissez cette valeur, l'application Intel® Authenticate seraégalement installée/mise à niveau sur toute version du micrologicielIntel® ME prise en charge (mais moins sécurisée).

Si vous souhaitez modifier la valeur par défaut, vous devez le faire dans le fichier RunInstaller.ps1 (situédans le dossier HostFiles).


https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


17

2.2 Configuration requise pour la Proximité Bluetooth®

Le facteur Proximité Bluetooth® requiert une carte sans fil Intel® avec Bluetooth intégré sur la plate-forme,ainsi qu'un smartphone. Le smartphone utilisé peut être le téléphone personnel ou professionnel de l'utilisateuret il peut s'agir d'un téléphone Android* ou d'un iPhone*. Le tableau ci-dessous présente la configurationminimale requise pour la fonction Proximité Bluetooth (et le verrouillage en cas d'absence).


Carte sans fil • Intel® Wireless-AC 9560

• Intel® Wireless-AC 9260

• Intel®Wireless-AC 8265 double bande

• Intel®Wireless-AC 18265 triple bande



• Intel®Wireless-AC 18260 triple bande



Remarque : ces cartes sans fil sont uniquement prises en charge parIntel® Authenticate lorsqu'elles sont parfaitement compatibles avecla plate-forme et le système d'exploitation utilisés.

Pilotes Le pilote de carte réseau et le pilote Intel® Wireless Bluetooth® de lacarte doivent être installés sur la plate-forme.Remarque : seule les versions 19.00.1626.3453 et supérieures dupilote Intel® Wireless Bluetooth® sont prises en charge.

Système d'exploitation sur letéléphone

• Sur les téléphones Android : Android 4.2.2 ou version supérieure

• Sur les iPhone : iOS version 10.1 ou supérieure

Application sur le téléphone • Sur les téléphones Android : IntelAuthenticate.apk

• Sur les iPhone* : IntelAuthenticate.ipa (niveau de sécurité« Protégé » uniquement)

Remarque : pour plus d'informations, voir ApplicationIntel® Authenticate page 13.

Remarque : la fonction Proximité Bluetooth (et le verrouillage en cas d'absence) sur les iPhone :

• est uniquement prise en charge avec les iPhone* 5S ou modèles ultérieurs (les iPhone 5 et 5C ne sont paspris en charge).

• est uniquement prise en charge sousWindows* 7 si la plate-forme est dotée d'une carte Intel®Wireless-AC 8260 double bande.



18

2.3 Conditions requises pour l'Empreinte

Les conditions requises spécifiques pour le facteur Empreinte dépendent du type de lecteur d'empreintesdigitales.

Remarque :

Le pilote du lecteur d'empreintes digitales doit être installé avant le logiciel Intel® Authenticate. Si vousinstallez le pilote après avoir installé Intel® Authenticate, l'utilisateur final ne pourra pas inscrire sesempreintes via Intel® Authenticate. Cela est dû au fait que les fichiers DLL et les clés de registre requisn'existent pas (voir Résolution des problèmes liés au facteur Empreinte page 67).

Lecteurs d'empreintes protégées• Lecteur d'empreintes digitales avec technologie Match on Chip

• Pilote de lecteur d'empreintes digitales installé

• L'application FMA (Fingerprint Management Application) est installée. Il peut s'agir d'une application degestion des empreintes (FMA) propriétaire ou d'une application de gestion des empreintes Windowsincluse dans le cadre de Windows Biometric Framework (WBF) sousWindows 10.

Dans cette version, le facteur Empreinte protégée est uniquement pris en charge si les conditions suivantessont remplies :

• Matériel de lecteur d'empreintes digitales : capteur d'empreintes digitales Synaptics Natural ID* de lagamme VFS7500

• Logiciel de lecteur d'empreintes digitales : pilote Synaptics WBDI prenant en charge l'intégration avecIntel® Authenticate (consultez votre fournisseur de plate-forme pour plus de détails)

Lecteurs d'empreintes logicielles• Lecteur d'empreintes digitales

• Pilote de lecteur d'empreintes digitales installé

• L'application FMA (Fingerprint Management Application) est installée. Il peut s'agir d'une application degestion des empreintes (FMA) propriétaire ou d'une application de gestion des empreintes Windowsincluse dans le cadre de Windows Biometric Framework (WBF) sousWindows 10.

• SousWindows* 7, le correctif logiciel suivant est une condition requise pour le facteur Empreintelogicielle : https://support.microsoft.com/en-us/kb/2863706.




19

Remarque :

Dans les paramètres de stratégie d'Intel® Authenticate, vous pouvez sélectionner le type de facteurEmpreinte à activer. Si la stratégie ne contient que le facteur Empreinte protégée, il ne sera pas possibled'inscrire le facteur Empreinte sur les plates-formes dotées d'un lecteur d'empreintes logicielles. Si votreréseau comporte des ordinateurs dotés des deux types de lecteur, il est recommandé de définir uniquementle facteur Empreinte logicielle dans la stratégie. Le fait de définir seulement le facteur Empreinte logicielledans la stratégie signifie que vous souhaitez autoriser l'inscription et l'utilisation de l'un ou l'autre type defacteur. Intel® Authenticate détectera et inscrira automatiquement le facteur Empreinte selon le type delecteur qui existe sur la plate-forme (empreinte protégée ou logicielle).

2.4 Conditions requises pour la reconnaissance faciale

Le facteur de reconnaissance faciale requiert la configuration suivante :

• Windows* 10.0.14933.222 ou version supérieure

• Une caméra prise en charge par Windows Hello. Les caméras prises en charge sont généralement lesappareils infrarouges en trois dimensions capables d'utiliser le cadre de Windows Biometric Framework(WBF). Pour plus d'informations, reportez-vous à la documentation de Microsoft*.

2.5 Configuration requise pour Emplacement Intel® AMT

Le facteur Emplacement Intel® AMT requiert la configuration suivante :

• Plate-forme : système Intel® vPro™

• Microprogramme Intel® ME : version 11.0.15.1003 ou ultérieure

• Statut de configuration : Intel® AMT doit être configuré avec des domaines racines (si Intel® AMT estconfiguré sans domaines racines, il n'est pas possible d'utiliser ce facteur).

• Adresse IP : adresse IP dynamique (Les adresses IP statiques ne sont PAS prises en charge.)

Intel® AMT inclut de nombreuses options et méthodes de configuration différentes. Le seul prérequis aufacteur Emplacement Intel® AMT est qu'Intel® AMT soit configuré avec des domaines d'accueil. Vous pouvezconfigurer Intel®AMT à l'aide d'une configuration basée sur l'hôte (la méthode la plus simple) ou d'uneconfiguration à distance (laquelle implique plus d'opérations). Une fois les domaines d'accueil configurés, vouspouvez utiliser le facteur d'authentification Emplacement Intel® AMT.

Vous pouvez configurer Intel® AMT à l'aide d'Intel® Setup and Configuration Software (Intel® SCS) ou deMcAfee ePO Deep Command. La configuration d'Intel® AMT dépasse le cadre du présent guide. Lesinformations présentées ici sont destinées à vous aider à comprendre l'emplacement des paramètres desdomaines d'accueil. Pour obtenir des informations complètes sur la configuration d'Intel® AMT, reportez-vous àla documentation d'Intel® SCS ou de McAfee ePODeep Command.



20

2.5.1 Configuration de domaines domestiques à l'aide d'Intel® SCS

Lorsque vous utilisez Intel® SCS, la manière la plus rapide de configurer Intel® AMT consiste à utiliserl'utilitaire de configuration Intel® AMT. Il n'est pas nécessaire d'installer le composant Remote ConfigurationService (RCS) d'Intel® SCS. Lors de la définition du profil de configuration (à l'aide de l'assistant de profil deconfiguration), définissez les domaines d'accueil dans la fenêtre du même nom. Vous pouvez définir entre un etcinq domaines d'accueil.



21

2.5.2 Configuration de domaines d'accueil à l'aide d'ePo DeepCommand

Dans McAfee ePODeep Command, les paramètres des domaines d'accueil figurent dans l'onglet Accès àdistance de la stratégie. Les paramètres des domaines d'accueil sont également utilisés pour mettre en œuvrel'accès à distance initié par le client (CIRA) d'Intel® AMT. Pour utiliser le facteur Emplacement Intel® AMT, ilvous suffit de configurer les domaines d'hébergement. Il n'est pas nécessaire de configurer votreenvironnement pour CIRA.

2.6 Version PowerShell requise

Cette solution d'intégration se base sur les scripts rédigés dans PowerShell 3.0. Pour le bon fonctionnement deces scripts, l'installation de PowerShell version 2.0 ou supérieure est requise. Cela signifie que vous devez vousassurer que PowerShell version 2.0 ou supérieure est installée sur toutes les plates-formes client sur lesquellesvous voulez utiliser cette solution d'intégration.

Vous pouvez vérifier la version de PowerShell à l'aide de la commande PowerShell suivante : get—host.



22

3 Configuration de la connexion au VPN

Cette section décrit les éléments à préparer avant de pouvoir utiliser l'action Connexion au VPN.

3.1 Clients VPN pris en charge

Intel® Authenticate prend en charge les clients VPN qui utilisent l'interface de programme standardMicrosoftCryptographic Application Programming Interface (CAPI) et les Cryptographic Service Provider (CSP). Les clientsVPN suivants ont été testés et validés pour fonctionner avec Intel® Authenticate :

• Cisco*

• Microsoft*

Les clients VPN supplémentaires, tels que Juniper*, devraient fonctionner correctement, mais n'ont pas étéentièrement validés.

3.2 Intel® IPT avec PKI

L'action Connexion au VPN utilise des certificats générés et protégés dans le matériel de la plate-forme Intel àl'aide d'Intel® IPT avec PKI. Les composants d'Intel® IPT avec PKI sont requis :

• Sur la plate-forme du client : le programme d'installation d'Intel® Authenticate installeautomatiquement ce composant sur les plates-formes du client. (Si une plate-forme prend en chargeIntel® Authenticate, elle prend alors en charge Intel® IPT avec PKI) Aucune autre action n'estnécessaire.

• Sur l'AC de Microsoft : voir Préparation de l'autorité de certification ci-dessous ci-dessous.

Remarque :

Intel® Authenticate nécessite la version 4.1 ou une version ultérieure d'Intel® IPT avec PKI. Les versionsantérieures d'Intel® IPT avec PKI ne sont pas prises en charge.

3.3 Préparation de l'autorité de certification

Une autorité de certification (AC) Microsoft est nécessaire si vous souhaitez utiliser les modèles d'ACd'entreprise lors de la génération de certificats pour l'action de connexion au VPN. Pour pouvoir définir lemodèle, vous devez installer un ensemble de « composants AC » pour Intel IPT avec PKI sur le serveur surlequel l'AC de votre entreprise est située. Cette section décrit la configuration requise pour l'AC et la procédured'installation des composants AC.



23

3.3.1 Systèmes d'exploitation serveur pris en charge

Les composants AC d'Intel IPT avec PKI sont pris en charge sur ces systèmes d'exploitation serveur :

• Windows* Server 2012 R2

• Windows Server 2012

• Windows Server 2008 R2

3.3.2 Installation des composants AC

Le programme d'installation des composants AC d'Intel® IPT avec PKI est situé dans le dossier MS_CA_Installer à la racine de ce package. Vous pouvez installer Intel® IPT avec PKI à l'aide de l'assistantd'installation ou à l'aide d'une commande de l'interface de ligne de commande (CLI).

Pour installer les composants AC d'Intel® IPT avec PKI (à l'aide de l'assistant) :

1. Sur le serveur de votre autorité de certification, double-cliquez sur Intel_IPT_PKI_CA_Components_x64. La fenêtre de bienvenue s'affiche.

2. Cliquez sur Suivant. La fenêtre d'accord de licence utilisateur final s'affiche.

3. Sélectionnez J'accepte les termes de l'accord de licence et cliquez sur Suivant. La fenêtreInstallation personnalisée s'affiche.

4. Par défaut, l'option des clés non exportables Intel IPT® CSP/KSP est sélectionnée. C'est la seule option quevous devez installer pour activer l'action de connexion au VPN. Cliquez sur Suivant, puis sur Installerpour démarrer l'installation.



24

Pour installer les composants AC d'Intel® IPT avec PKI en mode silencieux :

1. Sur le serveur sur lequel l'AC est situé, ouvrez une invite de commande d'administration.

2. Exécutez cette commande :

msiexec /i [installer_filename].msi /qn ADDLOCAL=NonExportable

3.4 Définition du modèle de certificat d'autorité pour laconnexion au VPN

Les étapes nécessaires à la création d'un modèle de certificat varient d'une version à l'autre du systèmed'exploitation Windows* Server. En outre, les valeurs d'un grand nombre de paramètres dépendent desexigences spécifiques à votre entreprise. Cette section décrit les paramètres de modèle requérant des exigencesspécifiques pour l'action de connexion au VPN.

Traitement de la demande



25

Dans l'onglet Traitement de la demande :

• Vérifiez que la case Archiver la clé privée de chiffrement du sujet n'est PAS cochée. Cocher cettecase entraîne l'échec de l'inscription avec un message d'erreur « paramètre non valide ».

• Vérifiez que la case Autoriser l’exportation de la clé privée n'est PAS cochée.

• Sélectionnez l'option Demander à l'utilisateur lors de l'inscription et exiger une entréeutilisateur lorsque la clé privée est utilisée.

Sélection du CSP/Cryptographie



26

Lors de la sélection du CSP (fournisseur de service de chiffrement), vous devez vous assurer que seule la casede ce CSP est cochée :

• CSP Intel® IPT - Clés non exportables

Remarque :

Intel® IPT avec PKI (infrastructure à clé publique) inclut d'autres CSP et KSP (fournisseur de stockage declés). Ces CSP et KSP supplémentaires ne sont pas pris en charge lors de l'utilisation de l'action de connexionau VPN. Cela signifie également que les modèles de la version 3 ne sont pas pris en charge (car ils neprennent pas en charge les CSP.)

Extension de stratégie d'application

Dans l'onglet Extensions :

• Ajoutez une extension de stratégie d'application spécifiquement pour l'action de connexion au VPN.

• Définissez un identificateur d'objet (OID) unique à utiliser pour identifier cette stratégie. Il s'agit de l'OIDdont vous aurez besoin pour procéder à la configuration dans l'appliance VPN de votre entreprise. Vérifiezle nombre de caractères maximal pris en charge par votre appliance VPN. (De nombreuses appliancesVPN limitent le nombre de caractères de l'OID à 30.)



27

Nom du sujet

Dans l'onglet Nom du sujet,

• assurez-vous que la caseNom d'utilisateur principal est cochée.

• Si vos comptes utilisateurs sont définis dans Active Directory sans comptes de messagerie, assurez-vousque ces deux cases ne sont PAS cochées :

• Inclure le nom de l'e-mail dans le nom de substitution du sujet

• Nom de l'e-mail



28

Onglet Sécurité

Dans l'onglet Sécurité, assurez-vous que tous les groupes d'utilisateurs auxquels vous souhaitez donner accèsau certificat VPN disposent des autorisations suivantes :

• Lire

• Inscrire

3.5 Configuration de l'appliance VPN

Pour utiliser l'action de connexion au VPN, vous devez configurer votre appliance VPN de sorte qu'elle demandedes certificats à la place des mots de passe. Lorsque vous définissez les détails de certificat dans l'appliance VPN,vérifiez que vous utilisez l'OID que vous avez créé spécifiquement pour l'action de connexion au VPN. Pourobtenir des instructions sur la définition de votre appliance VPN afin qu'elle utilise des certificats, reportez-vousà la documentation fournie avec votre appliance VPN.



29

3.6 Génération d'un certificat pour le client

Chaque compte utilisateur qui va utiliser l'action de connexion au VPN requiert un certificat, basé sur le modèlede connexion au VPN, à installer dans le magasin de certificats de l'utilisateur. Au cours de l'installationd'Intel® Authenticate, un utilitaire du nom de CertificateUtility.exe est installé sur chaque plate-forme. L'utilitaire est installé dans le dossier suivant : C:\Program Files\Intel\Intel(R) Identity

Protection Technology with PKI. Vous pouvez utiliser cet utilitaire pour générer le certificat sur lesplates-formes clients.

Voici la syntaxe permettant de créer un certificat de connexion au VPN :

CertificateUtility.exe -c create_cert [-a <action name>] [-u <ca_url>]

[-t <template name>] [-i <yes|no>]

Indicateur Détails

-a <action_name> Valeurs valides lors de la génération d'un certificat de connexion au VPN :

• Unattended_VPNLogin : l'utilisateur n'est pas tenu de fournir une entréelorsque le certificat est installé. Cette option vous permet égalementd'installer le certificat sur la plate-forme avant que l'utilisateur n'ait inscrit sesfacteurs.

• VPNLogin : pendant l'installation du certificat, l'utilisateur doit s'authentifierà l'aide des facteurs définis pour l'action de connexion au VPN. Sil'authentification échoue, le certificat ne sera pas installé. Si vous utilisez cetteoption, vous ne pouvez pas installer le certificat tant que l'utilisateur n'a pasinscrit ses facteurs de connexion au VPN.

Remarque : la valeur que vous définissez dans cet indicateur dépend de ce quevous avez défini dans l'action de connexion au VPN de la stratégied'Intel® Authenticate. Pour utiliser l'option Unattended_VPNLogin, vousdevez d'abord activer cette option dans la stratégie.

-u <ca_url> L'URL de l'autorité de certification. Si elle n'est pas fournie, l'outil chercheratoutes les autorités de certification du domaine et essaiera d'envoyer unedemande à chacune d'entre elles.

-t <template_name> Le nom du modèle de certificat VPN. Vérifiez que le nom saisi est identique à celuique vous avez défini dans le modèle de certificat. Si vous n'indiquez pas de nom,la valeur par défaut pour la connexion au VPN est la suivante :IntelAuthenticateVPNLogin.

-i <yes|no> Définit si l'utilisateur doit s'authentifier lorsque le certificat est utilisé. Leparamètre par défaut est no.Remarque : lors de la connexion au VPN, vous devez toujours définir ceparamètre sur yes.



30

Exemple 1 : génération d'un certificat ne nécessitant pas l'intervention de l'utilisateur lors del'installation :

CertificateUtility.exe -c create_cert -a Unattended_VPNLogin -t <My_VPN_Template>

-i yes

Exemple 2 : génération d'un certificat nécessitant l'authentification de l'utilisateur lors del'installation :

CertificateUtility.exe -c create_cert -a VPNLogin -t <My_VPN_Template> -i yes



31

4 Configuration de la connexion par carte à puce

Remarque :

• Les instructions décrites dans cette section ne sont nécessaires que si vous voulez utiliser l'option Carteà puce virtuelle de l'action Connexion au SE (voir Connexion au SE page 8).

• Voir également Éléments à prendre en considération lors de l'utilisation de l'option Carte à puce pagesuivante.

Pour utiliser l'option Carte à puce virtuelle, deux possibilités s'offrent à vous :

• Utiliser l'option intégrée par défaut.

• Utiliser un gestionnaire de certificats externe. Intel® Authenticate prend actuellement en chargel'intégration avec Intercede MyID*.

Le tableau suivant décrit les options et les opérations requises pour les mettre en œuvre.

Option Description

Option intégrée Il s'agit de l'option par défaut. Lorsque cette option est utilisée, tous les composants requissur la plate-forme client sont installés automatiquement par Intel® Authenticate. Parailleurs, la gestion des certificats est prise en charge par Intel® Authenticate.

• Installation sur l'AC : vous devez définir un modèle spécifique sur votre autorité decertification Microsoft (voir Définir le modèle de certificat d'autorité de certification pourcarte à puce page suivante).

• Installation sur la plateforme client : lors de l'installation d'Intel® Authenticatesur les plates-formes client, Intel® Authenticate vérifie si le logiciel client IntercedeMyID*est installé. Si ce n'est pas le cas, Intel® Authenticate installe les composantsnécessaires pour l'option Carte à puce. Cela comprend une entrée de carte à puce dansle Gestionnaire de périphériques, ainsi que les logiciels et les pilotes requis. Le serviceIntel® Authenticate demande et installe ensuite automatiquement un certificat pourl'authentification par carte à puce en fonction du modèle que vous avez défini sur votreAC. Par ailleurs, 10 jours avant la date d'expiration du certificat, Intel® Authenticaterenouvelle automatiquement ce dernier. Toutes ces actions sont réalisées sans lamoindre intervention de la part de l'utilisateur.

Gestionnaire decertificatsexterne

Pour mieux contrôler les certificats utilisés pour l'authentification par carte à puce, vouspouvez effectuer une intégration avec un gestionnaire de certificats externe.

• Installation sur l'AC : vous devez définir un modèle spécifique conformément auxinstructions de la documentation de MyID.

• Installation sur la plateforme client : vous devez installer une version prise encharge du logiciel client Intercede MyID* sur vos plates-formes client. Si le programmed'installation d'Intel® Authenticate détecte que le logiciel client MyID* est installé,l'option intégrée n'est pas activée. Au lieu de cela, l'inscription et la gestion du certificatde carte à puce sont entièrement prises en charge par MyID. Pour plus d'informations,reportez-vous à la documentation de MyID.

Remarque : pour utiliser cette option, il est recommandé d'installer MyID sur la plate-forme client avant d'installer Intel® Authenticate.



32

4.1 Éléments à prendre en considération lors del'utilisation de l'option Carte à puce

Voici quelques points importants à avoir à l'esprit avant de mettre en œuvre l'option Carte à puce :

• Lorsque l'option Carte à puce est mise en œuvre, le processus de connexion peut prendre un peu plus detemps (une ou deux secondes de plus). En effet, l'authentification à l'aide de certificats implique un plusgrand nombre d'actions que la simple vérification du mot de passe fourni.

• La toute première connexion à l'aide de l'option Carte à puce prend plus de temps que toutes lesconnexions suivantes (environ 10 secondes de plus). En effet, plusieurs actions nécessaires pourconfigurer et confirmer l'approbation sont réalisées pendant la première connexion. Ces actionssupplémentaires concernent uniquement la toute première connexion, lorsque le certificat est utilisépour la première fois.

• Parfois, après avoir changé d'état d'alimentation, la connexion peut prendre entre 7 et 15 secondes.

• Dans certains environnements réseau, lorsque l'authentification basée sur des certificats est mise enœuvre, des messages invitant les utilisateurs à fournir leurs informations d'identification peuvent parfoiss'afficher :

La plupart du temps, l'utilisateur peut ignorer ce message. Néanmoins, si l'accès au réseau est vraimentbloqué, l'utilisateur doit verrouiller l'ordinateur et se connecter à nouveau à l'aide d'Intel® Authenticate.

Généré par Windows*, ce message indique généralement que Windows* considère qu'un ticketd'authentification a expiré et qu'une nouvelle authentification est donc nécessaire. Si ces messagess'affichent dans votre environnement réseau, vérifiez les paramètres de configuration d'ActiveDirectory*. Attardez-vous tout particulièrement sur les paramètres de configuration de Kerberos* dansvotre réseau. Pour plus d'informations, reportez-vous à la documentation Microsoft* appropriée.

4.2 Définir le modèle de certificat d'autorité decertification pour carte à puce

Remarque :

Les instructions décrites dans cette section ne s'appliquent que si vous prévoyez d'utiliser l'option« intégrée » (voir Configuration de la connexion par carte à puce page précédente). Si vous optez pour ungestionnaire de certificat externe, reportez-vous à la documentation de MyID pour obtenir les instructionsrelatives à la définition du modèle.



33

Pour créer un modèle de certificat pour carte à puce avec l'option « intégrée » :

1. Sur le serveur de votre autorité de certification, sélectionnezDémarrer > Exécuter. La fenêtre Exécuters'affiche.

2. Saisissezmmc, puis cliquez surOK. La fenêtre Console MMC s'affiche.

3. Si le plug-in Modèles de certificats n'est pas installé, effectuez les étapes suivantes :

a. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtreAjout/Suppression d'un composant logiciel enfichable autonome s'affiche.

b. Cliquez sur Ajouter. La fenêtre Ajouter un composant logiciel enfichable autonome s'affiche.

c. Dans la liste des composants logiciels enfichables disponibles, sélectionnezModèles de certificats,puis cliquez sur Ajouter.

d. Cliquez sur OK. La fenêtre Ajouter/Supprimer un composant logiciel enfichable se referme et lecomposant logiciel enfichable Modèles de certificats est ajouté à l'arborescence Racine de la console.

4. Dans la liste des composants logiciels enfichables disponibles, sélectionnezModèles de certificats, puiscliquez sur Ajouter.

5. À la racine de la console MMC, double-cliquez surModèles de certificats. Tous les modèles de certificatsdisponibles s'affichent.

6. Cliquez avec le bouton droit sur le modèle Connexion par carte à puce et sélectionnezDupliquer lemodèle. Un nouveau modèle de certificat est ajouté à la liste.



34

7. Cliquez avec le bouton droit sur le nouveau modèle de certificat et sélectionnez Propriétés. La fenêtrePropriétés du nouveau modèle s'ouvre.

8. Sélectionnez l'onglet Compatibilité, et dans la liste déroulante Autorité de certification, sélectionnezWindows Server 2003.

9. Sélectionnez l'onglet Général :

a. Renommez le modèle comme suit :Connexion au SE par carte à puce Intel Authenticate.

b. Définissez la période de validité en fonction de la durée requise.

10. Cliquez sur l'onglet Traitement de la demande :

a. Dans l'option Objectif, sélectionnez Signature et Connexion par carte à puce.

b. Cliquez surDemander à l'utilisateur lors de l'inscription.

11. Cliquez sur l'onglet Chiffrement :

a. Définissez la taille de clé minimale sur 2048.

b. Cliquez sur Les demandes doivent utiliser l'un des fournisseurs suivants, puis sélectionnezFournisseur de services de chiffrement Microsoft pour carte à puce.

12. Cliquez sur l'onglet Sécurité. Ajoutez le groupe de sécurité auquel vous voulez accorder l'accès àl'inscription. Par exemple, pour accorder l'accès à tous les utilisateurs, sélectionnez le groupe Utilisateursauthentifiés, puis Autorisations d'inscription.

13. Cliquez surOK pour finaliser vos modifications et créer le nouveau modèle. Votre nouveau modèle s'affichedans la listeModèles de certificats.



35

14. Si le plug-in Autorité de certification n'est pas installé, effectuez les étapes suivantes :

a. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtreAjout/Suppression d'un composant logiciel enfichable autonome s'affiche.

b. Cliquez sur Ajouter. La fenêtre Ajouter un composant logiciel enfichable autonome s'affiche.

c. Dans la liste des composants logiciels enfichables disponibles, sélectionnezAutorité de certification,puis cliquez sur Ajouter.

d. Cliquez sur OK. La fenêtre Ajouter/Supprimer un composant logiciel enfichable se referme et lecomposant logiciel enfichable Autorité de certification est ajouté à l'arborescence Racine de la console.

15. Le message invitant à sélectionner l'ordinateur que ce composant logiciel enfichable va gérer s'affiche.Sélectionnez l'option de sélection de l'ordinateur sur lequel se trouve l'autorité de certification,probablement Ordinateur local.

16. Dans le volet gauche de la console MMC, agrandissezAutorité de certification (local), puis votreautorité de certification dans la liste Autorité de certification.



36

17. Cliquez avec le bouton droit surModèles de certificats, cliquez surNouveau, puis surModèle decertificat à délivrer.

18. Dans la liste, sélectionnez le nouveau modèle créé (Connexion au SE par carte à puce IntelAuthenticate), puis cliquez surOK.

Remarque :

La réplication de votre modèle sur tous les serveurs et son affichage dans cette liste peuvent prendre uncertain temps.

19. Une fois la réplication terminée, dans la console MMC, cliquez avec le bouton droit sur la liste Autorité decertification, cliquez sur Toutes les tâches, puis sur Arrêter le service. Ensuite, cliquez à nouveausur le nom de l'autorité de certification avec le bouton droit de la souris, cliquez sur Toutes les tâches,puis cliquez surDémarrer le service.



37

5 Préparation à l'intégration

Cette section décrit les tâches préalables que vous devez accomplir avant d'effectuer une intégration avec GPO.

5.1 Préparation d'un certificat de signature numérique

Toutes les stratégies Intel® Authenticate doivent être signées par un certificat de signature numérique. Lasignature de la stratégie est une étape obligatoire dans le plug-in Profile Editor pour pouvoir enregistrer lastratégie. Si vous ne disposez pas d'un certificat valide, vous ne serez pas autorisé à enregistrer la stratégie. Ilest conseillé de préparer un certificat qui ne sera utilisé que par Intel® Authenticate. Une fois que vous avezobtenu un certificat pour Intel® Authenticate, vous devez l'installer sur l'ordinateur sur lequel vous envisagezd'exécuter Profile Editor.

Exigences en matière de certificat

• Le certificat doit être émis par une autorité de certification (AC) approuvée et contenir une clé privéevalide.

• Il n'est PAS nécessaire que le certificat soit un certificat de signature de code.

• La taille de la clé doit être de 2 048 ou 4 096 bits (aucune autre taille de clé n'est prise en charge).

• La clé doit être générée par un fournisseur de services de chiffrement (CSP). Il est conseillé d'utiliser unCSP qui prend en charge SHA256. Si vous utilisez un CSP qui ne prend pas en charge SHA256, vousdevez vous assurer que la clé peut être exportée.

• Les clés générées par un fournisseur de stockage de la clé (KSP) ne sont pas prises en charge.

• Assurez-vous d'avoir installé le certificat dans le magasin de l'ordinateur ou le magasin de certificats del'utilisateur qui exécute Profile Editor. Seuls les certificats installés dans ces magasins de certificatsseront affichés comme disponibles dans le plug-in Profile Editor. Si vous installez le certificat dans lemagasin de l'ordinateur, vous devez exécuter Profile Editor avec des privilèges d'administrateur. Enoutre, vous devez installer le certificat racine dans le magasin de certificats racines de confiance.

Obtention d'un certificat

Vous pouvez utiliser des certificats de signature numérique générés par une AC externe ou par une AC interne(disponible sur votre réseau). Pour obtenir un certificat, vous devez envoyer une demande de signature decertificat (CSR) à l'AC. Le processus d'obtention d'un certificat varie selon le fournisseur et dépasse le cadre duprésent guide.

Remarque :

Le bouton Sélectionner le certificat de signature dans Profile Editor affiche la liste des certificats de signaturedéjà installés sur l'ordinateur utilisé pour exécuter Profile Editor. À des fins de test, vous pouvez utilisern'importe quel certificat signalé comme valide (dans la colonne Valide). S'il n'y a aucun certificat valide, vouspouvez créer un certificat test en suivant la procédure décrite ci-dessous.



38

Création d'un certificat test

À partir de PowerShell version 5, vous pouvez utiliser la commande New-SelfSignedCertificate pourcréer un certificat. (PowerShell 5 est inclus par défaut dansWindows 10.) Cette procédure permet de créer uncertificat test et de l'installer dans le magasin de certificats personnels de l'utilisateur actuel.

Pour créer et installer un certificat test :

1. Sélectionnez l'ordinateur sur lequel vous comptez exécuter Profile Editor et créer la stratégied'Intel® Authenticate.

2. Connectez-vous à l'ordinateur avec un compte Administrateur.

3. Ouvrez une invite de commande et exécutez la commande suivante :

New-SelfSignedCertificate –Subject “CN=TestCert” –KeyUsageProperty All

–KeyAlgorithm RSA –KeyLength 2048 -KeyUsage DigitalSignature

–Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"

–CertStoreLocation "Cert:\CurrentUser\My"

Dans cet exemple, un certificat nommé « TestCert » est installé dans le magasin de certificats personnels.Vous pouvez utiliser n'importe quel nom pour votre propre certificat test. Une fois l'exécution de lacommande terminée, vous devez copier manuellement le certificat dans le magasin de certificats racinesde confiance de l'utilisateur actuel. La suite de la procédure présente la marche à suivre à l'aide de laconsole MMC (Microsoft Management Console).

4. Cliquez surDémarrer, saisissezmmc.exe, puis appuyez sur <Entrée>. La fenêtre de MicrosoftManagement Console s'affiche.

5. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtre Ajouter ousupprimer des composants logiciels enfichables s'affiche.

6. Dans la liste des composants logiciels enfichables disponibles (dans le volet de gauche de la fenêtre),sélectionnez Certificats, puis cliquez sur Ajouter. La fenêtre Composant logiciel Certificats s'affiche.

7. SélectionnezMon compte d'utilisateur, puis cliquez sur Terminer. La fenêtre Composant logicielCertificats se ferme et le composant logiciel enfichable « Certificats - Utilisateur actuel » est ajouté à la listedes composants logiciels enfichables sélectionnés.

8. Cliquez sur OK. La fenêtre Ajouter ou supprimer des composants logiciels enfichables se ferme et lescomposants logiciels enfichables sont ajoutés à l'arborescence racine de la console (dans le volet de gauchede la fenêtre).

9. Dans le volet de gauche, sélectionnez Certificats -Utilisateur actuel > Personnel > Certificats.

10. Dans le volet de droite, cliquez avec le bouton droit sur TestCert, puis sélectionnez Copier.

11. Dans le volet de gauche, cliquez avec le bouton droit sur Certificats -Utilisateur actuel > Autorités decertification racines de confiance > Certificats, puis sélectionnez Coller.

12. Un message d'avertissement de sécurité s'affiche. Cliquez surOui. Le certificat TestCert est copié dans lemagasin Autorités de certification racines de confiance.

13. Fermez la fenêtre de Microsoft Management Console. Le certificat test est maintenant prêt à être utilisé.Lorsque vous exécuterez Profile Editor sur cet ordinateur, le certificat test apparaîtra dans la liste descertificats valides.



39

5.2 Création d'une stratégie

Les stratégies pour Intel® Authenticate sont créées à l'aide du plug-in Profile Editor d'Intel® Authenticate. Ceplug-in est chargé dans le composant Profile Editor d'Intel® SCS. Une fois chargé, le plug-in Profile Editord'Intel® Authenticate affiche les paramètres pris en charge. Pour accéder aux descriptions de ces paramètres,cliquez sur l'icône d'aide du plug-in.

Remarque :

Par souci de commodité, le package d'intégration GPO contient le composant Profile Editor d'Intel® SCSversion 11.0, préchargé avec le plug-in Profile Editor d'Intel® Authenticate. (Dans le cadre de l'intégrationavec le GPO, aucun autre composant d'Intel® SCS n'est requis.)

Pour créer une stratégie :

1. Dans le dossier ProfileEditor, cliquez avec le bouton droit sur le fichier ProfileEditor.exe, puissélectionnez Exécuter en tant qu'administrateur.

2. Dans le volet de gauche, sélectionnez le plug-in Intel® Authenticate.

3. Dans le volet de droite, cliquez sur Create a New Profile (Créer un nouveau profil). Un nouveauprofil vide s'ouvre.

4. Dans la section Signing Certificate (Certificat de signature), cliquez sur Select Signing Certificate(Sélectionner le certificat utilisé pour la signature) et sélectionnez un certificat qui sera utilisé pourla signature de la stratégie (voir Préparation d'un certificat de signature numérique page 37).

Remarque :

La liste répertorie tous les certificats trouvés dans les magasins de certificats appropriés. Toutefois, vousne pouvez sélectionner un certificat que s'il est marqué comme valide (dans la colonne Valid (Valide)). Sile certificat s'affiche comme non valide car la chaîne ne peut pas être validée, essayez de connecter laplate-forme à Internet ou installer manuellement les certificats manquants dans la chaîne.

5. Définissez les paramètres à inclure dans cette stratégie. La plupart des paramètres comprennent une info-bulle avec leur explication. Pour en savoir plus sur les paramètres, cliquez sur l'icône d'aide dans la barred'outils du plug-in.

Remarque :

Sur les systèmes qui ne sont pas des systèmes intégrant Intel® vPro™, le nombre de facteursobligatoires que vous pouvez définir pour chaque action est limité à deux. Par conséquent, l'applicationd'une stratégie contenant une action avec plus de deux facteurs obligatoires échouera. Cette restrictionne s'applique pas aux systèmes intégrant Intel® vPro™. Sur les systèmes intégrant Intel® vPro™,vous pouvez définir autant de facteurs obligatoires que vous le souhaitez pour chaque action.

6. Dans cette barre d'outils, cliquez sur Save (Enregistrer) ou Save As (Enregistrer sous). La fenêtreSave As (Enregistrer sous) s'affiche.

7. Indiquez le nom et l'emplacement où vous voulez enregistrer la stratégie, puis cliquez sur Save(Enregistrer). La fenêtre Save As (Enregistrer sous) se ferme et le profil est enregistré. La stratégie resteouverte dans le plug-in Profile Editor et son nom s'affiche dans la barre d'outils du plug-in.



40

Remarque :

Le fichier XML de la stratégie peut désormais être utilisé. Plus tard, vous devrez déplacer ce fichier XML dansle dossier partagé que vous avez créé (voir Création d'un dossier partagé page 42).



41

6 Intégration avec des GPO

Cette section décrit l'utilisation des contenus du package d'intégration GPO dans le cadre de l'intégrationd'Intel® Authenticate avec des GPO. Une fois l'intégration terminée, vous pouvez utiliser les GPO pourconfigurer et gérer Intel® Authenticate.

Remarque :

• Les procédures de cette section permettent de créer des GPO à l'aide de Windows* Server 2008 R2. Lesautres versions peuvent présenter des différences au niveau des étapes requises ou de l'interfaceutilisateur graphique. Pour en savoir plus sur les différences des versions, reportez-vous à ladocumentation de Microsoft.

• Les procédures de cette section utilisent l'emplacement par défaut du système d’exploitation (sur lelecteur C). Si l'installation Windows de vos plates-formes client se situe à un autre emplacement,assurez-vous d'adapter les procédures en conséquence.

6.1 Flux de déploiement à l'aide d'un GPO

Voici les étapes principales à suivre pour déployer et configurer Intel® Authenticate à l'aide d'un GPO :

1. Assurez-vous que votre serveur est pris en charge (voir Configuration du serveur ci-dessous).

2. Créez une stratégie pour Intel® Authenticate (voir Création d'une stratégie page 39).

3. Créez un dossier partagé sur le serveur pour les fichiers qui seront téléchargés sur les plates-formes client(voir Création d'un dossier partagé page suivante).

4. Créez deux filtres WMI qui seront utilisés par les GPO (voir Création de filtres WMI pour les GPO page 43).

5. Créez un GPO pour identifier les plates-formes de votre organisation qui prennent en chargeIntel® Authenticate (voir Création d'un GPO pour la découverte d'Intel® Authenticate page 45).

6. Créez un GPO pour installer Intel® Authenticate sur les plates-formes (voir Création d'un GPO pourl'installation d'Intel® Authenticate page 49).

7. Créez un GPO pour mettre en œuvre la stratégie Intel® Authenticate sur les plates-formes (voir Créationd'un GPO pour la mise en œuvre de la stratégie page 53).

8. Une fois la stratégie appliquée sur une plate-forme client, l'utilisateur peut inscrire les facteurs que vousavez définis dans la stratégie et commencer à utiliser Intel® Authenticate. Pour plus d'informations sur leprocessus d'inscription, reportez-vous au guide d'inscription inclus dans le package d'intégration.

6.2 Configuration du serveur

Le serveur que vous utilisez pour l'intégration d'Intel® Authenticate au GPO doit être un contrôleur de domaineexécutant l'un des systèmes d'exploitation suivants :

• Windows* Server 2012 R2

• Windows Server 2012

• Windows Server 2008 R2



42

6.3 Création d'un dossier partagé

Le dossier HostFiles situé à la racine de ce package contient les programmes d'installation, les scripts et lesfichiers de commandes qui permettront de configurer et de gérer Intel® Authenticate. Ces fichiers doivent êtreplacés dans un dossier partagé sur le serveur que vous voulez utiliser pour gérer un GPO pourIntel® Authenticate. Les plates-formes client doivent pouvoir accéder au dossier partagé sur le serveur.Affectez les autorisations de lecture pour le dossier partagé aux ordinateurs du domaine.

Ce tableau décrit le contenu principal du dossier HostFiles.

Elément Description

Authenticate_Check.exe Ce fichier exécutable vérifie si la plate-forme répond à toutes lesconditions requises pour l'installation d'Intel® Authenticate (voirConfiguration requise pour l'installation page 14).

Setup_x64.exe Le programme d'installation pour les systèmes 64 bits.

Setup_x86.exe Le programme d'installation pour les systèmes 32 bits.

CopyFilesLocally.bat Ce fichier de commandes copie le contenu du dossier partagé sur leserveur vers un dossier temporaire sur la plate-forme client. Lesfichiers de commandes et les scripts restants sont ensuite exécutésen local sur la plate-forme client. Le paramètre par défaut consiste àcopier les fichiers dans C:\Temp. Vous pouvezmodifier ce paramètresi vous voulez placer les fichiers dans un emplacement différent sur laplate-forme client.

DetectIntelAuthenticate.bat Ce fichier de commandes est utilisé pour s'assurer que le VBSriptDetectIntelAuthenticate.vbs est exécuté à partir du moteurcscript.

DetectIntelAuthenticate.vbs Ce VBScript exécute l'outil Authenticate_Check.exe etenregistre la sortie dans l'espace de noms CIMv2 sur la plate-formeclient. D'autres outils et scripts peuvent ensuite interroger cesdonnées par le biais de requêtes WQL. Il est conseillé d'exécuter cescript régulièrement afin de mettre à jour l'état des entréesIntel Authenticate dans l'espace de noms CIMv2.

RunInstaller.ps1 Ce script PowerShell vérifie s'il s'agit du système 32 ou 64 bits, puisexécute la version correspondante du programme d'installation.

EnforcePolicy.ps1 Ce script PowerShell met en œuvre la stratégie Intel Authenticate surla plate-forme client. Quelques minutes plus tard, l'application degestion des facteurs s'ouvre afin que l'utilisateur puisse y inscrire lesfacteurs définis dans la stratégie.

ResetIA.ps1 Ce script PowerShell supprime tous les paramètres de stratégie ettoutes les données d'inscription Intel Authenticate de la plate-formeclient.



43

Remarque :

Veillez à y placer également le fichier XML de stratégie que vous avez créé dans le dossier partagé.

6.4 Création de filtres WMI pour les GPO

Certains GPO d'Intel Authenticate utilisent des filtres WMI.

• Le filtre ci-dessous vérifie si Intel® Authenticate est pris en charge par la plate-forme :SELECT * FROM Intel_Authenticate WHERE Supported = "true"

• Le filtre suivant vérifie si la plate-forme prend en charge Intel® Authenticate :SELECT * FROM Intel_Authenticate WHERE isClientInstalled ="true" AND isEngineInstalled = "true"

Pour créer un filtre WMI :

1. Ouvrez la fenêtre Gestion des stratégies de groupe. (Appuyez sur les touchesWindows + R, dans la boîte dedialogue Exécuter, saisissez gpmc.msc et appuyez sur Entrée.)

2. Effectuez ces étapes pour créer un filtre WMI qui permet de vérifier si Intel® Authenticate est pris encharge par la plate-forme client :

a. Dans l'arborescence Gestion des stratégies de groupe, sélectionnez l'unité d'organisation ou le domaineapproprié, cliquez avec le bouton droit sur Filtres WMI et sélectionnezNouveau. La fenêtre Nouveaufiltre WMI s'affiche.

b. Saisissez un nom descriptif pour ce filtre WMI (par exemple, Intel® Authenticate est-il pris en charge),puis cliquez sur Ajouter. La fenêtre Requête WMI s'affiche.

c. Dans le champ Requête, définissez la requête suivante :SELECT * FROM Intel_Authenticate WHERE Supported ="true"

d. Cliquez surOK et sur Enregistrer.



44

3. Effectuez ces étapes pour créer un filtre WMI qui permet de vérifier si Intel Authenticate est pris en chargesur la plate-forme client :

a. Dans le même domaine ou la même unité d'organisation où vous avez créé le premier filtre, cliquezavec le bouton droit sur Filtres WMI et sélectionnezNouveau. La fenêtre Nouveau filtre WMIs'affiche.

b. Saisissez un nom descriptif pour ce filtre WMI (par exemple, Intel® Authenticate est-il installé), puiscliquez sur Ajouter. La fenêtre Requête WMI s'affiche.

c. Dans le champ Requête, définissez la requête suivante :SELECT * FROM Intel_Authenticate WHERE isClientInstalled ="true" AND isEngineInstalled = "true"

d. Cliquez surOK et sur Enregistrer.



45

6.5 Création d'un GPO pour la découverted'Intel® Authenticate

Le premier GPO que vous devez créer permet de « découvrir » si la plate-forme répond à toutes les conditionsrequises pour Intel® Authenticate. Le tableau suivant décrit les éléments que vous devez définir dans ce GPO.

Elément Détails

Tâche 1 Exécutez le fichier de commandes CopyFilesLocally.bat.

Tâche 2 Exécutez le fichier de commandes DetectIntelAuthenticate.bat.

Pour créer le GPO de « découverte » :

1. Ouvrez la fenêtre Gestion des stratégies de groupe.

2. Dans l'arborescence Gestion des stratégies de groupe, cliquez avec le bouton droit sur l'unité d'organisationou le domaine approprié, puis sélectionnez Créer un objet GPO dans ce domaine, et le lier ici. Lafenêtre Nouvelle action s'affiche.

3. Saisissez un nom descriptif pour ce GPO (par exemple, Découvrir Intel® Authenticate), puis cliquez surOK.

4. Cliquez avec le bouton droit sur le GPO que vous venez de créer et sélectionnezModifier. Fermez la fenêtreEditeur de gestion des stratégies de groupe.



46

5. Dans l'arborescence, sélectionnez Configuration ordinateur > Préférences> Paramètres duPanneau de configuration, cliquez avec le bouton droit sur Tâches planifiées et sélectionnezNouvelle > Tâche planifiée (au minimum Windows* 7). (DansWindows Server 2008 R2,sélectionnez Tâche planifiée (Windows* Vista et version ultérieure)). La fenêtre Nouvellespropriétés de tâche s'affiche.

6. Sélectionnez l'onglet Général et effectuez les étapes suivantes :

a. Dans la liste déroulante Action, sélectionnezRemplacer.

b. Dans le champNom, saisissez un nom descriptif pour cette tâche (par exemple, Copier les fichiers enlocal).

c. Cliquez surModifier un utilisateur ou un groupe, dans le champ de nom d'objet, saisissezSYSTEM, puis cliquez surOK. (Le champ de compte utilisateur affiche désormais la valeur « NTAuthority\System ».)

d. Sélectionnez Exécuter même si aucun utilisateur n'a ouvert de session.

(Une fenêtre s'affiche et vous invite à saisir le mot de passe du compte système. Cliquez sur Annulerpour fermer cette fenêtre.)

e. Cochez les deux cases suivantes :

• Ne pas stocker le mot de passe. Cette tâche n'aura accès qu'aux ressources locales.

• Exécuter avec les autorisations maximales



47

7. Sélectionnez l'onglet Déclencheurs et effectuez les étapes suivantes :

a. Cliquez surNouvelle. La fenêtre Nouveau déclencheur s'affiche.

b. Dans la liste déroulante Lancer la tâche, sélectionnez Lors de la création/modification de latâche, puis cliquez surOK.

8. Sélectionnez l'onglet Actions et effectuez les étapes suivantes :

a. Cliquez surNouvelle. La fenêtre Nouvelle action s'affiche.

b. Dans la liste déroulante Action, sélectionnezDémarrer un programme.

c. Dans le champ Programme/script, entrez le chemin UNC (Universal Naming Convention) du fichierCopyFilesLocally.bat situé dans le dossier partagé que vous avez préparé.

d. Cliquez surOK deux fois de suite pour fermer les fenêtres Nouvelle action et Nouvelle tâche.



48

9. Répétez les étapes 5 à 8 pour créer une tâche permettant d'exécuter l'outil Pre-Check Tool afin dedéterminer si la plate-forme prend en charge Intel® Authenticate. Lors de la création de cette tâche,utilisez les paramètres spécifiques suivants :

• Utilisez un nom descriptif pour cette tâche (par exemple, Détecter Intel Authenticate).

• Dans le champ Programme/script de la fenêtre Nouvelle action, saisissezC:\temp\DetectIntelAuthenticate.bat.

• Dans le champDémarrer dans de la fenêtre Nouvelle action, saisissez C:\Temp.(Si vous avezmodifié l'emplacement des dossiers dans le fichier CopyFilesLocally.bat, modifiezles chemins d'accès en conséquence.)

Une fois terminé, vous aurez deux tâches définies pour le GPO de découverte.

10. Fermer la fenêtre Editeur de gestion des stratégies de groupe.



49

6.6 Création d'un GPO pour l'installationd'Intel® Authenticate

Le deuxième GPO que vous devez créer permet d'installer Intel® Authenticate lorsque la plate-forme valide lavérification des conditions requises exécutée par le GPO de découverte. Ce GPO sera déployé uniquement surles plates-formes client où Intel® Authenticate est pris en charge. Le tableau suivant décrit les éléments quevous devez définir dans ce GPO.

Elément Détails

Filtre WMI SELECT * FROM Intel_Authenticate WHERE Supported ="true"

Tâche 1 Exécutez le script PowerShell RunInstaller.ps1.

Tâche 2 Exécutez le fichier de commandes DetectIntelAuthenticate.bat.

Pour créer le GPO d'« installation » :



3. Saisissez un nom descriptif pour ce GPO (par exemple, Installer Intel® Authenticate), puis cliquez surOK.

4. Dans l'arborescence, sélectionnez le GPO que vous avez créé, et dans la liste déroulante de la sectionFiltrage WMI, sélectionnez le filtre WMI « Intel Authenticate est-il pris en charge » (voir Création de filtresWMI pour les GPO page 43). Dans la boîte de dialogue qui s'affiche, cliquez surOui.

5. Cliquez avec le bouton droit sur le GPO, puis sélectionnezModifier. Fermez la fenêtre Editeur de gestiondes stratégies de groupe.




50



b. Dans le champNom, saisissez un nom descriptif pour cette tâche (par exemple, InstallerIntel Authenticate).

c. Cliquez surModifier un utilisateur ou un groupe, dans le champ de nom d'objet, saisissezSYSTEM, puis cliquez surOK. Le champ de compte utilisateur affiche désormais la valeur « NTAuthority\System ».








b. Dans la liste déroulante Lancer la tâche, sélectionnez Lors de la création/modification de latâche.

c. Cochez la case Reporter la tâche pendant, puis, dans la liste déroulante, sélectionnez 30 minutes.

d. Cliquez sur OK.



51




c. Dans le champ Programme/script, saisissezC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

d. Dans le champ Ajouter un argument, saisissez -executionpolicy bypass

c:\Temp\RunInstaller.ps1.

e. Dans le champDémarrer dans, saisissez C:\Temp.

f. Cliquez surOK deux fois de suite pour fermer les fenêtres Nouvelle action et Nouvelle tâche.



52

10. Répétez les étapes 6 à 9 pour créer une tâche permettant d'exécuter l'outil Pre-Check Tool à nouveau unefois l'installation terminée. Cette tâche est indispensable pour mettre à jour les entrées de l'espace denoms CIMv2 sur la plate-forme client avec l'information qu'Intel Authenticate est désormais installé. Lorsde la création de cette tâche, utilisez les paramètres spécifiques suivants :

• Utilisez un nom descriptif pour cette tâche (par exemple, Mettre à jour les données du filtre WMI).

• Dans la section Paramètres avancés de l'onglet Déclencheurs, cochez la case Reporter la tâchependant et sélectionnez 30 minutes.

• Dans le champ Programme/script de la fenêtre Nouvelle action, saisissezC:\temp\DetectIntelAuthenticate.bat.

• Dans le champDémarrer dans de la fenêtre Nouvelle action, saisissez C:\Temp.(Si vous avezmodifié l'emplacement des dossiers dans le fichier CopyFilesLocally.bat, modifiezles chemins d'accès en conséquence.)

Une fois terminé, vous aurez deux tâches définies pour le GPO d'installation.




53

6.7 Création d'un GPO pour la mise en œuvre de lastratégie

Le troisième GPO que vous devez créer permet de mettre en œuvre la stratégie Intel® Authenticate. Ce GPOsera déployé uniquement sur les plates-formes client où Intel® Authenticate est déjà installé. Le tableausuivant décrit les éléments que vous devez définir dans ce GPO.

Elément Détails

Filtre WMI SELECT * FROM Intel_Authenticate WHERE isClientInstalled ="true" ANDisEngineInstalled = "true"

Tâche Exécutez le script PowerShell EnforcePolicy.ps1.

Remarque :

Il est recommandé de planifier des mises en application de stratégie régulières pour veiller à ce que lastratégie de votre entreprise ne soit pas remplacée par une stratégie signée par un autre certificat. (Leremplacement de la stratégie n'est possible que si l'utilisateur dispose de droits d'administration sur la plate-forme et peut réinitialiser la stratégie.) Le script EnforcePolicy.ps1 inclut un mécanisme permettant dedétecter si la stratégie a été remplacée par une autre signée par un certificat différent. Si un certificat designature distinct est détecté, le script réinitialise automatiquement la stratégie. L'utilisateur doit alorsréinscrire ses facteurs.

Création d'un GPO pour la mise en œuvre de la stratégie



3. Saisissez un nom descriptif pour ce GPO (par exemple, Mettre en œuvre la stratégie Intel® Authenticate),puis cliquez surOK.

4. Dans l'arborescence, sélectionnez le GPO que vous avez créé et, dans la liste déroulante de la sectionFiltrage WMI, sélectionnez le filtre WMI « Intel Authenticate est-il installé » (voir Création de filtres WMIpour les GPO page 43). Dans la boîte de dialogue qui s'affiche, cliquez surOui.




54




b. Dans le champNom, saisissez un nom descriptif pour cette tâche (par exemple, Déploiement de lastratégie).

c. Cliquez surModifier un utilisateur ou un groupe. Dans le champ de nom d'objet, saisissezSYSTEM, puis cliquez surOK. Le champ de compte utilisateur affiche désormais la valeur « NTAuthority\System ».








b. Dans la liste déroulante Lancer la tâche, choisissez Selon une planification.

c. Sélectionnez Tous les jours.

d. Cochez la case Reporter la tâche pendant, puis, dans la liste déroulante, sélectionnez 30 minutes.

e. Cliquez sur OK.

Remarque :

Il ne s'agit que de paramètres de planification recommandés. Vous pouvez choisir la configurationqui vous convient. Définissez néanmoins un délai de 30 minutes pour vous assurer quel'installation est terminée avant de mettre en application la stratégie.



55





d. Dans le champ Ajouter un argument, saisissez-executionpolicy Bypass “C:\Temp\EnforcePolicy.ps1” “C:\Temp\MyPolicy.xml”

(Remplacez le nom du fichier de stratégie par celui que vous avez créé. Si vous avezmodifiél'emplacement des dossiers dans le fichier CopyFilesLocally.bat, modifiez les chemins d'accès enconséquence.)




6.8 Création d'un GPO pour la réinitialisation de lastratégie

Le quatrième GPO est facultatif et permet de supprimer les paramètres de stratégie et les données d'inscriptionIntel® Authenticate.

Remarque :

Veillez à ne pas activer ce GPO par défaut. Si vous voulez seulement réinitialiser les paramètres sur certainesplates-formes client individuelles, utilisez le script ResetIA.ps1 directement sur ces plates-formes. Si vousdéployez ce GPO sur un domaine ou une UO, vous supprimerez les paramètres de stratégie et les donnéesd'inscription Intel® Authenticate de toutes les plates-formes client du domaine ou de l'UO.

Le tableau suivant décrit les éléments que vous devez définir dans ce GPO.

Elément Détails

Filtre WMI SELECT * FROM Intel_Authenticate WHERE isClientInstalled ="true" ANDisEngineInstalled = "true"

Tâche Exécutez le script PowerShell ResetIA.ps1.

Pour créer le GPO de réinitialisation de stratégie :


2. Saisissez un nom descriptif pour ce GPO (par exemple, Réinitialiser la stratégie Intel® Authenticate), puiscliquez surOK.



56

3. Dans l'arborescence, sélectionnez le GPO que vous avez créé et, dans la liste déroulante de la sectionFiltrage WMI, sélectionnez le filtre WMI « Intel Authenticate est-il installé » (voir Création de filtres WMIpour les GPO page 43). Dans la boîte de dialogue qui s'affiche, cliquez surOui.





b. Dans le champNom, saisissez un nom descriptif pour cette tâche (par exemple, Réinitialiser lastratégie).

c. Cliquez surModifier un utilisateur ou un groupe, dans le champ de nom d'objet, saisissezSYSTEM, puis cliquez surOK. Le champ de compte utilisateur affiche désormais la valeur « NTAuthority\System ».








b. Dans la liste déroulante Lancer la tâche, sélectionnez Lors de la création/modification de latâche, puis cliquez surOK.



57





d. Dans le champ Ajouter un argument, saisissez un argument de ligne de commande pour ouvrirPowerShell et exécuter le script ResetIA.ps1 :

-executionpolicy Bypass C:\Temp\ResetIA.ps1

(Si vous avezmodifié l'emplacement des dossiers dans le fichier CopyFilesLocally.bat, modifiezles chemins d'accès en conséquence.)




6.9 Flux de mise à niveau avec GPO

Si vous avez déjà déployé une version antérieure d'Intel® Authenticate sur votre réseau, vous pouvezmettre àniveau les installations existantes vers la version 3.1.

Remarque :

Les stratégies créées dans la version 3.1 ne sont pas prises en charge par les plates-formes sur lesquellessont installées des versions antérieures d'Intel® Authenticate. Assurez-vous de mettre à niveau les plates-formes clients vers la version 3.1 avant de configurer les stratégies créées à l'aide de la version 3.1. Lesstratégies configurées à l'aide de versions antérieures continueront de fonctionner avec la version 3.1.

Pour passer à la version 3.1 :

1. Si vous utilisez le facteur Proximité Bluetooth®, il est recommandé de demander à vos utilisateurs demettre à niveau l'application Intel® Authenticate vers la dernière version sur leurs téléphones. (Sauf pourles utilisateurs de Windows 10 version 1607 qui n'ont pas installé l'application Intel® Authenticate.)

Remarque :

SousWindows 10 versions 1703 et ultérieures, après mise à niveau, toute inscription existante d'uniPhone est annulée. L'utilisateur ne pourra s'authentifier à l'aide de son téléphone qu'après l'avoirréinscrit. L'utilisateur sera invité à réinscrire son téléphone (et à installer l'applicationIntel® Authenticate) pour activer le niveau de sécurité « Protégé » du facteur Proximité Bluetooth. Sivous souhaitez activer le niveau de sécurité « Logiciel » pour les iPhone sousWindows 10, vous devrezappliquer une nouvelle stratégie créée à l'aide de la version 3.1.



58

2. Sur le serveur, remplacez tous les fichiers du dossier partagé par les nouvelles versions des fichiers situésdans le Hostfiles dossier du package d'intégration GPO version 3.1. Veillez à remplacer tous les fichiersexistants et à supprimer les anciennes versions .MSI des programmes d'installation.

Remarque :

• Le seul fichier du dossier partagé que vous ne devez pas remplacer est le fichier XML de stratégieutilisé pour configurer les plates-formes client.

• Vous n'avez pas besoin de modifier les GPO ou filtres WMI que vous avez créés pour le déploiementd'Intel® Authenticate. Toutes les modifications requises pour la mise à niveau sont incluses dans lanouvelle version 3.1 du script RunInstaller.ps1. Le script détecte automatiquement touteinstallation existante et procède à la mise à niveau si nécessaire.

3. Une fois la mise à niveau effectuée, l'utilisateur est invité à redémarrer son ordinateur. Ce redémarrage estessentiel pour garantir la mise à niveau correcte de l'ensemble des fichiers et services.



59

7 Résolution des problèmes

Cette section décrit les problèmes susceptibles de survenir lors de l'utilisation d'Intel Authenticate et en fournitla solution.

Remarque :

Pour en savoir plus sur les options d'assistance disponibles pour Intel® Authenticate, rendez-vous sur lapage de l'assistance clientèle d'Intel.

7.1 Résolution des problèmes d'installation

Avant l'installation, l'installateur exécute le test des éléments prérequis à l'aide de l'outil Check Tool /P. Si le testéchoue, l'installation est annulée et les résultats sont ajoutés au fichier journal de l'installateur.

7.2 Résolution des problèmes d'inscription

Cette section décrit comment résoudre les problèmes pouvant se produire au cours du processus d'inscription.

Pour plus d'informations sur le processus d'inscription, reportez-vous au guide d'inscription inclus dans lepackage d'intégration.

L'application de gestion des facteurs ne s'ouvre pas, ou se bloque immédiatement après sonouverture

L'application de gestion des facteurs requiert l'installation de la version 4.5.2 ou supérieure de .NET Frameworksur la plate-forme. Dans certains cas, si une ancienne version de .NET Framework est installée, l'applications'ouvre mais ne fonctionne pas correctement. Si vous rencontrez des problèmes avec l'application de gestiondes facteurs, vérifiez que la version 4.5.2 ou supérieure de .NET Framework est installée sur la plate-forme.


https://www.intel.com/content/www/us/en/support/contact-support.html?productId=92930#@26


60

L'application de gestion des facteurs présente le message « Aucun facteur à gérer »

Cemessage apparaît lorsqu'Intel® Authenticate a été installé mais qu'une stratégie valide n'est pas appliquée.Vérifiez que vous avez déployé la stratégie sur la plate-forme et que cette stratégie est valide et contient aumoins une action et un facteur d'authentification.

L'utilisateur a reporté l'inscription, mais souhaite maintenant inscrire ses facteurs

L'utilisateur peut ouvrir l'application de gestion des facteurs manuellement en ouvrant la fenêtre de rechercheet en saisissant « Intel Authenticate ».

Problèmes concernant l'inscription à la Proximité Bluetooth®

L'inscription au facteur Proximité Bluetooth implique un certain nombre d'étapes, qui peuvent échouer pourplusieurs raisons. Les étapes principales sont décrites ci-dessous, dans l'ordre, ainsi que les problèmes pouvantsurvenir et leur résolution :

1. Vérifiez que le Bluetooth est activé sur l'ordinateur et le téléphone que l'utilisateur essaie d'inscrire.

2. Le niveau de sécurité « Protégé » du facteur Proximité Bluetooth® nécessite l'installation de l'applicationIntel® Authenticate sur le téléphone. Vérifiez que l'utilisateur a installé l'application sur le téléphone qu'ilessaie d'inscrire. La page Proximité Bluetooth de l'application de gestion des facteurs inclut des liens detéléchargement et d'installation de l'application. L'utilisateur peut avoir poursuivi le processus d'inscriptionsans avoir installé l'application au préalable. Demandez-lui d'ouvrir l'application sur son téléphone. Il devrade toute façon utiliser l'application ultérieurement au cours du processus d'inscription.



61

3. La première étape du processus d'inscription à la Proximité Bluetooth consiste à détecter le téléphone del'utilisateur. L'application de gestion des facteurs affiche une liste des téléphones se trouvant à proximité.La liste inclut les téléphones couplés ou non. Si le téléphone de l'utilisateur n'apparaît pas dans la liste :

• Dans le cas des téléphones Android, demandez à l'utilisateur d'ouvrir l'application et de cliquer sur lebouton « Rendre détectable ».

• Sur les iPhone :

• Niveau de sécurité « Protégé » : l'application Intel® Authenticate doit être ouverte sur le téléphonepour que l'application de gestion des facteurs puisse le détecter. Si ce n'est pas le cas, demandez àl'utilisateur d'ouvrir l'application sur son téléphone.

• Niveau de sécurité « Logiciel » : demandez à l'utilisateur d'ouvrir la page Paramètres > Bluetoothsur son téléphone.

• Dans l'application de gestion des facteurs, demandez à l'utilisateur de cliquer sur Actualiser la listepour rechercher le téléphone à nouveau.

• Si le téléphone de l'utilisateur n'apparaît toujours pas dans la liste, vérifiez que Windows peut ledétecter. SousWindows, demandez à l'utilisateur de vérifier que son téléphone apparaît dans la liste desappareils Bluetooth détectés par Windows. L'application de gestion des facteurs ne peut détecter etinscrire des téléphones que si Windows les détecte. Si le téléphone n'est pas détecté par Windows, ilvous faudra résoudre les problèmes sous-jacents de connectivité Bluetooth pour que l'utilisateur puisseinscrire son téléphone.

• Si le téléphone est déjà couplé sousWindows, mais ne s'affiche toujours pas dans la liste, demandez àl'utilisateur de vérifier l'état du téléphone dans la fenêtre Gestionnaire de périphériques. Le téléphonecouplé de l'utilisateur apparaît sous forme d'entrée dans la section Bluetooth. Si une icôned'avertissement jaune s'affiche à côté du nom du téléphone, cliquez dessus avec le bouton droit etsélectionnez désactiver, puis activer. L'application de gestion des facteurs ne peut pas détecter lestéléphones qui sont désactivés ou qui affichent des avertissements dans la fenêtre Gestionnaire depériphériques.

4. Une fois le téléphone de l'utilisateur détecté, l'utilisateur doit le sélectionner dans la liste. Si le téléphonen'est pas encore couplé, un code de couplage est communiqué à l'utilisateur, qui est invité à confirmer lecouplage du téléphone. L'utilisateur doit confirmer cette demande sur le téléphone et sur l'ordinateur :

• Parfois, le code de couplage n'est pas facilement visible sur le téléphone, car il est en arrière-plan. Sil'utilisateur entend le son d'une notification, mais que le code de couplage n'est pas visible, demandez-lui de balayer l'écran vers le bas et de localiser le code.

• En cas d'erreur (par exemple, confirmation sur le téléphone, mais refus sur l'ordinateur), il devraattendre que la connexion Bluetooth soit « libérée » avant de pouvoir réessayer.

5. Pour le niveau de sécurité « Protégé », une fois le téléphone couplé, l'étape finale consiste à inscrire letéléphone avec Intel® Authenticate :

• Avant de continuer, l'utilisateur doit ouvrir l'application Intel® Authenticate et s'assurer que lemessage « en attente d'un signal » s'y affiche. Si l'application n'est pas ouverte, un message d'erreurs'affiche. Pour continuer, l'utilisateur doit cliquer sur Réessayer dans l'application de gestion desfacteurs.

• Un code s'affiche dans l'application de gestion des facteurs. L'utilisateur doit saisir ce code dansl'application Intel® Authenticate. Si le code saisi est incorrect, des messages d'erreur s'affichent dansl'application de gestion des facteurs et sur le téléphone. Pour continuer, l'utilisateur doit cliquer surRecommencer dans l'application, puis sur Réessayer dans l'application de gestion des facteurs.



62

7.3 Résolution des problèmes de connexion au SE

Cette section décrit comment résoudre les problèmes pouvant se produire au cours de l'action Connexion auSE.

La connexion au SE avec Intel® Authenticate échoue

Voici les raisons les plus courantes expliquant pourquoi un utilisateur ne peut pas se connecter à Windows* àl'aide d'Intel® Authenticate :

• Après l'inscription, l'utilisateur a essayé de se connecter avec Intel® Authenticate sans se connecter aupréalable à l'aide de son mot de passe Windows. La première connexion après l'inscription doit êtreréalisée à l'aide du mot de passe Windows*. L'utilisateur peut ensuite se connecter à l'aided'Intel® Authenticate.

• L'utilisateur a modifié son mot de passe. La première connexion suivant la modification du mot de passedoit être effectuée à l'aide du mot de passe Windows*. L'utilisateur peut ensuite se connecter à l'aided'Intel® Authenticate.

• L'utilisateur n'a pas inscrit assez de facteurs requis pour l'action Connexion au SE. Si ceci est la cause duproblème, le statut de la section Connexion au SE dans l'application de gestion des facteurs présente lemessage : « Il n'y a pas suffisamment de facteurs inscrits ».

• L'un des services requis ne s'exécute pas (voir Client et Engine page 11).

• Si la Proximité Bluetooth® est définie comme un facteur requis, la connexion ne réussira que si letéléphone inscrit est détecté (voir Résolution des problèmes liés au facteur Proximité Bluetooth® page66).

Comptes utilisateur non pris en charge

Intel® Authenticate ne prend pas en charge :

• les comptes système intégrés de Windows* ;

• les comptes utilisateur sans mot de passe ou avec un mot de passe vide. (Après l'inscription dansIntel® Authenticate, il ne sera plus possible de se connecter à Windows avec ce compte utilisateur.)



63

7.4 Résolution des problèmes liés à l'action Connexion auSE à l'aide d'une carte à puce

Cette section décrit comment résoudre les problèmes pouvant se produire au cours de l'action Connexion auSE.

La connexion prend un certain temps sur un environnement intranet exclusif

Sur les plates-formes client qui sont connectées à un intranet, mais n'ont aucun accès à Internet, l'actionConnexion au SE à l'aide de l'option Carte à puce prend jusqu'à 17 secondes. Cela est dû au fait que destentatives répétées sont effectuées pour accéder à Internet afin de consulter la liste de révocation descertificats. Vous pouvez résoudre ce problème en ajoutant une clé au Registre des plates-formes client àl'emplacement suivant :

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Ajoutez une nouvelle valeur de chaîne avec les propriétés suivantes :

• Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

• Données de valeur : 1



64

L'option Carte à puce intégrée par défaut ne fonctionne pas.

Lorsque vous utilisez l'option Carte à puce intégrée par défaut :

• Assurez-vous que vous avez défini le modèle correctement (voir Définir le modèle de certificat d'autoritéde certification pour carte à puce page 32).

• Dans le magasin de certificats personnels de l'utilisateur, vérifiez qu'un certificat a été émis en fonctiondu modèle « Connexion au SE par carte à puce » d'Intel Authenticate.

• Dans le Gestionnaire de périphériques :

• Assurez-vous que le lecteur de cartes à puce « Intel IPT Reader » existe et qu'il apparaît en premierdans la liste.

• Assurez-vous qu'une carte à puce nommée « Intercede Intel IPT Virtual Card » existe.

Remarque :

SousWindows 10, les équipements sous Cartes à puce sont masqués par défaut. Pour les afficher,sélectionnezAffichage > Afficher les périphériques cachés.

Si l'un de ces composants est manquant, cela signifie qu'un problème s'est produit pendant l'installation.

Remarque :

Si vous utilisez l'option de gestionnaire de certificats externe, ces composants portent des nomsdifférents. Pour résoudre des problèmes liés à l'utilisation de l'option de gestionnaire de certificatsexterne, reportez-vous à la documentation de MyID.



65

7.5 Résolution des problèmes liés à l'action Connexion auVPN

Dans certains cas, lors d'une connexion au VPN, l'affichage de l'application client VPN « se réduit » etl'utilisateur ne peut pas voir le clavier d'identification personnelle et saisir son PIN protégé. Ce problème ne seproduit que si les conditions suivantes sont vraies :

• Le PIN protégé est défini comme facteur d'authentification pour l'action Connexion au VPN.

• La plate-forme est configurée avec les paramètres haute résolution pour le texte et d'autres éléments.

Pour résoudre ce problème,modifiez un paramètre de compatibilité de l'application client VPN que vous utilisezsur la plate-forme. Il s'agit du paramètreDésactiver la mise à l'échelle de l'affichage pour lesrésolutions élevées situé dans l'onglet Compatibilité de l'application client VPN.

Vous pouvez définir ce paramètre directement dans le Registre de la plate-forme. Pour appliquer ce paramètrepour tous les utilisateurs de la plate-forme, définissez-le à l'emplacement suivant :

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Layers

Ajoutez une nouvelle valeur DWORD avec les propriétés suivantes :

• Nom de la valeur : le chemin d'accès complet et le nom de l'application client VPN exécutable

• Données de la valeur : ~ HIGHDPIAWARE



66

7.6 Résolution des problèmes liés au facteur ProximitéBluetooth®

Les raisons les plus fréquentes pour lesquelles la Proximité Bluetooth peut cesser de fonctionner sont lessuivantes :

• L'application Intel® Authenticate n'est pas exécutée sur le téléphone de l'utilisateur (niveau de sécurité« Protégé » uniquement) :

• Sur beaucoup de téléphones Android*, les applications en arrière-plan ne sont pas autorisées àdémarrer automatiquement. Vérifiez que l'utilisateur a activé le redémarrage automatique del'application Intel® Authenticate. Sur certains téléphones Android, après la mise à niveau dusystème d'exploitation Android, il peut être nécessaire de redémarrer manuellement l'application.

• Si l'utilisateur utilise un iPhone*, assurez-vous qu'il n'a pas accidentellement fermé l'application. Parailleurs, si l'utilisateur a redémarré son iPhone, il lui faut ouvrir l'application une fois et l'afficher aupremier plan. Demandez-lui alors d'attendre une minute, le temps que l'ordinateur et l'iPhonerétablissent les communications. Il peut ensuite remettre l'application en arrière-plan (mais il ne doitpas la fermer).

• Des problèmes de connexion Bluetooth peuvent survenir sur le téléphone de l'utilisateur. Demandez àl'utilisateur d'essayer de redémarrer son téléphone.

• Le téléphone de l'utilisateur est hors de portée de l'ordinateur.

• L'option Bluetooth est désactivée sur l'ordinateur ou le téléphone de l'utilisateur.

• Le téléphone de l'utilisateur dispose de peu de batterie, est en mode Avion ou en mode Veille, ce quidésactive l'option Bluetooth.

• L'utilisateur a désinstallé l'application de son téléphone. La désinstallation de l'application interrompt laconnexion d'inscription avec l'ordinateur (niveau de sécurité « Protégé » uniquement)Pour résoudre ceproblème, vous devez réinitialiser la stratégie et demander à l'utilisateur de réinscrire ses facteurs.

• L'utilisateur a découplé son iPhone* de l'ordinateur. À chaque fois qu'un iPhone* est couplé, il génèreune nouvelle adresse Bluetooth unique. Cela signifie que l'adresse utilisée pour coupler l'iPhone avecIntel® Authenticate n'existe plus.Pour résoudre ce problème, vous devez réinitialiser la stratégie etdemander à l'utilisateur de réinscrire ses facteurs.



67

7.7 Résolution des problèmes liés au facteur Empreinte

Pour se servir du facteur Empreinte, l'utilisateur doit tout d'abord pouvoir inscrire ses empreintes auprès deWindows*. Cette inscription conditionne l'inscription de l'utilisateur et le recours au facteur Empreinte. Vérifiezen premier lieu que l'utilisateur peut inscrire ses empreintes auprès de Windows*. (Voir également Résolutiondes problèmes dansWindows* Hello page 70.)

Si l'opération aboutit, assurez-vous que le registre et les fichiers DLL sont corrects. Lors de l'installation,Intel® Authenticate détecte si un lecteur d'empreintes digitales est installé sur la plate-forme.

Remarque :

• Le type de lecteur d'empreintes digitales détecté détermine le type de lecteur d'empreintes digitalesintégré. Pour que la détection fonctionne correctement, vous devez installer le pilote du lecteurd'empreintes digitales adéquat avant d'installer Intel® Authenticate.

• Une plate-forme ne peut inclure qu'un type de lecteur d'empreintes digitales.

• Vous pouvez utiliser l'outil Check Tool pour vérifier le type de lecteur d'empreintes digitales détecté :

Authenticate_Check.exe /f /v(Le type de lecteur s'affiche dans la section Info).

Lecteurs d'empreintes protégées

Le lecteur d'empreintes protégées actuellement pris en charge par Intel® Authenticate requiert un piloteSynaptics WBDI spécifique installé sur la plate-forme. Si ce pilote n'est pas installé, le lecteur d'empreintesprotégées ne sera pas intégré à Intel® Authenticate. Pendant l'installation, le programme d'installation dupilote ajoute des clés de registre (DllPath) aux emplacements suivants :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SecureFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SecureFP

La clé de registre DLLPath contient le chemin d'accès vers les fichiers DLL d'empreintes qui s'intègrent àIntel® Authenticate. Si cette clé de Registre n'existe pas (après l'installation du pilote), vérifiez que le piloteinstallé est le pilote approprié. Si le pilote que vous installez est approprié, les clés de Registre et les fichiers DLLseront ajoutés, et le facteur Empreinte protégée sera prêt à l'utilisation.

Lecteurs d'empreintes logicielles

Lorsqu'un lecteur d'empreintes logicielles est détecté, le programme d'installation d'Intel® Authenticate ajoutedes clés de registre (DllPath) aux emplacements suivants :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SoftFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SoftFP

La clé de registre DLLPath contient le chemin d'accès vers un fichier SoftFingerprint.DLL qui est installépar le programme d'installation d'Intel® Authenticate. Si cette clé n'existe pas, vous devez :

1. Désinstaller Intel® Authenticate (et redémarrer l'ordinateur).

2. Installer le pilote du lecteur d'empreintes digitales.



68

3. À l'aide de l'outil Check Tool, vérifiez que le facteur Empreinte logicielle est prêt à l'utilisation.

4. Installer Intel® Authenticate et redéfinir la stratégie.

L'inscription des empreintes digitales auprès de Windows* ne parvient pas à lire les empreintes.

Afin que le facteur Empreinte d'Intel® Authenticate puisse fonctionner comme prévu, le lecteur d'empreintesdigitales doit être capable de lire les empreintes de l'utilisateur de façon fiable. Si le lecteur d'empreintesrencontre des difficultés pour lire les empreintes de l'utilisateur, l'authentification à l'aide du facteur Empreinted'Intel® Authenticate sera également difficile. La première étape consiste à identifier ce type de problème aucours de l'inscription des empreintes digitales de l'utilisateur auprès de Windows*. Si Windows* rencontre unproblème lors de la reconnaissance d'empreintes digitales, il faudra contacter le fabricant de la plate-forme afinde déterminer la cause de ces problèmes.

Remarque :

Si ce problème survient, tentez d'inscrire l'empreinte d'un autre doigt. L'empreinte de certains doigts estparfois trop légère ou trop dégradée pour que le lecteur d'empreintes puisse la lire de façon fiable.

Intel® Authenticate bloque l'inscription du facteur Empreinte logicielle.

L'application de gestion des facteurs bloque l'inscription du facteur Empreinte si les deux conditions suivantessont réunies :

• la plate-forme dispose d'un lecteur d'empreintes logicielles ;

• les entrées de registre pour le lecteur d'empreintes protégées existent déjà.

Pour résoudre ce problème :

1. Assurez-vous que le type de lecteur d'empreintes digitales est bien « Empreinte logicielle ». (ExécutezAuthenticate_Check.exe /f /v.)

2. Si l'une ou l'autre de ces entrées existe, supprimez-la :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SecureFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SecureFP



69

7.8 Résolution des problèmes liés à la reconnaissancefaciale

Pour se servir du facteur Reconnaissance faciale, l'utilisateur doit tout d'abord pouvoir inscrire son visage auprèsde Windows*. Cette inscription conditionne l'inscription de l'utilisateur et le recours au facteur Reconnaissancefaciale. Vérifiez en premier lieu que l'utilisateur peut inscrire son visage auprès de Windows* (voir Résolutiondes problèmes dansWindows* Hello page suivante).

L'appareil photo ne parvient pas à authentifier le visage de l'utilisateur

Pendant l'authentification, des messages s'affichent à l'écran pour indiquer à l'utilisateur pourquoi l'appareilphoto a du mal à authentifier son visage. L'authentification aboutit normalement si l'utilisateur respecte lesinstructions fournies. Des différences dans le niveau de lumière disponible pour l'appareil photo peuventégalement provoquer l'échec de l'authentification. Les utilisateurs choisissent le plus souvent d'inscrire leurvisage sur leur lieu de travail, qui offre normalement un éclairage très différent de celui de leur domicile. Sil'authentification échoue à domicile, demandez à l'utilisateur d'inscrire une nouvelle fois son visage à la maison.Pour ce faire, il lui suffit de cliquer sur Améliorer la reconnaissance dans la page Options de connexion. Ilsn'ont pas besoin d'inscrire une nouvelle fois le facteur dans Intel® Authenticate.



70

7.9 Résolution des problèmes dans Windows* Hello

La résolution des problèmes dansWindows Hello dépasse le cadre du présent guide. Cependant, les facteursEmpreinte et Reconnaissance faciale dépendant de Windows* Hello sur Windows* 10, cette section inclut desinformations qui peuvent vous être utiles. Pour obtenir les instructions complètes sur la résolution desproblèmes dansWindows Hello, reportez-vous à la documentation Microsoft*.

Toutes les options de configuration Windows Hello sont désactivées dans la page Options deconnexion

Selon la version de Windows, Microsoft a apporté plusieurs modifications au mode d'activation de WindowsHello. Ces articles expliquent certaines des modifications susceptibles de désactiver les options de configurationde Windows Hello :

• Modifications du code PIN d'usage

• Windows Hello pour les utilisateurs de domaine

L'option de reconnaissance faciale ne figure pas dans la page Options de connexion

Cette option s'affiche uniquement si un pilote d'appareil photo valide est installé (voir Conditions requises pourla reconnaissance faciale page 19). Dans le Gestionnaire de périphériques, assurez-vous qu'un pilote d'appareilphoto pris en charge est installé et fonctionne correctement. Consultez le site Internet du fabricant pour vousassurer que vous avez installé le pilote approprié pour la plate-forme.

Nous avons constaté que sur certaines plates-formes, comme le Dell XPS 13 9365, l'option Reconnaissancefaciale n'est pas disponible sur Windows 10 version 1607. Cependant, la mise à niveau vers Windows 10version 1703 a ajouté cette option à la page Options de connexion.

L'option Empreinte ne figure pas dans la page Options de connexion

Cette option s'affiche uniquement si un pilote d'empreinte valide est installé. Dans le Gestionnaire depériphériques, vérifiez que le pilote d'empreinte est installé et fonctionne correctement. Consultez le siteInternet du fabricant pour vous assurer que vous avez installé le pilote approprié pour la plate-forme.

L'interface utilisateur graphique d'inscription des empreintes digitales ou de la reconnaissancefaciale ne s'ouvre pas

Sur certaines plates-formes, il ne se passe rien lorsque vous cliquez sur le bouton Configuration pour ouvrirl'interface utilisateur graphique d'inscription des empreintes digitales ou de la reconnaissance faciale. Au lieu decela, l'interface utilisateur graphique « clignote » durant une fraction de seconde, mais ne s'ouvre pas.

Pour résoudre ce problème :

1. Ouvrez l'Éditeur de stratégie de groupe.

2. Naviguez jusqu'à la Configuration ordinateur > Paramètres Windows* > Paramètres de sécurité> Stratégies locales> Options de sécurité.

3. Faites un clic droit sur Contrôle de compte d'utilisateur : mode d'approbation Administrateurpour le compte Administrateur intégré, puis sélectionnez Propriétés.

4. SélectionnezActivé.

5. Redémarrez l’ordinateur.


https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

https://social.technet.microsoft.com/Forums/en-US/85ad4472-084e-4b45-a477-7e354de9f97e/deploy-windows-hello-for-domain-users?forum=win10itprosetup


71

6. Retournez sur la page Options de connexion et ouvrez l'interface utilisateur graphique d'inscription desempreintes digitales ou de la reconnaissance faciale.

7.10 L'outil Check Tool

L'outil Check Tool est basé sur l'interface de ligne de commande et se trouve dans le dossier Tools >

CheckTool.

La syntaxe de l'interface de ligne de commande n'est pas sensible à la casse. En voici un exemple :

Authenticate_Check.exe { /PreCheck | /Factors | /? } /Verbose

Indicateur Détails

/PreCheck

(ou /P)

Vérifie si la plate-forme répond aux conditions requises pour l'installationd'Intel® Authenticate (voir Configuration requise pour l'installation page 14).

/Factors

(ou /F)

Vérifie si l'état de chaque facteur d'authentification est pris en charge parIntel® Authenticate.

Verbose Ajoute des informations plus détaillées à la sortie (seulement avec l'indicateur /Factors).

? Aide

Remarque :

Utilisation de Check Tool :

• Doit être exécuté à partir d'une invite de commande ouverte avec des privilèges d'administrateur.

• Nécessite la version 4.5.2 ou supérieure de .NET Framework.

• A besoin du pilote Intel® MEI pour exécuter certains des tests. Si le pilote Intel® MEI n'est pas installé,ces tests peuvent échouer.

• SousWindows* 7, si un message s'affiche indiquant qu'un fichier DLL nommé “api-ms-crt-runtime-[1-1-0.dll” est manquant, exécutezWindows Update. Sinon, vous pouvez installerKB2999226.

7.10.1 Conditions requises pour l'installation

Intel® Authenticate est uniquement pris en charge sur les plates-formes répondant aux conditions requisespour l'installation (voir Configuration requise pour l'installation page 14). L'indicateur /PreCheck de l'outilCheck Tool fournit des informations sur l'état de ces conditions requises et détermine si la plate-forme est priseen charge.




72

Remarque :

• Les conditions d'installation constituent le minimum requis pour la prise en charge de la plate-forme.Certains facteurs d'authentification incluent également des conditions requises supplémentaires quevous pouvez vérifier à l'aide de l'indicateur /Factors.

• Vous pouvez également utiliser l'indicateur /Precheck pour résoudre les problèmes de fonctionnementd'Intel® Authenticate. Par exemple, si le service Intel® DAL n'est pas exécuté, Intel® Authenticate nefonctionnera pas correctement.

Pour vérifier les conditions requises pour l'installation:

Authenticate_Check.exe /P

Ou

Authenticate_Check.exe /PreCheck

Lorsque tous les tests sont réussis, le récapitulatif des résultats est mis en surbrillance en vert.



73

Si un seul des tests échoue, le récapitulatif des résultats est mis en surbrillance en rouge. Les détails s'affichentpour chaque test ayant échoué.



74

Ce tableau décrit les tests exécutés par l'indicateur /PreCheck.

Test Détails

1 Vérifie que le processeur appartient à l'une des familles de processeurs pris en charge.Remarque : le test 1 affiche un avertissement relatif aux plates-formes des échantillonsd'ingénierie, des échantillons de pré-qualité et des échantillons de qualité. Cela est dû au fait quesur ces types de plates-formes, le processeur renvoie une valeur non reconnue. Ignorez cetavertissement.

2 Consulte le Registre pour déterminer si la version installée du logiciel Intel® ME est prise encharge. De plus, ce test vérifie si le pilote Intel® MEI est installé. Le pilote est généralement situédans la section « Périphériques système » de la fenêtre Gestionnaire de périphériques. Si le piloten'est pas installé, certains des tests restants échoueront (car ils dépendent des communicationsvia le pilote).

3 Vérifie que la version du microprogramme Intel® ME est prise en charge

4 Vérifie que le microprogramme Intel® ME est placé dans la référence d'entreprise (la référenceclient n'est pas prise en charge.

5 Vérifie que le système d'exploitation est pris en charge

6 Vérifie que la connexion TLS (Transport Layer Security) est activée.

7 Vérifie que le service Intel® DAL est installé et s'exécute (le nom affiché dans la fenêtre Servicesest « Intel Dynamic Host Application Loader Host Interface Service »).

8 Vérifie les communications avec Intel® DAL en essayant d'obtenir le numéro de versiond'Intel® DAL via une API d'Intel® DAL.

9 Vérifie que le pilote graphique Intel® est installé et que cette version est prise en charge.

7.10.2 Vérification des facteurs

Chaque facteur d'authentification pris en charge par Intel® Authenticate affiche des dépendances distinctesqui doivent figurer sur la plate-forme pour être utilisées. L'indicateur /Factors de l'outil Check Tool affiche desinformations sur chaque facteur et détermine si ce dernier est pris en charge.

Pour vérifier l'état des facteurs :

Authenticate_Check.exe /F

Ou

Authenticate_Check.exe /Factors

Remarque :

Pour obtenir plus d'informations sur chaque facteur, ajoutez l'indicateur /V.



75

Ce tableau décrit la sortie produite par l'indicateur /Factors.

Section Détails

Factor(Facteur)

Indique le nom du facteur.

Etat Chaque facteur peut présenter les états suivants :

• Not Supported (Non pris en charge) : le facteur n'est pas pris en charge par laconfiguration actuelle de la plate-forme. Il peut s'agir d'un logiciel manquant ou de versionsmatérielles ou logicielles non prises en charge. Les détails s'affichent dans la section « Reason» (Motif). Vous pouvez exécuter l'outil à nouveau après avoir corrigé les éventuels problèmesdétectés (en mettant par exemple un logiciel à niveau).

• Supported (Pris en charge) : le facteur est pris en charge mais il n'est pas prêt à êtreutilisé avec Intel Authenticate. Cet état est renvoyé pour les facteurs nécessitant uneconfiguration supplémentaire avant leur utilisation. Le seul prérequis au facteurEmplacement Intel® AMT est qu'Intel®AMT soit configuré avec des domaines d'accueil.Avant d'installer Intel® Authenticate, cet état est également attendu pour les facteursReconnaissance faciale et Empreinte (logicielle) (les DLL supplémentaires sont installées parIntel® Authenticate).

• Ready For Use (Prêt à l'utilisation) : la plate-forme présente toutes les conditionsrequises pour le facteur et ce dernier est prêt à être utilisé avec Intel® Authenticate.

Motif Cette section s'affiche lorsque l'état d'un facteur est « Not Supported » (Non pris en charge). Ellerépertorie les informations sur chaque problème qui empêche Intel Authenticate d'utiliser unfacteur.

Info Cette section s'affiche lorsque vous spécifiez l'indicateur /Verbose et fournit des informationssupplémentaires sur les dépendances de chaque facteur.



76

7.11 Utilisation de l'outil Support Tool

L'outil Support Tool est basé sur l'interface de ligne de commande et se trouve dans le dossier Tools >

SupportTool. L'outil Support Tool est également installé sur les plates-formes clients dans ce dossier :C:\ProgramData\Intel\Intel Authenticate\Engine\SupportTool.

Vous pouvez utiliser l'outil Support Tool pour :

• démarrer ou interrompre les sessions de journalisation du débogage ;

• collecter les journaux d'utilisateur final et les regrouper sous forme de fichier .zip ;

• redémarrer tous les services et processus d'Intel® Authenticate (cela permet de résoudre certainsproblèmes) ;

La syntaxe de l'interface de ligne de commande n'est pas sensible à la casse. Vous ne pouvez utiliser qu'un seulindicateur par appel. En voici un exemple :

Authenticate_Support.exe [ /StartDebug | /StopDebug

/CollectLogs | /Restart | /? ]

Indicateur Détails

/StartDebug Crée une session de journalisation du débogage et rassemble les journaux dans un fichierETL.

/StopDebug Interrompt toute session active de journalisation de débogage.

/CollectLogs Rassemble tous les journaux Intel® Authenticate et les place dans un fichier .zip.

/Restart Redémarre tous les services et processus Intel® Authenticate associés.

/? Aide



77

7.11.1 Collecte de journaux

Intel® Authenticate enregistre les journaux dans plusieurs emplacements. L'outil Support Tool vous permet decollecter l'ensemble des journaux en toute simplicité. Une fois les journaux collectés, l'outil les regroupe sousforme de fichier .zip dans le dossier à partir duquel il a été exécuté. Vous pouvez ensuite fournir le fichier .zip autechnicien d'assistance client ou d'intervention à des fins de débogage. Le fichier .zip est automatiquementnommé au format suivant : AuthenticateLogs_HostName_YYYY-MM-DD-HH-MM-SS.zip.

Pour en savoir plus sur les options d'assistance disponibles pour Intel® Authenticate, rendez-vous sur la pageAssistance clientèle d'Intel.

Pour collecter des journaux :

1. Ouvrez une invite de commande en tant qu'administrateur.

2. Lancez une session de journalisation du débogage :Authenticate_Support.exe /StartDebug

3. Effectuez l'action problématique. Notez l'heure du système de plate-forme à laquelle l'action a été lancée.Cela aidera l'ingénieur de soutien de localiser l'entrée concernée dans les fichiers journaux.

4. Collectez les journaux :Authenticate_Support.exe /CollectLogs

5. Arrêtez la session de journalisation du débogage :Authenticate_Support.exe /StopDebug

6. Envoyez le fichier .zip contenant les journaux collectés à l'ingénieur de support traitant votre ticket desupport.

7.11.2 Redémarrage de tous les services et processus d'Intel®Authenticate

L'outil Support Tool redémarre :

• jhi_service.exe (service)

• IAClientService.exe (service)

• IAEngineService.exe (service)

• IAMonitor.exe (processus)

L'outil désinstalle et réinstalle également les applets Intel® Authenticate. Si le moteur Intel® Authenticaten'est pas installé, le redémarrage échoue et une erreur est générée (comme pour ChangeLogLevel). Enoutre, la commande Restart doit être exécutée en mode élevé.

Le redémarrage des processus Intel Authenticate permet de conserver la stratégie configurée et les donnéesd'inscription stockées de l'utilisateur final. Pour l'utilisateur final, cela est plus pratique qu'une réinitialisation dusystème ou d'un facteur qui supprime la stratégie et les données d'inscription.

Pour redémarrer les services et les processus associés :

Authenticate_Support.exe /Restart


https://www.intel.com/content/www/us/en/support/contact-support.html?productId=92930#@26


78

7.12 Codes d'erreur

Ce tableau décrit les codes d'erreur renvoyés par le composant Intel® Authenticate Engine.

Code d'erreur Description

31 Erreur système due à :

• une défaillance matérielle ou une expiration survenue lors de la tentative d'inscriptiond'un facteur basé sur l'équipement ;

• une incompatibilité entre les versions Intel® Authenticate Client et Engine ;

• des données d'inscription dont la lecture a échoué. En règle générale, cela est dû au faitque les données sont endommagées ou manquantes.

32 La définition de la stratégie a échoué parce que celle-ci n'est pas valide. Cause éventuelle del'erreur :

• La version de la stratégie est antérieure à la stratégie en cours de définition.

• La stratégie comprend des données non valides.

• Le format de la stratégie est incorrect.

33 La définition de la stratégie a échoué, car la signature de la stratégie présente un problème.Cause éventuelle de l'erreur :

• Une source non autorisée est en train de créer la stratégie.

• Desmodifications ont été apportées à la stratégie après qu'elle a été signée.

• Le certificat utilisé pour la signature de la stratégie a expiré ou n'est pas valide.

34 Une fonction qui n'est pas mise en œuvre dans cette version a été appelée.

35 Un paramètre non valide a été passé à une fonction.

36 Lamémoire tampon de sortie de la fonction est trop faible pour la sortie qui doit y êtreenregistrée.Cette erreur se produit généralement lors de l'analyse des équipements Bluetooth. En règlegénérale, ce problème est résolu en appelant à nouveau la fonction avec la taille de mémoiretampon correcte.

37 Une demande d'inscription d'un facteur a échoué car l'utilisateur a déjà inscrit ce facteur.

38 L'inscription d'un facteur a échoué. Le facteur dont l'inscription a échoué est consigné dansles journaux. La raison pour laquelle une inscription échoue varie selon le facteur.Exemples d'échecs d'inscription :

• Proximité Bluetooth : l'approbation entre Intel® Authenticate et le téléphone n'a pas puêtre établie.

• Empreinte : l'approbation entre Intel® Authenticate et l'équipement d'empreinte n'a paspu être établie.

• Emplacement Intel® AMT : Intel® AMT n'était pas activé lors de la tentative d'inscription.



79


39 L'utilisateur a saisi un code PIN incorrect lors de l'inscription du facteur PIN protégé.

40 L'utilisateur a tenté d'effectuer l'inscription au-delà des limites définies pour le facteur.

41 L'utilisateur a tenté de désinscrire un facteur qui n'était pas inscrit.

42 Une tentative d'exécuter une commande d'administration avec des données erronées a étéeffectuée.

43 Trop de descripteurs sont ouverts.

44 Une tentative d'exécution d'une commande d'administration que l'applet ne peut pasrésoudre a été effectuée. Par exemple, une tentative d'exécution d'une commande pour unutilisateur qui n'existe pas.

45 Une tentative de définition des informations d'identification d'administration qui sont déjàdéfinies a été effectuée. Si les informations d'identification n'ont pas été réinitialisées par leservice informatique, cela peut signifier qu'une infiltration du réseau par une source nonautorisée a eu lieu.

46 Les informations d'identification d'administration n'ont pas été définies. Cette erreur a étérenvoyée lorsque vous avez tenté de définir une stratégie ou d'exécuter une commanded'administration avant que les informations d'identification d'administration soient définies.

47 La vérification de la signature a échoué car la stratégie et le certificat ne correspondent pas.

48 L'applet Intel® Authenticate est actuellement occupée à traiter une autre demande. Lorsquecette erreur se produit, la fonction est appelée à nouveau jusqu'à ce que l'applet ne soit plusoccupée et puisse traiter la demande.

49 Le certificat n'est pas approuvé car il était impossible de vérifier la chaîne de certificats.

50 La stratégie n'a pas été définie et une tentative d'authentification ou d'inscription du facteura été effectuée.

51 Pour désinscrire un facteur, celui-ci doit d'abord être authentifié comme authentique. Cetteerreur est renvoyée lorsque l'authentification du facteur échoue.

52 Le facteur est défini dans la stratégie mais il n'est pas pris en charge sur la plate-forme.

53 Le facteur est défini dans la stratégie et pris en charge, mais il ne peut pas être inscrit tantque l'utilisateur n'ait pas effectué les étapes de préinscription nécessaires en dehorsd'Intel® Authenticate. Par exemple, le facteur Empreinte requiert que l'utilisateur inscrived'abord ses empreintes dansWindows* pour pouvoir s'inscrire avec Intel® Authenticate.

54 Lorsque la fonctionnalité Verrouillage en cas d'absence s'exécute depuis plus de 24 heures,elle est automatiquement redémarrée.



80


55 L'inscription échoue car ce type d'utilisateur n'est pas pris en charge. Intel® Authenticate neprend pas en charge :

• les comptes systèmeWindows* intégrés ;

• l'inscription des utilisateurs via une connexion au bureau à distance ;

• les comptes utilisateur sans mot de passe ou avec un mot de passe vide.

56 Une erreur s'est produite pour un facteur externe (Intel® Authenticate prend en chargel'intégration des facteurs d'authentification des fournisseurs tiers).

57 Cette erreur est renvoyée lorsque le facteur à désinscrire est authentifié (voir l'erreur 51 ci-dessus), mais le processus de désinscription en cours échoue.

59 L'applet Intel® Authenticate est actuellement occupée à traiter une autre demanded'authentification.

5A La demande d'authentification a dépassé le délai autorisé.

5B La demande d'authentification a été finalisée et doit être réinitialisée.

5D L'utilisateur a tenté de définir un facteur qui n'est pas inscrit ou qui existe dans un jeu defacteurs dans lequel aucun facteur n'est inscrit.

5E La stratégie ne peut pas être définie sur un système qui n'est pas équipé d'Intel® vPro™, carelle contient un jeu d'authentification présentant plus de deux facteurs obligatoires. (Les jeuxd'authentification présentant plus de deux facteurs obligatoires sont uniquement pris encharge sur les systèmes Intel® vPro™.)

5F Une action demandée a échoué, car elle a été appelée par un processus qui exige desautorisations élevées.


Intel® Authenticate : guide d'intégration pour GPO

Documents

Transcript of Intel® Authenticate : guide d'intégration pour GPO