Intel® Authenticate : guide d'intégration pour Microsoft* SCCM

Intel® Authenticate

Guide d'intégration deMicrosoft* System Center Configuration Manager (SCCM)

Version 3.1

Date de publication du document : 27 mars 2018

Intel® Authenticate : guide d'intégration pour Microsoft* SCCM*Les autres noms et marques peuvent être revendiqués comme la propriété de tiers

ii

Mentions légales et clauses d'exclusion de responsabilitéVous ne pouvez pas utiliser ce document, ni en faciliter l'utilisation, en rapport avec toute infraction ou autreanalyse juridique concernant les produits d'Intel décrits ci-après. Vous acceptez d'accorder à Intel une licencenon exclusive et libre de redevance pour toute revendication de brevet rédigée ultérieurement concernant lesujet mentionné.

Aucune licence (explicite ou implicite, par principe d'estoppel ou autre) sur quelque droit de propriétéintellectuelle que ce soit ne sera accordée par le présent document.

Les produits décrits peuvent faire l'objet de défauts de conception ou d'erreurs connues pouvant entraîner desdifférences par rapport aux spécifications publiées. Une liste des erreurs actuellement connues est disponiblesur demande.

Intel décline toute garantie expresse ou implicite, y compris mais sans s'y limiter, les garanties de valeurmarchande et d'adaptation à un usage quelconque, et d'absence de contrefaçon, comme toute garanties'inférant des pratiques commerciales établies ou des modalités d'exécution.

Les fonctionnalités et avantages de la technologie Intel varient selon la configuration du système et peuventnécessiter une activation de service ou de logiciel ainsi qu'un matériel spécifique. Les performances varientd'une configuration à une autre. Aucun système informatique ne peut être absolument sécurisé. Pour plus dedétails, contactez le fabricant ou le revendeur de votre ordinateur, ou rendez-vous sur intel.com.

Intel, Intel vPro, Intel Core, Xeon et le logo Intel sont des marques déposées d'Intel Corporation ou de sesfiliales aux États-Unis et/ou dans d'autres pays.

*Les autres noms et marques peuvent être revendiqués comme la propriété de tiers.

Microsoft, Windows et le logoWindows sont des marques commerciales ou déposées de Microsoft Corporationaux Etats-Unis et/ou dans d'autres pays.

Java est une marque déposée d'Oracle et/ou de ses filiales.

La marque et les logos Bluetooth® sont des marques déposées de Bluetooth SIG, Inc. utilisées sous licence parIntel Corporation.

© 2016-2018, Intel Corporation


iii

Sommaire

1 Introduction 1

1.1 Qu'est-ce qu'Intel® Authenticate ? 1

1.2 Facteurs d'authentification 2

1.2.1 Proximité Bluetooth® 2

1.2.2 Reconnaissance faciale 4

1.2.3 Empreinte 4

1.2.4 Code PIN protégé 5

1.2.4.1 Paramètres du code PIN protégé 5

1.2.4.2 Mécanisme de limitation du code PIN 6

1.2.5 Emplacement Intel® AMT 7

1.3 Actions 8

1.3.1 Connexion au SE 8

1.3.1.1 Blocage du mot de passe Windows* 9

1.3.2 Connexion au VPN 10

1.3.3 Verrouillage en cas d'absence 10

1.4 Composants Intel® Authenticate 11

1.4.1 Client et Engine 11

1.4.2 Stratégies 12

1.4.3 Application de gestion des facteurs 12

1.4.4 Application Intel® Authenticate 13

1.5 Intégration avec Microsoft SCCM 14

1.5.1 Éléments créés par le composant Add-on dans SCCM 16

2 Configuration requise sur la plate-forme client 19

2.1 Configuration requise pour l'installation 19

2.1.1 Version minimale du micrologiciel Intel® ME 21

2.2 Configuration requise pour la Proximité Bluetooth® 22

2.3 Conditions requises pour l'Empreinte 23

2.4 Conditions requises pour la reconnaissance faciale 24

2.5 Configuration requise pour Emplacement Intel® AMT 24

2.5.1 Configuration de domaines domestiques à l'aide d'Intel® SCS 25

2.5.2 Configuration de domaines d'accueil à l'aide d'ePo Deep Command 26

2.6 Version PowerShell requise 26

3 Configuration de la connexion au VPN 27

3.1 Clients VPN pris en charge 27

3.2 Intel® IPT avec PKI 27

3.3 Préparation de l'autorité de certification 27

3.3.1 Systèmes d'exploitation serveur pris en charge 28

3.3.2 Installation des composants AC 28


iv

3.4 Définition du modèle de certificat d'autorité pour la connexion au VPN 29

3.5 Configuration de l'appliance VPN 33

3.6 Génération d'un certificat pour le client 34

4 Configuration de la connexion par carte à puce 36

4.1 Éléments à prendre en considération lors de l'utilisation de l'option Carte à puce 37

4.2 Définir le modèle de certificat d'autorité de certification pour carte à puce 37

5 Préparation à l'intégration 42

5.1 Préparation d'un certificat de signature numérique 42

5.2 Création d'une stratégie 44

6 Intégration avec Microsoft SCCM 45

6.1 Flux de déploiement à l'aide de SCCM 45

6.2 Versions SCCM prises en charge 45

6.3 Ajout de classes de rapport d'inventaire matériel 46

6.4 Installation du composant Add-on 49

6.5 Création d'un package d'installation client 53

6.6 Activation des séquences de tâches (dans l'ordre) 57

6.7 Modification des composants Add-on 57

6.8 Modification de la stratégie 58

6.9 Flux de mise à niveau avec SCCM 58

7 Résolution des problèmes 61

7.1 Résolution des problèmes d'installation 61

7.2 Résolution des problèmes d'inscription 61

7.3 Résolution des problèmes de connexion au SE 64

7.4 Résolution des problèmes liés à l'action Connexion au SE à l'aide d'une carte à puce 65

7.5 Résolution des problèmes liés à l'action Connexion au VPN 67

7.6 Résolution des problèmes liés au facteur Proximité Bluetooth® 68

7.7 Résolution des problèmes liés au facteur Empreinte 69

7.8 Résolution des problèmes liés à la reconnaissance faciale 71

7.9 Résolution des problèmes dansWindows* Hello 72

7.10 L'outil Check Tool 73

7.10.1 Conditions requises pour l'installation 73

7.10.2 Vérification des facteurs 76

7.11 Utilisation de l'outil Support Tool 78

7.11.1 Collecte de journaux 79

7.11.2 Redémarrage de tous les services et processus d'Intel® Authenticate 79

7.12 Problèmes liés à l'importation des classes de rapport d'inventaire matériel 80

7.13 Codes d'erreur 81


1

1 Introduction

Ce guide explique comment intégrer et utiliser Intel® Authenticate avec Microsoft System Center ConfigurationManager (SCCM).

Remarque :

Intel® Authenticate dispose également de packages d'intégration distincts à utiliser lors de l'intégrationavec :

• McAfee* ePolicy Orchestrator (McAfee ePO)

• Active Directory Group Policy Objects (GPO)

Pour plus d'informations sur l'intégration et le déploiement avec ePO ou GPO, reportez-vous au guide inclusdans le package d'intégration correspondant.

1.1 Qu'est-ce qu'Intel® Authenticate ?

Intel® Authenticate est une solution d'authentification multifacteur qui prend en charge les trois différentescatégories de facteurs d'authentification :

• Un élément connu de l'utilisateur, comme un code PIN

• Un élément que l'utilisateur possède, comme un smartphone

• L'identité de l'utilisateur, comme ses empreintes digitales

La fréquence des attaques dans les environnements d'entreprise augmente à un rythme alarmant. Denombreuses failles de sécurité surgissent lorsque des données d'identification de connexion sont compromises.Ces attaques aboutissent car la plupart des systèmes d'authentification stockent et traitent les donnéesd'authentification dans la couche logicielle. Le processus de comparaison des données soumises par l'utilisateuraux données originales stockées peut être vulnérable face aux attaques, aux modifications ou aux surveillancess'il est réalisé dans l'environnement du système d'exploitation.

Intel® Authenticate améliore la sécurité des applications et services d'entreprise en renforçant les flux et lesfacteurs d'authentification. Intel® Authenticate prend en charge les facteurs d'authentification avec lesdifférents niveaux de sécurité, où les facteurs avec le niveau le plus élevé sont « renforcés » et protégés dans lematériel de la plate-forme Intel®. Ainsi, il est difficile pour les personnes et les logiciels malveillants d'accéder àvos données d'authentification sensibles et de les pirater.

Pour chaque action prise en charge (voir Actions page 8), vous pouvez définir une combinaison de facteursd'authentification (voir Facteurs d'authentification page suivante) que vos utilisateurs finaux peuvent utiliser.

1 Introduction


2

Remarque :

Sur les systèmes non-équipés de processeurs Intel® vPro™, les jeux de facteurs sont limités à unmaximum de deux facteurs par jeu. Par exemple, ce jeu de facteurs n'est pas autorisé : {Empreinte ETProtection par code PIN ET Reconnaissance faciale}. L'application d'une stratégie contenant plus de deuxfacteurs dans un jeu de facteurs échoue sur les systèmes non-équipés de processeurs Intel® vPro™. Cetterestriction ne s'applique pas aux systèmes intégrant Intel® vPro™. Sur les systèmes équipés de latechnologie Intel® vPro™, vous pouvez définir autant de facteurs que vous le souhaitez pour chaque jeu defacteurs.

1.2 Facteurs d'authentification

Cette section décrit les facteurs d'authentification pris en charge par Intel® Authenticate.

1.2.1 Proximité Bluetooth®

Ce facteur permet à l'utilisateur d'inscrire son smartphone personnel ou professionnel et de l'utiliser commefacteur d'authentification. Le processus intégral d'authentification utilisant le facteur Proximité Bluetooth estautomatique. Il ne requiert aucune action de la part de l'utilisateur. Pour cela, il suffit à l'utilisateur d'avoir sontéléphone inscrit avec lui lorsqu'il effectue l'action.

Il existe une configuration requise pour ce facteur (voir Configuration requise pour la Proximité Bluetooth®page 22).

Le niveau de sécurité de ce facteur dépend du téléphone et de la version Windows* de l'utilisateur.

Téléphone Windows* 7Windows* 10version 1607

Windows* 10versions 1703 et supérieures

Android* Protégé Protégé Protégé

iPhone* Protégé Logiciel Protégé (par défaut) ou Logiciel

Remarque : sousWindows* 10 versions 1703 et ultérieures, leniveau de sécurité « Protégé » peut être moins pratique en casd'utilisation d'un iPhone*. Pour cette combinaison, vous devezdécider de l'équilibre approprié entre la sécurité et la convivialitépour votre structure organisationnelle.

1 Introduction


3

Voici comment fonctionnent les différents niveaux de sécurité :

• Protégé : le téléphone est inscrit sur la plate-forme de l'utilisateur à l'aide d'un code secret que seuls letéléphone et la plate-forme partagent. Le code partagé est traité et protégé par le matériel sur la plate-forme Intel®. Lorsque l'utilisateur réalise une action pour laquelle la Proximité Bluetooth est définiecomme facteur d'authentification, Intel® Authenticate envoie une demande d'authentification autéléphone. Si le téléphone est suffisamment proche, la demande aboutit et le facteur ProximitéBluetooth est accepté. Ce niveau de sécurité exige de l'utilisateur qu'il installe une petite application surson téléphone (voir Application Intel® Authenticate page 13).

• Logiciel : le téléphone est inscrit uniquement à l'aide du couplage Bluetooth de Windows. Tant que lesystème d'exploitation indique que le téléphone est « connecté », le facteur Proximité Bluetooth estaccepté. Ce niveau de sécurité n'utilise aucune application sur le téléphone.

La stratégie contient deux entrées pour ce facteur (vous ne devez en utiliser qu'une seule) :

• Proximité Bluetooth protégée : si vous sélectionnez ce facteur, seul le niveau de sécurité « Protégé »est activé. Cela signifie que les utilisateurs de Windows 10 version 1607 ne seront PAS autorisés àinscrire ni à utiliser un iPhone avec le facteur Proximité Bluetooth.

• Proximité Bluetooth : si vous sélectionnez ce facteur, les niveaux de sécurité « Protégé » et« Logiciel » pertinents seront activés pour chaque combinaison téléphone et système d'exploitation del'ordinateur (répertoriés dans le tableau ci-dessus). SousWindows 10 versions 1703 et ultérieures, leparamètre par défaut pour les utilisateurs d'un iPhone est le niveau de sécurité « Protégé ». Cependant,vous pouvezmodifier le paramètre dans la stratégie afin que le niveau de sécurité « Logiciel » soit activéen permanence sur ces versions de Windows lors de l'utilisation d'un iPhone.

Lors de l'inscription, Intel® Authenticate détermine automatiquement le niveau de sécurité à appliquer (enfonction des paramètres de la stratégie que vous avez définis) et détecte le téléphone de l'utilisateur et lesystème d'exploitation de l'ordinateur. L'utilisateur doit ensuite suivre les étapes d'inscription qui s'affichent.

Modification du niveau de sécurité après l'inscription

SousWindows 10 versions 1703 et ultérieures, il est possible de modifier le niveau de sécurité du facteurProximité Bluetooth® après que l'utilisateur a déjà inscrit son téléphone. Pour ce faire, vous devez appliquerune nouvelle stratégie comportant le niveau de sécurité requis. Une fois la nouvelle stratégie appliquée, lorsquel'utilisateur essaie de se connecter, l'authentification à l'aide de son téléphone ne pourra pas aboutir.L'utilisateur devra se connecter en utilisant un autre jeu de facteurs ou son mot de passe Windows. Quelquesminutes après la connexion, l'application de gestion des facteurs s'ouvre et affiche un message indiquant qu'ildoit réinscrire son téléphone. Après la réinscription, l'authentification avec le téléphone recommencera àfonctionner.

1 Introduction


4

1.2.2 Reconnaissance faciale

Ce facteur permet à l'utilisateur d'inscrire son visage et de l'utiliser comme facteur d'authentification.

Il existe des conditions requises pour ce facteur (voir Conditions requises pour la reconnaissance faciale page24).

Remarque :

Ce facteur n'est pas un facteur « renforcé », car les données biométriques de l'utilisateur sont généralementprotégées uniquement dans le logiciel. Le niveau de protection dépend du mécanisme de sécurité fourni parle fournisseur de la caméra.

1.2.3 Empreinte

Ce facteur permet à l'utilisateur d'inscrire ses empreintes et de les utiliser comme facteur d'authentification.

Intel Authenticate prend en charge deux types de lecteurs d'empreintes digitales :

• Lecteurs d'empreintes protégées : ce type de lecteur d'empreintes digitales est conçu pour êtreentièrement autonome avec la technologie appelée « Match on Chip ». Les données biométriques(l'empreinte de l'utilisateur) sont protégées et traitées sur la puce du lecteur d'empreintes digitales.Ainsi, il est difficile pour les personnesmalveillantes d'accéder aux données d'empreintes digitales del'utilisateur et de les dérober.

• Lecteurs d'empreintes logicielles : ce type de lecteur d'empreintes digitales est moins sécurisé carles données biométriques de l'utilisateur sont généralement protégées uniquement dans le logiciel. Leniveau de protection dépend du mécanisme de sécurité fourni par le fournisseur du lecteur d'empreintesdigitales. Ce type de lecteur d'empreintes digitales ne peut pas assurer le même niveau de protectionqu'un lecteur d'empreintes protégées.

Il existe des conditions requises pour ce facteur (voir Conditions requises pour l'Empreinte page 23).

1 Introduction


5

1.2.4 Code PIN protégé

Ce facteur permet à l'utilisateur de créer un code PIN (Personal Identification Number) à utiliser en tant quefacteur d'authentification. Le code PIN est créé à l'aide d'un clavier protégé affiché via la Technologie Intel® deprotection de l'identité et Protected Transaction Display. Les principales fonctionnalités de sécurité d'Intel® IPTavec PTD sont les suivantes :

• Le grattage d'écran logiciel ou les attaques de logiciels malveillants tentant de réaliser une captured'écran du clavier ne peuvent pas voir les chiffres réels du code PIN. Tout le clavier devient noir.

• Chaque fois que la fenêtre du clavier est présentée, l'ordre du clavier numérique est modifié de manièrealéatoire. Cela signifie que les emplacements de clic de souris utilisés pour saisir le code PIN sont modifiésà chaque fois. Il est donc impossible de capturer le modèle de clic de souris nécessaire à la saisie du codePIN et de l'utiliser à nouveau.

• Les clics de souris pour l'entrée du code PIN sont traduits et utilisés dans le matériel de protection. Lavaleur réelle du code PIN n'est pas exposée en-dehors du matériel.

• Un « mécanisme de limitation du code PIN » suit le nombre de tentatives de saisie de code PIN nonvalide. À des intervalles spécifiques, il refuse les nouvelles tentatives pendant un laps de temps donné.Cette fonction minimise les risques d'attaques en force sur le code PIN (voir Mécanisme de limitation ducode PIN page suivante).

• La saisie au clavier du code PIN n'est pas autorisée. Cette fonction minimise les risques d'attaquesd'enregistreur de clavier.

Remarque :

Lorsque vous utilisez plusieurs écrans, le clavier est affiché uniquement sur l'un des écrans et il est occultésur les autres, avec certaines configurations système. Avec d'autres configurations système, le clavier estaffiché sur tous les moniteurs. Il s'agit d'un comportement normal.

1.2.4.1 Paramètres du code PIN protégé

Les paramètres du code PIN protégé vous permettent de définir les exigences de complexité d'un code PINvalide. Lors de la définition du facteur Code PIN protégé dans la stratégie, vous pouvez définir les paramètressuivants pour le code PIN :

• Longueur minimale du code PIN : nombre minimal de chiffres que l'utilisateur doit définir pour soncode PIN. Valeurs valides : entre 4 et 10. Le nombre de nombres séquentiels ascendants que l'utilisateurpeut utiliser dans son code PIN est limité à un moins la valeur de ce paramètre. Par exemple, avec unparamètre de 5, un code PIN de « 12345 » n'est pas valide, mais un code PIN de « 12349 » est valide.

• Nombre de chiffres uniques minimum : nombre minimal de chiffres uniques que l'utilisateur doitdéfinir pour son code PIN. Valeurs valides : entre 3 et 10. (La valeur ne peut pas être supérieure à lavaleur de la longueur minimale du code PIN.)

1 Introduction


6

1.2.4.2 Mécanisme de limitation du code PIN

Le facteur d'authentification Code PIN protégé comprend un mécanisme de limitation de code PIN intégré. Celasignifie que lorsqu'un utilisateur entre un code PIN non valide, un compteur de codes PIN non valides se met enmarche. Après un certain nombre de saisies de codes PIN non valides, le système verrouille la saisie de code PINpendant un laps de temps spécifique. Pendant ce verrouillage, l'utilisateur ne pourra pas réaliser d'actions pourlesquelles le Code PIN protégé est un facteur d'authentification obligatoire. Cette fonctionnalité limite l'efficacitédes attaques de force contre le code PIN d'un utilisateur. Plus le nombre de saisies de codes PIN non validesaugmente, plus la durée de verrouillage augmente.

Nombre de tentatives de saisiede codes PIN non valides

Temps (en minutes) avantla prochaine tentative de saisie du code PIN

1 – 4 0

5 – 7 1

8 – 11 10

12 + 30

Le compteur de codes PIN non valides est réinitialisé 60 minutes après la dernière tentative de saisie d'un codePIN non valide.

Remarque :

• le mécanisme de limitation du code PIN ne prend pas en charge plusieurs compteurs de codes PIN nonvalides distincts pour chaque utilisateur. Lorsque le mécanisme de limitation est activé, il est activé pourtous les utilisateurs. (Cela signifie que tous les utilisateurs de la plate-forme devront attendre pendant ladurée requise avant de pouvoir entrer leur code PIN.)

• La saisie d'un code PIN valide ne réinitialise pas le compteur de codes PIN sur zéro. Si le compteurpossédait déjà une valeur élevée (suite à plusieurs saisies de codes PIN non valides), les futures saisiesde codes PIN non valides activeront le mécanisme plus tôt que nécessaire.

1 Introduction


7

1.2.5 Emplacement Intel® AMT

Ce facteur utilise la fonctionnalité de détection de l'environnement de la Technologie d'administration activeIntel® (Intel® AMT). Les plates-formesmobiles fonctionnent généralement dans deux environnements réseaudistincts :

• À l'intérieur du réseau de l'entreprise

• À l'extérieur du réseau de l'entreprise, par exemple via des points d'accès sans fil publics et des réseauxdomestiques

La fonctionnalité de détection de l'environnement est utilisée pour reconnaître le type de réseau adapté à laplate-forme. La fonctionnalité est activée en configurant les noms de suffixe DNS des « domainesdomestiques » dans Intel® AMT. Ces domaines domestiques sont considérés comme dignes de confiance par leréseau de l'entreprise.

Le facteur d'authentification Emplacement Intel® AMT utilise la détection de l'environnement pour vouspermettre de définir différentes stratégies d'authentification selon l'emplacement de la plate-forme. Vous fereznormalement en sorte que les actions requièrent davantage de facteurs d'authentification, ou des facteurs plusstricts, lorsque la plate-forme est située en-dehors du réseau de votre entreprise.

Par exemple, vous pouvez définir les combinaisons de facteurs d'authentification suivantes :

Emplacement d'Intel® AMT ET Proximité Bluetooth

OU

Code PIN protégé ET Proximité Bluetooth

Cette combinaison signifie que lorsque la plate-forme est exploitée à l'intérieur d'un des domaines domestiques,le seul facteur d'authentification requis est Proximité Bluetooth. Mais si la plate-forme est exploitée à l'extérieurdes domaines domestiques, l'utilisateur devra également s'authentifier à l'aide du facteur Code PIN protégé.

Ce facteur ne requiert pas d'intervention de l'utilisateur, mais il requiert une configuration sur la plate-formeavant son utilisation. Pour plus d'informations, voir Configuration requise pour Emplacement Intel® AMT page24.

Remarque :

• Si la plate-forme est connectée via un réseau local sans fil (WLAN) et qu'aucun profil WLAN n'estconfiguré, l'inscription du facteur Emplacement Intel® AMT échouera à coup sûr.

• En général, vous utilisez ce facteur en association avec d'autres facteurs. L'utilisation de ce facteur entant que facteur d'authentification unique signifie que l'authentification n'est possible que si la plate-forme est située à l'intérieur du réseau de votre entreprise.

• Si l'utilisateur se connecte au réseau de l'entreprise via une connexion VPN, le facteur EmplacementIntel® AMT considère que la plate-forme se situe en dehors du réseau de l'entreprise.

1 Introduction


8

1.3 Actions

Cette section décrit les actions prises en charge par Intel® Authenticate.

Remarque :

pour la plupart des actions, vous pouvez définir plusieurs facteurs d'authentification. Plus de facteursimpliquent plus de sécurité, mais réduisent la convivialité pour les utilisateurs finaux. Lors de la définition dunombre et du type de facteurs pour chaque action, vous devez équilibrer les exigences de sécurité de votreentreprise et l'expérience utilisateur.

1.3.1 Connexion au SE

Cette action permet aux utilisateurs de se connecter au système d'exploitation Windows* à l'aided'Intel® Authenticate plutôt qu'à l'aide de leur mot de passe Windows. Lors de la connexion, une indicationvisuelle s'affiche sur l'écran de connexion Windows, informant l'utilisateur qu'il peut utiliserIntel® Authenticate pour se connecter. L'utilisateur peut alors appuyer sur Entrée pour se connecter àWindows à l'aide des facteurs d'authentification que vous avez définis. L'utilisateur ne sera pas invité à entrerson mot de passe Windows*.

Remarque :

Le paramètre Do not display last user name in login screen (Ne pas afficher le nom utilisateur à l'écran deconnexion) dans les paramètres de stratégie de groupe n'est PAS pris en charge. Veillez à ne PAS activer ceparamètre.

Lors de la connexion, les facteurs Intel® Authenticate définis pour l'action Connexion au SE sont vérifiés. Si lavérification aboutit, Intel® Authenticate envoie les informations d'identification àWindows* pour finaliser leprocessus de connexion. Si la plate-forme est connectée à un domaine, l'utilisateur y sera également connectéautomatiquement. Windows* se charge de la connexion au domaine, y compris à tout service connecté tel quel'authentification Windows* intégrée (IWA) et aux services de fédération Active Directory (ADFS).

Vous pouvez définir le type d'informations d'identification qu'Intel® Authenticate transmet àWindows* :

• Mot de passe Windows* de l'utilisateur : cette option est définie par défaut.

• Carte à puce virtuelle : lorsque cette option est activée, le processus de connexion est effectué à l'aided'un certificat. Le certificat est généré et protégé dans le matériel de la plate-forme Intel à l'aide d'Intel®

Identity Protection Technology avec Public Key Infrastructure (Intel® IPT avec PKI). Si l'authentificationdes facteurs est réussie, Intel® Authenticate déverrouille le certificat pour Windows* et finalise leprocessus de connexion. L'activation de cette option permet de réduire l'utilisation des mots de passeWindows* au minimum dans votre environnement. Cette option requiert une configurationsupplémentaire (voir Configuration de la connexion par carte à puce page 36).

Lorsque l'action de connexion au SE est activée à l'aide de mots de passe, Intel® Authenticate doit enregistrerle mot de passe Windows de l'utilisateur. Si l'option de carte à puce n'est pas utilisée, la première connexionaprès l'inscription doit être réalisée à l'aide du mot de passe Windows. L'utilisateur peut ensuite se connecter àl'aide d'Intel® Authenticate.

1 Introduction


9

1.3.1.1 Blocage du mot de passe Windows*

Pour éviter que les utilisateurs n'essaient de contourner les règles définies pour la connexion au SE avecIntel® Authenticate, vous avez trois options différentes. (N'en choisissez qu'une seule.)

Remarque :

Pour les options 1 et 2, une fois l'authentification établie, le mot de passe Windows* est toujours transmis àWindows* pour terminer le processus de connexion.

Option 1 : Exiger un mot de passe Windows* plus complexe

Pour dissuader les utilisateurs de se servir de leur mot de passe Windows*, vous pouvez accroître la complexitédes règles régissant le mot de passe Windows*. Plutôt que de mémoriser et de saisir un mot de passe long etcomplexe, la plupart des utilisateurs choisiront simplement la connexion via Intel® Authenticate.

Option 2 : Bloquer le mot de passe dans la stratégie

Cette option force l'utilisateur à se connecter via une authentification reposant sur les facteursIntel® Authenticate que vous avez définis dans la stratégie. Pour activer cette fonction, accédez à la stratégieIntel® Authenticate, puis sélectionnez l'option Interdire à l'utilisateur de se connecter avec son motde passe Windows*.

Lorsque cette option est sélectionnée, une fois qu'un utilisateur s'est connecté à l'aide d'Intel® Authenticate,l'option de connexion avec un mot de passe Windows est désactivée. L'utilisateur voit alors un messageindiquant que le service informatique a désactivé la connexion avec un mot de passe Windows*.

Remarque :

Dans certaines conditions, Intel® Authenticate permet toujours à l'utilisateur de se connecter avec son motde passe Windows :

• Si Intel® Authenticate détecte une erreur système ou un autre problème empêchant l'utilisateur de seconnecter avec Intel® Authenticate.

• Si Intel® Authenticate détecte que le mot de passe Windows* de l'utilisateur n'est pas enregistré dans lemagasin de données sécurisé. (Par exemple, l'utilisateur a changé de mot de passe ou le mot de passe aexpiré.)

Option 3 : Utiliser l'option de carte à puce et bloquer le mot de passe dans Active Directory

C'est l'option la plus sécurisée. Elle permet de ne jamais utiliser le mot de passe Windows*. Pour procéder ainsi :

1. Activez l'option de carte à puce pour la connexion au système d'exploitation (voir Configuration de laconnexion par carte à puce page 36).

2. Vérifiez que les utilisateurs ont bien inscrit leurs facteurs et qu'ils peuvent se connecter avecIntel® Authenticate et un certificat de carte à puce.

3. Dans les propriétés de compte d'utilisateur Active Directory, sélectionnez l'option Une carte à puce estnécessaire pour ouvrir une session interactive.

1 Introduction


10

Remarque :

Lorsque cette option est activée, l'utilisateur peut toujours essayer de se connecter avec un mot de passeWindows. Dans ce cas, un message d'erreur s'affiche pour lui demander d'utiliser une carte à puce pourse connecter.

1.3.2 Connexion au VPN

Cette action permet aux utilisateurs de se connecter au réseau VPN (Virtual Private Network) de votreentreprise à l'aide des facteurs d'authentification pris en charge par Intel® Authenticate. Vous configurez leclient VPN de sorte qu'il utilise un certificat pour l'authentification à la place d'un mot de passe. Le certificat estgénéré et protégé dans le matériel de la plate-forme Intel à l'aide d'Intel® Identity Protection Technology avecPublic Key Infrastructure (Intel® IPT avec PKI). Lors de la connexion, les facteurs Intel® Authenticate définispour la connexion au VPN sont vérifiés. Si la vérification aboutit, Intel® Authenticate déverrouille le certificat etle transmet au client VPN pour connexion au VPN.

Pour pouvoir utiliser cette action, vous devez configurer les systèmes client et le point d'accès du VPN. Pour plusd'informations, voir Configuration de la connexion au VPN page 27.

1.3.3 Verrouillage en cas d'absence

Lorsque cette fonction est activée, la station de travail est automatiquement verrouillée lorsque le téléphoneinscrit de l'utilisateur n'est pas à proximité (lorsque l'utilisateur s'est éloigné avec son téléphone). À son retour,l'utilisateur devra se connecter à nouveau à l'aide d'Intel® Authenticate. Lorsque vous définissez le verrouillageen cas d'absence, vous pouvez également définir une « période de grâce » pendant laquelle le verrouillage ne semet pas en place si l'utilisateur revient à son poste de travail.

Cette fonction dépend de la précision avec laquelle le téléphone ou le système d'exploitation indique que letéléphone est hors de portée. Le degré de précision peut varier d'un modèle de téléphone à un autre. En outre,l'emplacement du téléphone (par exemple, dans la poche de l'utilisateur) peut provoquer des verrouillagesinopportuns. Afin de réduire les verrouillages inopportuns, la luminosité de tous les écrans s'estompe pendant7 secondes avant le verrouillage. Si l'utilisateur déplace sa souris ou utilise son clavier pendant ces 7 secondes,l'écran n'est pas verrouillé et le verrouillage en cas d'absence est temporairement désactivé. Le rétablissementd'une connexion avec le téléphone active de nouveau le verrouillage en cas d'absence.

Remarque :

• Le verrouillage en cas d'absence n'est pas prévu pour remplacer le verrouillage des stations de travailinactives après un laps de temps spécifique via vos stratégies informatiques.

• La fonctionnalité Verrouillage en cas d'absence est activée à l'aide du facteur Proximité Bluetooth (voirProximité Bluetooth® page 2).

• Le verrouillage en cas d'absence est disponible uniquement si l'action de connexion au SE ou l'action deconnexion au VPN est activée dans la stratégie.

1 Introduction


11

1.4 Composants Intel® Authenticate

Cette section décrit les principaux composants utilisés par Intel® Authenticate.

1.4.1 Client et Engine

Le logiciel Intel® Authenticate de la plate-forme client est installé aux emplacements suivants :

• C:\Program Files\Intel\Intel Authenticate

• C:\Program Files (x86)\Intel\Intel Authenticate

Les composants logiciels sur la plate-forme client sont divisés en deux niveaux logiques : « Client » et« Engine ». Chaque jeu de composants est installé dans un sous-dossier du même nom (Client et Engine).

Sur la plate-forme client, Intel Authenticate se base sur les deux services décrits dans ce tableau.

Nom d'affichage du service Description

Intel Authenticate: Client Ce service gère principalement les tâches au niveau du systèmed'exploitation. Cela inclut les communications avec l'application de gestion desfacteurs (voir Application de gestion des facteurs page suivante).

Intel Authenticate: Engine Ce service gère principalement les tâches qui requièrent les communicationsavec les applets logiciels dans le microprogramme de la plate-forme.Intel Authenticate installe et utilise plusieurs applets dans Intel® DynamicApplication Loader (Intel® DAL). De plus, ce service gère également lesconnexions Bluetooth utilisées par Intel® Authenticate.

Remarque : ces deux services doivent être exécutés pour qu'Intel® Authenticate fonctionne correctement.

1 Introduction


12

1.4.2 Stratégies

Les stratégies contiennent les paramètres d'Intel® Authenticate que vous souhaitez appliquer sur la plate-forme client. Cela inclut les actions à activer et la combinaison de facteurs d'authentification à définir pourchaque action. La méthode que vous utilisez pour créer et déployer la stratégie dépend de l'option d'intégrationchoisie (SCCM, GPO, ePO). Une fois que vous avez créé la stratégie, celle-ci est déployée sur les plates-formesclient et mise en œuvre. L'utilisateur est alors invité à inscrire les facteurs d'authentification définis dans lastratégie appliquée (voir Application de gestion des facteurs ci-dessous).

Chaque plate-forme client ne peut avoir qu'une seule stratégie. Mais vous pouvez remplacer et appliquer ànouveau des stratégies autant que nécessaire.

Remarque :

Les stratégies sont protégées par un certificat de signature (voir Préparation d'un certificat de signaturenumérique). Vous pouvez remplacer une stratégie uniquement si la nouvelle stratégie est signée avec lemême certificat que celui utilisé pour signer la stratégie existante sur la plate-forme. Si vous souhaitezutiliser un certificat de signature différent, vous devez tout d'abord réinitialiser (supprimer) la stratégieexistante avant de définir la nouvelle.

1.4.3 Application de gestion des facteurs

Peu de temps après la mise en œuvre de la stratégie, l'application de gestion des facteurs s'ouvreautomatiquement sur la plate-forme client. Cette application fonctionne comme un assistant simple qui guidel'utilisateur final tout au long du processus d'inscription des facteurs d'authentification. A la fin de l'inscription,l'utilisateur peut alors commencer à utiliser les fonctionnalités d'Intel® Authenticate, en fonction desparamètres définis dans la stratégie. L'utilisateur ne peut pas modifier les paramètres dans la stratégie mise enœuvre.

Après l'inscription, l'utilisateur peut également ouvrir l'application de gestion des facteurs à tout moment etl'utiliser pour gérer (réinscrire) ses facteurs inscrits. Par exemple, il peut modifier son code PIN protégé ouchanger le téléphone qu'il utilise pour la Proximité Bluetooth® . Lorsqu'un utilisateur souhaite réinscrire unfacteur, il doit d'abord s'authentifier. Par exemple, pour modifier son code PIN, il doit fournir le code PINd'origine. Pour changer de téléphone, il doit s'authentifier avec le téléphone actuellement inscrit.

Remarque :

• l'application de gestion des facteurs est dynamique et elle affiche les écrans et les instructions selon lesparamètres de la stratégie mise en œuvre. Le processus d'inscription est relativement simple. Il ne prendque quelques minutes. Il est toutefois recommandé de vous familiariser avec le flux avant de procéderau déploiement sur les utilisateurs finaux. Pour vous aider à comprendre le flux, vous pouvez consulter leguide d'inscription situé dans le dossier racine de ce package d'installation.

• Une résolution d'écran minimale de 1024 x 768 est requise pour utiliser l'application de gestion desfacteurs (les résolutions inférieures ne sont pas prises en charge).

1 Introduction


13

1.4.4 Application Intel® Authenticate

Le facteur Proximité Bluetooth® exige de l'utilisateur qu'il installe une petite application sur le téléphone àutiliser avec Intel® Authenticate.

Remarque :

Le niveau de sécurité « Logiciel » du facteur Proximité Bluetooth® n'utilise pas l'application. Lors del'inscription, les utilisateurs dotés de ce niveau de sécurité ne devront pas installer l'application ou entrer uncode d'inscription. Pour plus d'informations, voir Proximité Bluetooth® page 2.

Les applications sont publiées dans Google Play (pour les téléphones Android*) et l'App Store (pour lesiPhone*) :

• App Store : https://itunes.apple.com/app/intel-authenticate/id1171157350

• Google Play : https://play.google.com/store/apps/details?id=com.intel.auth13217

L'application de gestion des facteurs inclut des boutons de téléchargement dans la page Proximité Bluetooth.L'utilisateur est invité à télécharger et à installer l'application Intel® Authenticate directement sur sontéléphone dans le cadre du processus d'inscription. Vous pouvez également envoyer les liens ci-dessus à vosutilisateurs et leur demander d'installer l'application appropriée sur leur téléphone avant la procédured'inscription.

Remarque :

• Sur les téléphones Android*, l'application s'exécute en arrière-plan. Par défaut, un grand nombre detéléphones Android empêchent le démarrage automatique des services d'arrière-plan. Sur cestéléphones, l'utilisateur doit autoriser manuellement le démarrage automatique de l'applicationIntel® Authenticate. (Si l'application ne s'exécute pas en arrière-plan, la vérification de ProximitéBluetooth échouera.)

• Sur les iPhone*, l'utilisateur doit veiller à ne pas fermer l'application. Par ailleurs, après le redémarragedu téléphone, l'application devra être ouverte manuellement.

1 Introduction

https://itunes.apple.com/app/intel-authenticate/id1171157350

https://play.google.com/store/apps/details?id=com.intel.auth13217


14

1.5 Intégration avec Microsoft SCCM

L'intégration avec SCCM requiert plusieurs composants Intel® Setup and Configuration Software (Intel® SCS)et deux plug-ins Intel® Authenticate.

Remarque :

Les composants Intel® SCS requis vous sont fournis, prêts à l'utilisation, dans ce package d'intégration. Sides versions plus récentes sont disponibles, elles sont accessibles sur le site web Intel®SCS.

Le tableau suivant décrit les composants Intel® SCS utilisés pour l'intégration d'Intel Authenticate avec SCCM.

Composant Description

Composant Intel® SCSpour Microsoft* SCCM

(appelé Add-on dans ceguide)

• Nom du fichier : SCCMAddon.exe

• Version prise en charge : 2.1.8 ou supérieure

• Emplacement dans le package : Intel_SCS_Components >

IntelSCS_SCCMAddon > SCCMAddon

• Objectif : un assistant de configuration qui crée pour vous desregroupements, des déploiements, des packages et des séquences detâches dans SCCM. Chacun des éléments créés par le composant Add-ondans SCCM est automatiquement préconfiguré.

Remarque :

• Les regroupements, les déploiements, les packages et les séquences detâches créés par le composant Add-on constituent un « point de départ ».Ce sont des exemples concrets que vous pouvez utiliser pour intégrerrapidement Intel® Authenticate avec SCCM. Vous pouvez utiliser leséléments créés par le composant Add-on dans SCCM en l'état ou commepoint de départ pour l'apprentissage et le développement. Pour en savoirplus, reportez-vous à la section Éléments créés par le composant Add-ondans SCCM page 16.

• Le composant Add-on comprend de nombreuses options supplémentaires.Par exemple, vous pouvez utiliser le composant Add-on pour l'ajout de laprise en charge d'Intel® AMT et pour l'intégration à Remote ConfigurationService (RCS) d'Intel SCS. Ces options ne sont pas abordées dans ce guide.Pour plus d'informations sur le composant Add-on, reportez-vous à ladocumentation qui l'accompagne.

1 Introduction

http://www.intel.com/content/www/us/en/software/setup-configuration-software.html


15

Composant Description

Utilitaire Platform Discovery • Nom du fichier : PlatformDiscovery.exe

• Version prise en charge : 11.0.0.81 ou supérieure

• Emplacement dans le package : Intel_SCS_Components >

Platform_Discovery

• Objectif : identifient les produits et les fonctionnalités Intel disponibles survos plates-formes, y compris Intel Authenticate. Lors de l'exécution ducomposant Add-on, lorsque vous sélectionnez ce composant, Add-on créeles séquences de tâches et les packages utilisés pour identifier les plates-formes qui prennent en charge Intel Authenticate.

Toutes les plates-formessur lesquelles Host SolutionManager n'est pas installé

• Nom du fichier : HostSolutionManagerInstaller.msi


• Emplacement dans le package : Intel_SCS_Components > Intel_

SCS_Framework > Framework

• Objectif : affiche une API qui utilise WMI (Windows ManagementInstrumentation). Cette API est le point d'accès au plug-in hôteIntel Authenticate (voir le tableau ci-dessous) et doit être installée sur lesplates-formes client. Lors de l'exécution du composant Add-on, lorsquevous sélectionnez ce plug-in, le composant Add-on crée les séquences detâches et les packages utilisés pour installer ce plug-in.

Plug-in Profile Editor • Nom du fichier : ProfileEditor.exe


• Emplacement dans le package : Intel_SCS_Components > Intel_

SCS_Framework > Profile Editor

• Objectif : une interface utilisateur graphique autonome permettant decréer et de modifier des profils de configuration, et de les enregistrer en tantque fichiers XML. Lorsque l'éditeur de profil est démarré, il recherche lesplug-ins Profile Editor dans le sous-dossier Plugins. Pour chaque plug-indétecté (et validé), un éditeur de plug-in s'affiche.

Le tableau ci-dessous décrit les plug-ins Intel® Authenticate.

1 Introduction


16

Type deplug-in

Détails

Plug-inhôte

• Nom du fichier : AuthenticatePlugin.dll

• Emplacement dans le package : HostPluginInstaller

• Objectif : traitement des demandes de configuration et d'autres communications avecIntel Authenticate sur la plate-forme client. Ce plug-in doit être installé sur les plates-formesclient. Lors de l'exécution du composant Add-on, lorsque vous sélectionnez ce composant, et cecomposant crée les séquences de tâches et les packages utilisés pour installer ce composant. Leplug-in hôte doit être enregistré dans le composant Host Solution Manager (voir le tableau ci-dessus). Host Solution Manager recherche les plug-ins dans le Registre. Le programmed'installation msi du plug-in ajoute automatiquement la clé de Registre lors de l'installation.

Éditeurdeprofils

• Nom du fichier :AuthenticateProfileEditor.dll

• Emplacement dans le package : préinstallé dans Profile Editor fourni dans ce package

• Objectif : permet de créer des profils de configuration (des stratégies) pour Intel® Authenticate.Utilisez ce plug-in sur l'ordinateur sur lequel vous exécutez le composant Profile Editord'Intel® SCS.

Remarque : le plug-in comprend de l'aide décrivant les paramètres disponibles dans les stratégiesIntel® Authenticate. Pour y accéder, cliquez sur l'icône d'aide du plug-in dans Profile Editor.

1.5.1 Éléments créés par le composant Add-on dans SCCM

Les tableaux de cette section décrivent les éléments que le composant Add-on crée dans SCCM en fonction de laprocédure répertoriée dans la section Installation du composant Add-on page 49.

Regroupements

Nom Règles d'adhésion

Intel SCS: Platform Discovery Toutes les plates-formes du système d'exploitationMicrosoft*.

Intel® Authenticate: Exists Toutes les plates-formes répondant aux conditions requisesliées au matériel et au microprogramme afin d'autoriserl'installation d'Intel® Authenticate.Remarque : le composant Add-on crée également desregroupements « Exists » supplémentaires pour d'autresproduits Intel (ils ne sont pas répertoriés ici, car ils ne sontpas pertinents pour l'intégration à Intel Authenticate).

Intel SCS : Solutions Framework NotInstalled

Toutes les plates-formes sur lesquelles Host SolutionManager n'est pas installé.

Intel SCS: Solutions Framework Installed Toutes les plates-formes sur lesquelles Host SolutionManager est déjà installé.

1 Introduction


17

Nom Règles d'adhésion

Intel Authenticate: Plugin Not Installed Toutes les plates-formes sur lesquelles le plug-in hôted'Intel® Authenticate n'est pas installé.

Intel Authenticate: Plugin Available Toutes les plates-formes sur lesquelles le plug-in hôted'Inte®l Authenticate est déjà installé.

Intel Authenticate: Managed Toutes les plates-formes sur lesquelles le plug-in hôted'Intel Authenticate est déjà installé et fonctionnecorrectement.

Séquences de tâches (et déploiements)

Les séquences de tâches sont désactivées par défaut (voir Activation des séquences de tâches (dans l'ordre)page 57).

Nom Description

Intel SCS: Platform Discovery Exécute le regroupement « Intel SCS: Platform Discovery »afin de détecter les produits Intel® pris en charge par chaqueplate-forme. Les données sont envoyées vers la base dedonnées SCCM et utilisées pour renseigner lesregroupements « Exists » pour chaque produit pris encharge.(Nous nous intéressons au regroupement « IntelAuthenticate: Exists »)

Intel SCS: Solutions Framework Installation Exécute le regroupement « Intel SCS: Solutions FrameworkNot Installed » afin d'installer Host Solution Manager sur lesplates-formes.

Intel Authenticate: Installation Exécute le regroupement « Intel Authenticate:Plugin Not Installed » afin d'installer le plug-in hôted'Intel Authenticate sur les plates-formes.

Remarque : cette séquence de tâches n'installe pas lescomposants logiciels d'Intel Authenticate. Cela signifie quevous devez créer une séquence de tâches et un packagedans SCCM afin d'installer les logiciels (voir Création d'unpackage d'installation client page 53).

Intel Authenticate: Configuration Exécute le regroupement « Intel Authenticate: PluginAvailable » afin de mettre en œuvre la stratégie IntelAuthenticate sur les plates-formes.

Intel Authenticate: Unconfigure Exécute le regroupement « Intel Authenticate: Managed »afin de supprimer les paramètres de la stratégie IntelAuthenticate des plates-formes.

1 Introduction


18

Packages

Nom Description

Intel SCS: Platform Discovery Utilisé par la séquence de tâches « Intel SCS: Platform Discovery ». Lesdonnées proviennent d'un dossier intitulé « Platform Discovery »contenant l'utilitaire de découverte des plates-formes et des scriptspermettant d'exécuter cet utilitaire.

Intel SCS: Solutions Framework Utilisé par la séquence de tâches « Intel SCS: Solutions FrameworkInstallation ». Les données proviennent d'un dossier intitulé « SolutionsFramework » contenant le programme d'installation de Host SolutionManager.

Intel Authenticate: Installation Utilisé par la séquence de tâches « Intel Authenticate: Installation ». Lesdonnées proviennent d'un dossier intitulé « Intel AuthenticateInstallation » contenant le programme d'installation du plug-in hôteIntel Authenticate.

Intel Authenticate: Actions Utilisé par les séquences de tâches « Intel Authenticate: Configuration »et « Intel Authenticate: Unconfigure ». Les données proviennent d'undossier intitulé « Intel Authenticate Actions » contenant des scriptsPowerShell utilisés par les séquences de tâches.

Remarque : ces dossiers ont été générés automatiquement par le composant Add-on dans le dossier parentque vous avez défini dans ce composant lors de l'installation.

1 Introduction


19

2 Configuration requise sur la plate-forme client

Cette section décrit la configuration requise pour Intel® Authenticate sur les plates-formes client.

Remarque :

• Les versions indiquées dans cette section sont les versions minimales prises en charge. Cependant, saufmention contraire, il est recommandé d'utiliser systématiquement la dernière version publiée pourchaque élément de configuration.

• Vous pouvez utiliser l'outil Check Tool afin de déterminer si une plate-forme répond aux conditionsrequises (voir L'outil Check Tool page 73).

2.1 Configuration requise pour l'installation

Ce tableau décrit la configuration minimale requise pour l'installation d'Intel® Authenticate sur les plates-formes client.

Configuration requise Détails

Processeur La plate-forme doit posséder un processeur de 6e génération (ou supérieur)appartenant à l'une des familles de processeurs suivantes :

• Intel® Core™

• Intel® Core™ M

• Intel® Core™ vPro™

• Intel® Core™ M vPro™

• Intel® Xeon® E3 (v5 ou supérieure)

MicroprogrammeIntel® ME

SKU d'entreprise du micrologiciel Moteur de gestion Intel® :

• Intel® ME 11.8 : version 11.8.50.3399 ou supérieure

• Intel® ME 11.7

• Intel® ME 11.6 : version 11.6.0.1117 ou supérieure

• Intel® ME 11.0 : version 11.0.0.1157 ou supérieure (version 11.0.0.1202minimum pour les plates-formes sur lesquelles le service de capteur Intel® estactivé).

Remarque :

• Par défaut, l'installation est bloquée sur toute version de micrologicielIntel® ME inférieure à 11.8.50.3399 (voir Version minimale du micrologicielIntel® ME page 21).

• La référence client n'est PAS prise en charge.



20


Logiciel Intel® ME(Moteur de gestionIntel®)

Logiciel Moteur de gestion Intel® version 11.6.0.1019 ou supérieure.

Le programme d'installation du logiciel Intel® ME installe automatiquementplusieurs composants. Voici les principaux composants requis et utilisés par Intel®Authenticate :

• Pilote de l'interface du moteur de gestion Intel® (Intel® MEI)

• Chargeur d'applications dynamique Intel® (Intel® DAL)

• Service JHI (Java Host Interface)

Système d'exploitation • Windows* 10 version 1709 (64 bits) :

• Version minimale : 10.0.16299.125

• Windows 10 version 1703 (64 bits) :


• Windows 10 version 1607 (64 bits) :


• Windows* 7 (32 bits et 64 bits)

Remarque : les correctifs suivants sont également nécessaires sousWindows* 7uniquement :

• KB2921916 : s'il n'est pas installé, l'installation sans assistance échoue.

• KB3033929 : s'il n'est pas installé, l'option Carte à puce ne fonctionne pas.

• KB2863706 : s'il n'est pas installé, l'authentification par empreinte logicielleéchoue.

Processeur graphiqueintégré

La version 21.20.16.4481 ou supérieure du pilote Graphiques HD Intel® doit êtreinstallée.

Remarque : certaines fonctionnalités d'Intel® Authenticate se basent sur lescapacités fournies par Intel® IPT avec Protected Transaction Display. Ces capacitésrequièrent un CPU Intel® avec processeur graphique intégré. Sur certaines plates-formes possédant également un processeur graphique discret, une fonctionnalitéde processeur graphique commutable peut être activée. Intel® Authenticate prenduniquement en charge la fonctionnalité de processeur graphique commutable si lepilote graphique discret peut transférer automatiquement l'appartenance auprocesseur graphique intégré lorsqu'Intel® IPT avec PTD est requis.

Protocole TLS Le protocole TLS (Transport Layer Security) doit être activé.

.NET Framework L'application de gestion des facteurs requiert la version 4.5.2 ou supérieure de .NETFramework.


https://support.microsoft.com/en-us/kb/2921916

https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2015/3033929



21

2.1.1 Version minimale du micrologiciel Intel® ME

Par défaut, l'installation est bloquée sur toute version de micrologiciel Intel® ME dont la version est inférieure à11.8.50.3399.

Si vous décidez d'installer Intel® Authenticate sur une version antérieure, les données stockéesdans le micrologiciel Intel® ME sont potentiellement vulnérables. Sont concernées, entre autres, lesdonnées d'inscription, comme la protection par code PIN, le mot de passe Windows* et les clés PKI. Pourinstaller Intel® Authenticate sur les versions antérieures du micrologiciel Intel® ME prises en charge, unindicateur d'installation spécial (ByPassMEFirmwareCheck) est nécessaire.

Remarque :

• Pour des raisons de sécurité, il est fortement recommandé de mettre à niveau les versions antérieuresdu micrologiciel Intel® ME vers la version 11.8.50.3399 ou supérieure. Pour plus d'informations,consulter la communication officielle ici.

• Si l'application Intel® Authenticate est déjà installée, la mise à niveau du micrologiciel Intel® ME vers laversion 11.8.50.3399 ou supérieure entraînera son arrêt. Pour que l'application Intel® Authenticatefonctionne à nouveau, vous devrez la réinitialiser puis définir une nouvelle fois la stratégie. En outre, lesutilisateurs devront inscrire une nouvelle fois tous leurs facteurs.(Pour réinitialiser Intel® Authenticate,utilisez la séquence de tâches Intel Authenticate: Unconfigure.)

Ce tableau décrit l'indicateur ByPassMEFirmwareCheck.

Indicateur Détails

BypassMEFirmwareCheck Valeurs valides :

• 0 : la valeur par défaut. L'application Intel® Authenticate serauniquement installée si la version 11.8.50.3399 ou supérieure estdétectée. (La mise à jour depuis des versions antérieures d'Intel®Authenticate sera également bloquée sur des plates-formes dotées d'uneversion inférieure à 11.8.50.3399.)

• 1 : si vous définissez cette valeur, l'application Intel® Authenticate seraégalement installée/mise à niveau sur toute version du micrologicielIntel® ME prise en charge (mais moins sécurisée).

Si vous souhaitez modifier la valeur par défaut, vous devez le faire dans le fichier Install_IA.ps1 (situé dansle dossier AuthenticateInstallers).


https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


22

2.2 Configuration requise pour la Proximité Bluetooth®

Le facteur Proximité Bluetooth® requiert une carte sans fil Intel® avec Bluetooth intégré sur la plate-forme,ainsi qu'un smartphone. Le smartphone utilisé peut être le téléphone personnel ou professionnel de l'utilisateuret il peut s'agir d'un téléphone Android* ou d'un iPhone*. Le tableau ci-dessous présente la configurationminimale requise pour la fonction Proximité Bluetooth (et le verrouillage en cas d'absence).


Carte sans fil • Intel® Wireless-AC 9560

• Intel® Wireless-AC 9260

• Intel®Wireless-AC 8265 double bande

• Intel®Wireless-AC 18265 triple bande



• Intel®Wireless-AC 18260 triple bande



Remarque : ces cartes sans fil sont uniquement prises en charge parIntel® Authenticate lorsqu'elles sont parfaitement compatibles avecla plate-forme et le système d'exploitation utilisés.

Pilotes Le pilote de carte réseau et le pilote Intel® Wireless Bluetooth® de lacarte doivent être installés sur la plate-forme.Remarque : seule les versions 19.00.1626.3453 et supérieures dupilote Intel® Wireless Bluetooth® sont prises en charge.

Système d'exploitation sur letéléphone

• Sur les téléphones Android : Android 4.2.2 ou version supérieure

• Sur les iPhone : iOS version 10.1 ou supérieure

Application sur le téléphone • Sur les téléphones Android : IntelAuthenticate.apk

• Sur les iPhone* : IntelAuthenticate.ipa (niveau de sécurité« Protégé » uniquement)

Remarque : pour plus d'informations, voir ApplicationIntel® Authenticate page 13.

Remarque : la fonction Proximité Bluetooth (et le verrouillage en cas d'absence) sur les iPhone :

• est uniquement prise en charge avec les iPhone* 5S ou modèles ultérieurs (les iPhone 5 et 5C ne sont paspris en charge).

• est uniquement prise en charge sousWindows* 7 si la plate-forme est dotée d'une carte Intel®Wireless-AC 8260 double bande.



23

2.3 Conditions requises pour l'Empreinte

Les conditions requises spécifiques pour le facteur Empreinte dépendent du type de lecteur d'empreintesdigitales.

Remarque :

Le pilote du lecteur d'empreintes digitales doit être installé avant le logiciel Intel® Authenticate. Si vousinstallez le pilote après avoir installé Intel® Authenticate, l'utilisateur final ne pourra pas inscrire sesempreintes via Intel® Authenticate. Cela est dû au fait que les fichiers DLL et les clés de registre requisn'existent pas (voir Résolution des problèmes liés au facteur Empreinte page 69).

Lecteurs d'empreintes protégées• Lecteur d'empreintes digitales avec technologie Match on Chip

• Pilote de lecteur d'empreintes digitales installé

• L'application FMA (Fingerprint Management Application) est installée. Il peut s'agir d'une application degestion des empreintes (FMA) propriétaire ou d'une application de gestion des empreintes Windowsincluse dans le cadre de Windows Biometric Framework (WBF) sousWindows 10.

Dans cette version, le facteur Empreinte protégée est uniquement pris en charge si les conditions suivantessont remplies :

• Matériel de lecteur d'empreintes digitales : capteur d'empreintes digitales Synaptics Natural ID* de lagamme VFS7500

• Logiciel de lecteur d'empreintes digitales : pilote Synaptics WBDI prenant en charge l'intégration avecIntel® Authenticate (consultez votre fournisseur de plate-forme pour plus de détails)

Lecteurs d'empreintes logicielles• Lecteur d'empreintes digitales

• Pilote de lecteur d'empreintes digitales installé

• L'application FMA (Fingerprint Management Application) est installée. Il peut s'agir d'une application degestion des empreintes (FMA) propriétaire ou d'une application de gestion des empreintes Windowsincluse dans le cadre de Windows Biometric Framework (WBF) sousWindows 10.

• SousWindows* 7, le correctif logiciel suivant est une condition requise pour le facteur Empreintelogicielle : https://support.microsoft.com/en-us/kb/2863706.




24

Remarque :

Dans les paramètres de stratégie d'Intel® Authenticate, vous pouvez sélectionner le type de facteurEmpreinte à activer. Si la stratégie ne contient que le facteur Empreinte protégée, il ne sera pas possibled'inscrire le facteur Empreinte sur les plates-formes dotées d'un lecteur d'empreintes logicielles. Si votreréseau comporte des ordinateurs dotés des deux types de lecteur, il est recommandé de définir uniquementle facteur Empreinte logicielle dans la stratégie. Le fait de définir seulement le facteur Empreinte logicielledans la stratégie signifie que vous souhaitez autoriser l'inscription et l'utilisation de l'un ou l'autre type defacteur. Intel® Authenticate détectera et inscrira automatiquement le facteur Empreinte selon le type delecteur qui existe sur la plate-forme (empreinte protégée ou logicielle).

2.4 Conditions requises pour la reconnaissance faciale

Le facteur de reconnaissance faciale requiert la configuration suivante :

• Windows* 10.0.14933.222 ou version supérieure

• Une caméra prise en charge par Windows Hello. Les caméras prises en charge sont généralement lesappareils infrarouges en trois dimensions capables d'utiliser le cadre de Windows Biometric Framework(WBF). Pour plus d'informations, reportez-vous à la documentation de Microsoft*.

2.5 Configuration requise pour Emplacement Intel® AMT

Le facteur Emplacement Intel® AMT requiert la configuration suivante :

• Plate-forme : système Intel® vPro™

• Microprogramme Intel® ME : version 11.0.15.1003 ou ultérieure

• Statut de configuration : Intel® AMT doit être configuré avec des domaines racines (si Intel® AMT estconfiguré sans domaines racines, il n'est pas possible d'utiliser ce facteur).

• Adresse IP : adresse IP dynamique (Les adresses IP statiques ne sont PAS prises en charge.)

Intel® AMT inclut de nombreuses options et méthodes de configuration différentes. Le seul prérequis aufacteur Emplacement Intel® AMT est qu'Intel® AMT soit configuré avec des domaines d'accueil. Vous pouvezconfigurer Intel®AMT à l'aide d'une configuration basée sur l'hôte (la méthode la plus simple) ou d'uneconfiguration à distance (laquelle implique plus d'opérations). Une fois les domaines d'accueil configurés, vouspouvez utiliser le facteur d'authentification Emplacement Intel® AMT.

Vous pouvez configurer Intel® AMT à l'aide d'Intel® Setup and Configuration Software (Intel® SCS) ou deMcAfee ePO Deep Command. La configuration d'Intel® AMT dépasse le cadre du présent guide. Lesinformations présentées ici sont destinées à vous aider à comprendre l'emplacement des paramètres desdomaines d'accueil. Pour obtenir des informations complètes sur la configuration d'Intel® AMT, reportez-vous àla documentation d'Intel® SCS ou de McAfee ePODeep Command.



25

2.5.1 Configuration de domaines domestiques à l'aide d'Intel® SCS

Lorsque vous utilisez Intel® SCS, la manière la plus rapide de configurer Intel® AMT consiste à utiliserl'utilitaire de configuration Intel® AMT. Il n'est pas nécessaire d'installer le composant Remote ConfigurationService (RCS) d'Intel® SCS. Lors de la définition du profil de configuration (à l'aide de l'assistant de profil deconfiguration), définissez les domaines d'accueil dans la fenêtre du même nom. Vous pouvez définir entre un etcinq domaines d'accueil.



26

2.5.2 Configuration de domaines d'accueil à l'aide d'ePo DeepCommand

Dans McAfee ePODeep Command, les paramètres des domaines d'accueil figurent dans l'onglet Accès àdistance de la stratégie. Les paramètres des domaines d'accueil sont également utilisés pour mettre en œuvrel'accès à distance initié par le client (CIRA) d'Intel® AMT. Pour utiliser le facteur Emplacement Intel® AMT, ilvous suffit de configurer les domaines d'hébergement. Il n'est pas nécessaire de configurer votreenvironnement pour CIRA.

2.6 Version PowerShell requise

Cette solution d'intégration se base sur les scripts rédigés dans PowerShell 3.0. Pour le bon fonctionnement deces scripts, l'installation de PowerShell version 2.0 ou supérieure est requise. Cela signifie que vous devez vousassurer que PowerShell version 2.0 ou supérieure est installée sur toutes les plates-formes client sur lesquellesvous voulez utiliser cette solution d'intégration.

Vous pouvez vérifier la version de PowerShell à l'aide de la commande PowerShell suivante : get—host.



27

3 Configuration de la connexion au VPN

Cette section décrit les éléments à préparer avant de pouvoir utiliser l'action Connexion au VPN.

3.1 Clients VPN pris en charge

Intel® Authenticate prend en charge les clients VPN qui utilisent l'interface de programme standardMicrosoftCryptographic Application Programming Interface (CAPI) et les Cryptographic Service Provider (CSP). Les clientsVPN suivants ont été testés et validés pour fonctionner avec Intel® Authenticate :

• Cisco*

• Microsoft*

Les clients VPN supplémentaires, tels que Juniper*, devraient fonctionner correctement, mais n'ont pas étéentièrement validés.

3.2 Intel® IPT avec PKI

L'action Connexion au VPN utilise des certificats générés et protégés dans le matériel de la plate-forme Intel àl'aide d'Intel® IPT avec PKI. Les composants d'Intel® IPT avec PKI sont requis :

• Sur la plate-forme du client : le programme d'installation d'Intel® Authenticate installeautomatiquement ce composant sur les plates-formes du client. (Si une plate-forme prend en chargeIntel® Authenticate, elle prend alors en charge Intel® IPT avec PKI) Aucune autre action n'estnécessaire.

• Sur l'AC de Microsoft : voir Préparation de l'autorité de certification ci-dessous ci-dessous.

Remarque :

Intel® Authenticate nécessite la version 4.1 ou une version ultérieure d'Intel® IPT avec PKI. Les versionsantérieures d'Intel® IPT avec PKI ne sont pas prises en charge.

3.3 Préparation de l'autorité de certification

Une autorité de certification (AC) Microsoft est nécessaire si vous souhaitez utiliser les modèles d'ACd'entreprise lors de la génération de certificats pour l'action de connexion au VPN. Pour pouvoir définir lemodèle, vous devez installer un ensemble de « composants AC » pour Intel IPT avec PKI sur le serveur surlequel l'AC de votre entreprise est située. Cette section décrit la configuration requise pour l'AC et la procédured'installation des composants AC.



28

3.3.1 Systèmes d'exploitation serveur pris en charge

Les composants AC d'Intel IPT avec PKI sont pris en charge sur ces systèmes d'exploitation serveur :

• Windows* Server 2012 R2

• Windows Server 2012

• Windows Server 2008 R2

3.3.2 Installation des composants AC

Le programme d'installation des composants AC d'Intel® IPT avec PKI est situé dans le dossier MS_CA_Installer à la racine de ce package. Vous pouvez installer Intel® IPT avec PKI à l'aide de l'assistantd'installation ou à l'aide d'une commande de l'interface de ligne de commande (CLI).

Pour installer les composants AC d'Intel® IPT avec PKI (à l'aide de l'assistant) :

1. Sur le serveur de votre autorité de certification, double-cliquez sur Intel_IPT_PKI_CA_Components_x64. La fenêtre de bienvenue s'affiche.

2. Cliquez sur Suivant. La fenêtre d'accord de licence utilisateur final s'affiche.

3. Sélectionnez J'accepte les termes de l'accord de licence et cliquez sur Suivant. La fenêtreInstallation personnalisée s'affiche.

4. Par défaut, l'option des clés non exportables Intel IPT® CSP/KSP est sélectionnée. C'est la seule option quevous devez installer pour activer l'action de connexion au VPN. Cliquez sur Suivant, puis sur Installerpour démarrer l'installation.



29

Pour installer les composants AC d'Intel® IPT avec PKI en mode silencieux :

1. Sur le serveur sur lequel l'AC est situé, ouvrez une invite de commande d'administration.

2. Exécutez cette commande :

msiexec /i [installer_filename].msi /qn ADDLOCAL=NonExportable

3.4 Définition du modèle de certificat d'autorité pour laconnexion au VPN

Les étapes nécessaires à la création d'un modèle de certificat varient d'une version à l'autre du systèmed'exploitation Windows* Server. En outre, les valeurs d'un grand nombre de paramètres dépendent desexigences spécifiques à votre entreprise. Cette section décrit les paramètres de modèle requérant des exigencesspécifiques pour l'action de connexion au VPN.

Traitement de la demande



30

Dans l'onglet Traitement de la demande :

• Vérifiez que la case Archiver la clé privée de chiffrement du sujet n'est PAS cochée. Cocher cettecase entraîne l'échec de l'inscription avec un message d'erreur « paramètre non valide ».

• Vérifiez que la case Autoriser l’exportation de la clé privée n'est PAS cochée.

• Sélectionnez l'option Demander à l'utilisateur lors de l'inscription et exiger une entréeutilisateur lorsque la clé privée est utilisée.

Sélection du CSP/Cryptographie



31

Lors de la sélection du CSP (fournisseur de service de chiffrement), vous devez vous assurer que seule la casede ce CSP est cochée :

• CSP Intel® IPT - Clés non exportables

Remarque :

Intel® IPT avec PKI (infrastructure à clé publique) inclut d'autres CSP et KSP (fournisseur de stockage declés). Ces CSP et KSP supplémentaires ne sont pas pris en charge lors de l'utilisation de l'action de connexionau VPN. Cela signifie également que les modèles de la version 3 ne sont pas pris en charge (car ils neprennent pas en charge les CSP.)

Extension de stratégie d'application

Dans l'onglet Extensions :

• Ajoutez une extension de stratégie d'application spécifiquement pour l'action de connexion au VPN.

• Définissez un identificateur d'objet (OID) unique à utiliser pour identifier cette stratégie. Il s'agit de l'OIDdont vous aurez besoin pour procéder à la configuration dans l'appliance VPN de votre entreprise. Vérifiezle nombre de caractères maximal pris en charge par votre appliance VPN. (De nombreuses appliancesVPN limitent le nombre de caractères de l'OID à 30.)



32

Nom du sujet

Dans l'onglet Nom du sujet,

• assurez-vous que la caseNom d'utilisateur principal est cochée.

• Si vos comptes utilisateurs sont définis dans Active Directory sans comptes de messagerie, assurez-vousque ces deux cases ne sont PAS cochées :

• Inclure le nom de l'e-mail dans le nom de substitution du sujet

• Nom de l'e-mail



33

Onglet Sécurité

Dans l'onglet Sécurité, assurez-vous que tous les groupes d'utilisateurs auxquels vous souhaitez donner accèsau certificat VPN disposent des autorisations suivantes :

• Lire

• Inscrire

3.5 Configuration de l'appliance VPN

Pour utiliser l'action de connexion au VPN, vous devez configurer votre appliance VPN de sorte qu'elle demandedes certificats à la place des mots de passe. Lorsque vous définissez les détails de certificat dans l'appliance VPN,vérifiez que vous utilisez l'OID que vous avez créé spécifiquement pour l'action de connexion au VPN. Pourobtenir des instructions sur la définition de votre appliance VPN afin qu'elle utilise des certificats, reportez-vousà la documentation fournie avec votre appliance VPN.



34

3.6 Génération d'un certificat pour le client

Chaque compte utilisateur qui va utiliser l'action de connexion au VPN requiert un certificat, basé sur le modèlede connexion au VPN, à installer dans le magasin de certificats de l'utilisateur. Au cours de l'installationd'Intel® Authenticate, un utilitaire du nom de CertificateUtility.exe est installé sur chaque plate-forme. L'utilitaire est installé dans le dossier suivant : C:\Program Files\Intel\Intel(R) Identity

Protection Technology with PKI. Vous pouvez utiliser cet utilitaire pour générer le certificat sur lesplates-formes clients.

Voici la syntaxe permettant de créer un certificat de connexion au VPN :

CertificateUtility.exe -c create_cert [-a <action name>] [-u <ca_url>]

[-t <template name>] [-i <yes|no>]

Indicateur Détails

-a <action_name> Valeurs valides lors de la génération d'un certificat de connexion au VPN :

• Unattended_VPNLogin : l'utilisateur n'est pas tenu de fournir une entréelorsque le certificat est installé. Cette option vous permet égalementd'installer le certificat sur la plate-forme avant que l'utilisateur n'ait inscrit sesfacteurs.

• VPNLogin : pendant l'installation du certificat, l'utilisateur doit s'authentifierà l'aide des facteurs définis pour l'action de connexion au VPN. Sil'authentification échoue, le certificat ne sera pas installé. Si vous utilisez cetteoption, vous ne pouvez pas installer le certificat tant que l'utilisateur n'a pasinscrit ses facteurs de connexion au VPN.

Remarque : la valeur que vous définissez dans cet indicateur dépend de ce quevous avez défini dans l'action de connexion au VPN de la stratégied'Intel® Authenticate. Pour utiliser l'option Unattended_VPNLogin, vousdevez d'abord activer cette option dans la stratégie.

-u <ca_url> L'URL de l'autorité de certification. Si elle n'est pas fournie, l'outil chercheratoutes les autorités de certification du domaine et essaiera d'envoyer unedemande à chacune d'entre elles.

-t <template_name> Le nom du modèle de certificat VPN. Vérifiez que le nom saisi est identique à celuique vous avez défini dans le modèle de certificat. Si vous n'indiquez pas de nom,la valeur par défaut pour la connexion au VPN est la suivante :IntelAuthenticateVPNLogin.

-i <yes|no> Définit si l'utilisateur doit s'authentifier lorsque le certificat est utilisé. Leparamètre par défaut est no.Remarque : lors de la connexion au VPN, vous devez toujours définir ceparamètre sur yes.



35

Exemple 1 : génération d'un certificat ne nécessitant pas l'intervention de l'utilisateur lors del'installation :

CertificateUtility.exe -c create_cert -a Unattended_VPNLogin -t <My_VPN_Template>

-i yes

Exemple 2 : génération d'un certificat nécessitant l'authentification de l'utilisateur lors del'installation :

CertificateUtility.exe -c create_cert -a VPNLogin -t <My_VPN_Template> -i yes



36

4 Configuration de la connexion par carte à puce

Remarque :

• Les instructions décrites dans cette section ne sont nécessaires que si vous voulez utiliser l'option Carteà puce virtuelle de l'action Connexion au SE (voir Connexion au SE page 8).

• Voir également Éléments à prendre en considération lors de l'utilisation de l'option Carte à puce pagesuivante.

Pour utiliser l'option Carte à puce virtuelle, deux possibilités s'offrent à vous :

• Utiliser l'option intégrée par défaut.

• Utiliser un gestionnaire de certificats externe. Intel® Authenticate prend actuellement en chargel'intégration avec Intercede MyID*.

Le tableau suivant décrit les options et les opérations requises pour les mettre en œuvre.

Option Description

Option intégrée Il s'agit de l'option par défaut. Lorsque cette option est utilisée, tous les composants requissur la plate-forme client sont installés automatiquement par Intel® Authenticate. Parailleurs, la gestion des certificats est prise en charge par Intel® Authenticate.

• Installation sur l'AC : vous devez définir un modèle spécifique sur votre autorité decertification Microsoft (voir Définir le modèle de certificat d'autorité de certification pourcarte à puce page suivante).

• Installation sur la plateforme client : lors de l'installation d'Intel® Authenticatesur les plates-formes client, Intel® Authenticate vérifie si le logiciel client IntercedeMyID*est installé. Si ce n'est pas le cas, Intel® Authenticate installe les composantsnécessaires pour l'option Carte à puce. Cela comprend une entrée de carte à puce dansle Gestionnaire de périphériques, ainsi que les logiciels et les pilotes requis. Le serviceIntel® Authenticate demande et installe ensuite automatiquement un certificat pourl'authentification par carte à puce en fonction du modèle que vous avez défini sur votreAC. Par ailleurs, 10 jours avant la date d'expiration du certificat, Intel® Authenticaterenouvelle automatiquement ce dernier. Toutes ces actions sont réalisées sans lamoindre intervention de la part de l'utilisateur.

Gestionnaire decertificatsexterne

Pour mieux contrôler les certificats utilisés pour l'authentification par carte à puce, vouspouvez effectuer une intégration avec un gestionnaire de certificats externe.

• Installation sur l'AC : vous devez définir un modèle spécifique conformément auxinstructions de la documentation de MyID.

• Installation sur la plateforme client : vous devez installer une version prise encharge du logiciel client Intercede MyID* sur vos plates-formes client. Si le programmed'installation d'Intel® Authenticate détecte que le logiciel client MyID* est installé,l'option intégrée n'est pas activée. Au lieu de cela, l'inscription et la gestion du certificatde carte à puce sont entièrement prises en charge par MyID. Pour plus d'informations,reportez-vous à la documentation de MyID.

Remarque : pour utiliser cette option, il est recommandé d'installer MyID sur la plate-forme client avant d'installer Intel® Authenticate.



37

4.1 Éléments à prendre en considération lors del'utilisation de l'option Carte à puce

Voici quelques points importants à avoir à l'esprit avant de mettre en œuvre l'option Carte à puce :

• Lorsque l'option Carte à puce est mise en œuvre, le processus de connexion peut prendre un peu plus detemps (une ou deux secondes de plus). En effet, l'authentification à l'aide de certificats implique un plusgrand nombre d'actions que la simple vérification du mot de passe fourni.

• La toute première connexion à l'aide de l'option Carte à puce prend plus de temps que toutes lesconnexions suivantes (environ 10 secondes de plus). En effet, plusieurs actions nécessaires pourconfigurer et confirmer l'approbation sont réalisées pendant la première connexion. Ces actionssupplémentaires concernent uniquement la toute première connexion, lorsque le certificat est utilisépour la première fois.

• Parfois, après avoir changé d'état d'alimentation, la connexion peut prendre entre 7 et 15 secondes.

• Dans certains environnements réseau, lorsque l'authentification basée sur des certificats est mise enœuvre, des messages invitant les utilisateurs à fournir leurs informations d'identification peuvent parfoiss'afficher :

La plupart du temps, l'utilisateur peut ignorer ce message. Néanmoins, si l'accès au réseau est vraimentbloqué, l'utilisateur doit verrouiller l'ordinateur et se connecter à nouveau à l'aide d'Intel® Authenticate.

Généré par Windows*, ce message indique généralement que Windows* considère qu'un ticketd'authentification a expiré et qu'une nouvelle authentification est donc nécessaire. Si ces messagess'affichent dans votre environnement réseau, vérifiez les paramètres de configuration d'ActiveDirectory*. Attardez-vous tout particulièrement sur les paramètres de configuration de Kerberos* dansvotre réseau. Pour plus d'informations, reportez-vous à la documentation Microsoft* appropriée.

4.2 Définir le modèle de certificat d'autorité decertification pour carte à puce

Remarque :

Les instructions décrites dans cette section ne s'appliquent que si vous prévoyez d'utiliser l'option« intégrée » (voir Configuration de la connexion par carte à puce page précédente). Si vous optez pour ungestionnaire de certificat externe, reportez-vous à la documentation de MyID pour obtenir les instructionsrelatives à la définition du modèle.



38

Pour créer un modèle de certificat pour carte à puce avec l'option « intégrée » :

1. Sur le serveur de votre autorité de certification, sélectionnezDémarrer > Exécuter. La fenêtre Exécuters'affiche.

2. Saisissezmmc, puis cliquez surOK. La fenêtre Console MMC s'affiche.

3. Si le plug-in Modèles de certificats n'est pas installé, effectuez les étapes suivantes :

a. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtreAjout/Suppression d'un composant logiciel enfichable autonome s'affiche.

b. Cliquez sur Ajouter. La fenêtre Ajouter un composant logiciel enfichable autonome s'affiche.

c. Dans la liste des composants logiciels enfichables disponibles, sélectionnezModèles de certificats,puis cliquez sur Ajouter.

d. Cliquez sur OK. La fenêtre Ajouter/Supprimer un composant logiciel enfichable se referme et lecomposant logiciel enfichable Modèles de certificats est ajouté à l'arborescence Racine de la console.

4. Dans la liste des composants logiciels enfichables disponibles, sélectionnezModèles de certificats, puiscliquez sur Ajouter.

5. À la racine de la console MMC, double-cliquez surModèles de certificats. Tous les modèles de certificatsdisponibles s'affichent.

6. Cliquez avec le bouton droit sur le modèle Connexion par carte à puce et sélectionnezDupliquer lemodèle. Un nouveau modèle de certificat est ajouté à la liste.



39

7. Cliquez avec le bouton droit sur le nouveau modèle de certificat et sélectionnez Propriétés. La fenêtrePropriétés du nouveau modèle s'ouvre.

8. Sélectionnez l'onglet Compatibilité, et dans la liste déroulante Autorité de certification, sélectionnezWindows Server 2003.

9. Sélectionnez l'onglet Général :

a. Renommez le modèle comme suit :Connexion au SE par carte à puce Intel Authenticate.

b. Définissez la période de validité en fonction de la durée requise.

10. Cliquez sur l'onglet Traitement de la demande :

a. Dans l'option Objectif, sélectionnez Signature et Connexion par carte à puce.

b. Cliquez surDemander à l'utilisateur lors de l'inscription.

11. Cliquez sur l'onglet Chiffrement :

a. Définissez la taille de clé minimale sur 2048.

b. Cliquez sur Les demandes doivent utiliser l'un des fournisseurs suivants, puis sélectionnezFournisseur de services de chiffrement Microsoft pour carte à puce.

12. Cliquez sur l'onglet Sécurité. Ajoutez le groupe de sécurité auquel vous voulez accorder l'accès àl'inscription. Par exemple, pour accorder l'accès à tous les utilisateurs, sélectionnez le groupe Utilisateursauthentifiés, puis Autorisations d'inscription.

13. Cliquez surOK pour finaliser vos modifications et créer le nouveau modèle. Votre nouveau modèle s'affichedans la listeModèles de certificats.



40

14. Si le plug-in Autorité de certification n'est pas installé, effectuez les étapes suivantes :

a. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtreAjout/Suppression d'un composant logiciel enfichable autonome s'affiche.

b. Cliquez sur Ajouter. La fenêtre Ajouter un composant logiciel enfichable autonome s'affiche.

c. Dans la liste des composants logiciels enfichables disponibles, sélectionnezAutorité de certification,puis cliquez sur Ajouter.

d. Cliquez sur OK. La fenêtre Ajouter/Supprimer un composant logiciel enfichable se referme et lecomposant logiciel enfichable Autorité de certification est ajouté à l'arborescence Racine de la console.

15. Le message invitant à sélectionner l'ordinateur que ce composant logiciel enfichable va gérer s'affiche.Sélectionnez l'option de sélection de l'ordinateur sur lequel se trouve l'autorité de certification,probablement Ordinateur local.

16. Dans le volet gauche de la console MMC, agrandissezAutorité de certification (local), puis votreautorité de certification dans la liste Autorité de certification.



41

17. Cliquez avec le bouton droit surModèles de certificats, cliquez surNouveau, puis surModèle decertificat à délivrer.

18. Dans la liste, sélectionnez le nouveau modèle créé (Connexion au SE par carte à puce IntelAuthenticate), puis cliquez surOK.

Remarque :

La réplication de votre modèle sur tous les serveurs et son affichage dans cette liste peuvent prendre uncertain temps.

19. Une fois la réplication terminée, dans la console MMC, cliquez avec le bouton droit sur la liste Autorité decertification, cliquez sur Toutes les tâches, puis sur Arrêter le service. Ensuite, cliquez à nouveausur le nom de l'autorité de certification avec le bouton droit de la souris, cliquez sur Toutes les tâches,puis cliquez surDémarrer le service.



42

5 Préparation à l'intégration

Cette section décrit les tâches préalables que vous devez accomplir avant d'installer le composant additionnel.

5.1 Préparation d'un certificat de signature numérique

Toutes les stratégies Intel® Authenticate doivent être signées par un certificat de signature numérique. Lasignature de la stratégie est une étape obligatoire dans le plug-in Profile Editor pour pouvoir enregistrer lastratégie. Si vous ne disposez pas d'un certificat valide, vous ne serez pas autorisé à enregistrer la stratégie. Ilest conseillé de préparer un certificat qui ne sera utilisé que par Intel® Authenticate. Une fois que vous avezobtenu un certificat pour Intel® Authenticate, vous devez l'installer sur l'ordinateur sur lequel vous envisagezd'exécuter Profile Editor.

Exigences en matière de certificat

• Le certificat doit être émis par une autorité de certification (AC) approuvée et contenir une clé privéevalide.

• Il n'est PAS nécessaire que le certificat soit un certificat de signature de code.

• La taille de la clé doit être de 2 048 ou 4 096 bits (aucune autre taille de clé n'est prise en charge).

• La clé doit être générée par un fournisseur de services de chiffrement (CSP). Il est conseillé d'utiliser unCSP qui prend en charge SHA256. Si vous utilisez un CSP qui ne prend pas en charge SHA256, vousdevez vous assurer que la clé peut être exportée.

• Les clés générées par un fournisseur de stockage de la clé (KSP) ne sont pas prises en charge.

• Assurez-vous d'avoir installé le certificat dans le magasin de l'ordinateur ou le magasin de certificats del'utilisateur qui exécute Profile Editor. Seuls les certificats installés dans ces magasins de certificatsseront affichés comme disponibles dans le plug-in Profile Editor. Si vous installez le certificat dans lemagasin de l'ordinateur, vous devez exécuter Profile Editor avec des privilèges d'administrateur. Enoutre, vous devez installer le certificat racine dans le magasin de certificats racines de confiance.

Obtention d'un certificat

Vous pouvez utiliser des certificats de signature numérique générés par une AC externe ou par une AC interne(disponible sur votre réseau). Pour obtenir un certificat, vous devez envoyer une demande de signature decertificat (CSR) à l'AC. Le processus d'obtention d'un certificat varie selon le fournisseur et dépasse le cadre duprésent guide.

Remarque :

Le bouton Sélectionner le certificat de signature dans Profile Editor affiche la liste des certificats de signaturedéjà installés sur l'ordinateur utilisé pour exécuter Profile Editor. À des fins de test, vous pouvez utilisern'importe quel certificat signalé comme valide (dans la colonne Valide). S'il n'y a aucun certificat valide, vouspouvez créer un certificat test en suivant la procédure décrite ci-dessous.



43

Création d'un certificat test

À partir de PowerShell version 5, vous pouvez utiliser la commande New-SelfSignedCertificate pourcréer un certificat. (PowerShell 5 est inclus par défaut dansWindows 10.) Cette procédure permet de créer uncertificat test et de l'installer dans le magasin de certificats personnels de l'utilisateur actuel.

Pour créer et installer un certificat test :

1. Sélectionnez l'ordinateur sur lequel vous comptez exécuter Profile Editor et créer la stratégied'Intel® Authenticate.

2. Connectez-vous à l'ordinateur avec un compte Administrateur.

3. Ouvrez une invite de commande et exécutez la commande suivante :

New-SelfSignedCertificate –Subject “CN=TestCert” –KeyUsageProperty All

–KeyAlgorithm RSA –KeyLength 2048 -KeyUsage DigitalSignature

–Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"

–CertStoreLocation "Cert:\CurrentUser\My"

Dans cet exemple, un certificat nommé « TestCert » est installé dans le magasin de certificats personnels.Vous pouvez utiliser n'importe quel nom pour votre propre certificat test. Une fois l'exécution de lacommande terminée, vous devez copier manuellement le certificat dans le magasin de certificats racinesde confiance de l'utilisateur actuel. La suite de la procédure présente la marche à suivre à l'aide de laconsole MMC (Microsoft Management Console).

4. Cliquez surDémarrer, saisissezmmc.exe, puis appuyez sur <Entrée>. La fenêtre de MicrosoftManagement Console s'affiche.

5. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. La fenêtre Ajouter ousupprimer des composants logiciels enfichables s'affiche.

6. Dans la liste des composants logiciels enfichables disponibles (dans le volet de gauche de la fenêtre),sélectionnez Certificats, puis cliquez sur Ajouter. La fenêtre Composant logiciel Certificats s'affiche.

7. SélectionnezMon compte d'utilisateur, puis cliquez sur Terminer. La fenêtre Composant logicielCertificats se ferme et le composant logiciel enfichable « Certificats - Utilisateur actuel » est ajouté à la listedes composants logiciels enfichables sélectionnés.

8. Cliquez sur OK. La fenêtre Ajouter ou supprimer des composants logiciels enfichables se ferme et lescomposants logiciels enfichables sont ajoutés à l'arborescence racine de la console (dans le volet de gauchede la fenêtre).

9. Dans le volet de gauche, sélectionnez Certificats -Utilisateur actuel > Personnel > Certificats.

10. Dans le volet de droite, cliquez avec le bouton droit sur TestCert, puis sélectionnez Copier.

11. Dans le volet de gauche, cliquez avec le bouton droit sur Certificats -Utilisateur actuel > Autorités decertification racines de confiance > Certificats, puis sélectionnez Coller.

12. Un message d'avertissement de sécurité s'affiche. Cliquez surOui. Le certificat TestCert est copié dans lemagasin Autorités de certification racines de confiance.

13. Fermez la fenêtre de Microsoft Management Console. Le certificat test est maintenant prêt à être utilisé.Lorsque vous exécuterez Profile Editor sur cet ordinateur, le certificat test apparaîtra dans la liste descertificats valides.



44

5.2 Création d'une stratégie

Les stratégies pour Intel® Authenticate sont créées à l'aide du plug-in Profile Editor d'Intel® Authenticate. Ceplug-in est chargé dans le composant Profile Editor d'Intel® SCS. Une fois chargé, le plug-in Profile Editord'Intel® Authenticate affiche les paramètres pris en charge. Pour accéder aux descriptions de ces paramètres,cliquez sur l'icône d'aide du plug-in.

Pour créer une stratégie :

1. Dans le dossier ProfileEditor, cliquez avec le bouton droit sur le fichier ProfileEditor.exe, puissélectionnez Exécuter en tant qu'administrateur.

2. Dans le volet de gauche, sélectionnez le plug-in Intel® Authenticate.

3. Dans le volet de droite, cliquez sur Create a New Profile (Créer un nouveau profil). Un nouveauprofil vide s'ouvre.

4. Dans la section Signing Certificate (Certificat de signature), cliquez sur Select Signing Certificate(Sélectionner le certificat utilisé pour la signature) et sélectionnez un certificat qui sera utilisé pourla signature de la stratégie (voir Préparation d'un certificat de signature numérique page 42).

Remarque :

La liste répertorie tous les certificats trouvés dans les magasins de certificats appropriés. Toutefois, vousne pouvez sélectionner un certificat que s'il est marqué comme valide (dans la colonne Valid (Valide)). Sile certificat s'affiche comme non valide car la chaîne ne peut pas être validée, essayez de connecter laplate-forme à Internet ou installer manuellement les certificats manquants dans la chaîne.

5. Définissez les paramètres à inclure dans cette stratégie. La plupart des paramètres comprennent une info-bulle avec leur explication. Pour en savoir plus sur les paramètres, cliquez sur l'icône d'aide dans la barred'outils du plug-in.

Remarque :

Sur les systèmes qui ne sont pas des systèmes intégrant Intel® vPro™, le nombre de facteursobligatoires que vous pouvez définir pour chaque action est limité à deux. Par conséquent, l'applicationd'une stratégie contenant une action avec plus de deux facteurs obligatoires échouera. Cette restrictionne s'applique pas aux systèmes intégrant Intel® vPro™. Sur les systèmes intégrant Intel® vPro™,vous pouvez définir autant de facteurs obligatoires que vous le souhaitez pour chaque action.

6. Dans cette barre d'outils, cliquez sur Save (Enregistrer) ou Save As (Enregistrer sous). La fenêtreSave As (Enregistrer sous) s'affiche.

7. Indiquez le nom et l'emplacement où vous voulez enregistrer la stratégie, puis cliquez sur Save(Enregistrer). La fenêtre Save As (Enregistrer sous) se ferme et le profil est enregistré. La stratégie resteouverte dans le plug-in Profile Editor et son nom s'affiche dans la barre d'outils du plug-in.

Remarque :

Le fichier XML de la stratégie peut désormais être utilisé. Lors de l'installation, vous devez sélectionner cefichier XML dans l'assistant Add-on.



45

6 Intégration avec Microsoft SCCM

Cette section décrit l'utilisation des contenus du package d'intégration SCCM dans le cadre de l'intégrationd'Intel® Authenticate avec SCCM. Une fois l'intégration terminée, vous pouvez utiliser SCCM pour configurer etgérer Intel® Authenticate.

6.1 Flux de déploiement à l'aide de SCCM

Voici les étapes principales à suivre pour déployer et configurer Intel® Authenticate à l'aide de SCCM :

1. Effectuez les tâches décrites dans la section Préparation à l'intégration page 42.

2. Assurez-vous que la version et la configuration de SCCM sont prises en charge (voir Versions SCCM prisesen charge ci-dessous).

3. Importez les classes de rapports d'inventaire matériel (voir Ajout de classes de rapport d'inventaire matérielpage suivante).

4. Installez le composant Add-on pour créer des regroupements, des déploiements, des packages et desséquences de tâches dans SCCM (voir Installation du composant Add-on page 49).

5. Créez un package de déploiement pour les programmes d'installation d'Intel® Authenticate (voir Créationd'un package d'installation client page 53).

6. Activez les séquences de tâches dans l'ordre approprié (voir Activation des séquences de tâches (dansl'ordre) page 57).

7. Une fois la stratégie appliquée sur une plate-forme client, l'utilisateur peut inscrire les facteurs que vousavez définis dans la stratégie et commencer à utiliser Intel® Authenticate. Pour plus d'informations sur leprocessus d'inscription, reportez-vous au guide d'inscription inclus dans le package d'intégration.

6.2 Versions SCCM prises en charge

Les versions de SCCM prises en charge peuvent varier d'un composant Add-on à l'autre. Pour en savoir plus surles versions prises en charge, consultez la documentation du composant Add-on.

Remarque :

Pour la hiérarchie SCCM 2012 avec un site d'administration central (comme décrit ici :http://technet.microsoft.com/fr-fr/library/gg712320.aspx), assurez-vous d'installer le composant Add-onsur le site d'administration central (et non sur un site principal/secondaire).


http://technet.microsoft.com/en-us/library/gg712320.aspx


46

6.3 Ajout de classes de rapport d'inventaire matériel

Avant d'installer un composant Add-on, vous devez ajouter quelques classes de rapport d'inventaire matériel àSCCM. Ces classes permettent de renseigner les regroupements avec des données, notamment lesregroupements pour Intel® Authenticate. Les classes sont importées à partir de deux fichiers fournis lecomposant Add-on :

• sms_def_SCSDiscovery.mof : ajoute une classe nommée Intel_SCS_Discovery.

• sms_def_AMT.mof : ajoute des classes dont le préfixe est Intel_AMT.

Ajout de classes de rapport d'inventaire matériel

1. Ouvrez la console Configuration Manager.

2. Dans le volet de gauche, sélectionnezAdministration > Paramètres client.

3. Dans le volet de droite, cliquez avec le bouton droit sur Paramètres client par défaut, puis sélectionnezPropriétés.

La fenêtre Paramètres par défaut s'affiche.



47

4. Sélectionnez Inventaire matériel.

5. Cliquez surDéf. classes... La fenêtre Classes de rapport d'inventaire matériel s'affiche.

6. Cliquez sur Importer.



48

7. Accédez au dossier SCCMAddon, sélectionnez le fichier sms_def_SCSDiscovery.mof inclus avec lecomposant Add-on et cliquez surOK. La fenêtre Résumé d'importation s'affiche.

Remarque :

Si une erreur s'affiche dans la fenêtre Résumé d'importation, reportez-vous à la section Problèmes liés àl'importation des classes de rapport d'inventaire matériel page 80.

8. Cliquez sur Importer, puis surOK deux fois de suite pour fermer les fenêtres affichées.

9. Répétez les étapes 6 à 8 pour importer le fichier sms_def_AMT.mof.



49

6.4 Installation du composant Add-on

Cette procédure décrit les étapes d'installation des composants Add-on minimum requis pour l'intégrationd'Intel® Authenticate avec SCCM.

Cette procédure suppose qu'aucun composant Add-on n'est pas déjà installé. Si un ou plusieurs composantsAdd-on sont déjà installés, sélectionnezModifier les paramètres du composant Add-on à l'ouverture duprogramme d'installation des composants Add-on. Passez ensuite à l'étape 7 pour ajouter les éventuelscomposants manquants et le plug-in Intel® Authenticate.

Pour installer le composant Add-on :

1. Copiez les contenus du package d'intégration SCCM sur le serveur exécutant la console ConfigurationManager. (Dans une hiérarchie comprenant un site d'administration centrale, il doit s'agir du serveur dusite d'administration centrale.)

2. Dans le dossier Intel_SCS_Components > IntelSCS_SCCMAddon > SCCMAddon, double-cliquezsur SCCMAddon.exe. La fenêtre de bienvenue s'affiche.

3. Cliquez sur Suivant. La fenêtre End User License Agreement (Accord de licence utilisateur final) s'affiche.

4. Après avoir lu l'accord de licence, sélectionnez I accept the terms of the license agreement(J'accepte les termes du contrat de licence) et cliquez surNext (Suivant). La fenêtre ParamètresSCCM s'affiche.



50

5. L'assistant détecte automatiquement les paramètres SCCM requis. Assurez-vous que les paramètresrépertoriés dans la fenêtre SCCM Settings (Paramètres SCCM) sont corrects (sinon, veillez à ne pascontinuer).

6. Cliquez surNext (Suivant) pour continuer. La fenêtre Sélectionner des composants s'affiche.



51

7. Pour ajouter les composants Solutions Framework et Platform Discovery à SCCM, procédez comme suit :

a. Dans la colonne Chemin de la ligne Solutions Framework, cliquez sur et accédez au dossierIntel_SCS_Components > Intel_SCS_Framework > Framework.

b. Sélectionnez le fichier HostSolutionManagerInstaller.msi et cliquez surOuvrir. Le chemind'accès au fichier est mis à jour dans la colonne Path (Chemin d'accès).

c. Dans la colonne Chemin de la ligne Platform Discovery, cliquez sur et accédez au dossier Intel_SCS_Components > Platform_Discovery.

d. Sélectionnez le fichier PlatformDiscovery.exe et cliquez surOuvrir. Le chemin d'accès au fichierest mis à jour dans la colonne Path (Chemin d'accès).

e. Dans la colonne Action des lignes Solutions Framework et Platform Discovery, assurez-vous quel'action Install (Installer) est sélectionnée.

8. Dans la colonne Action du composant Intel® AMT, sélectionnezAucune modification. (L'intégrationd'Intel® AMT avec SCCM n'est pas abordée dans ce guide. Pour plus d'informations, reportez-vous à ladocumentation relative à Add-on.)

9. Pour ajouter le plug-in Intel® Authenticate à SCCM, procédez comme suit :

a. Cliquez sur Ajouter et accédez au dossier HostPluginInstaller .

b. Sélectionnez le fichier AuthenticatePlugin.msi et cliquez surOuvrir. Intel® Authenticate estajouté à la liste des composants et le chemin d'accès au fichier est mis à jour dans la colonne Path(Chemin d'accès).

c. Dans la colonne Action de la ligne Intel® Authenticate, assurez-vous que l'action Installer estsélectionnée.



52

10. Cliquez sur Suivant. La fenêtre Intel® Authenticate s'affiche.

11. Cochez uniquement les cases Configure (Configurer) et Unconfigure (Annuler la configuration).(La case Install (Installer) est obligatoire et est déjà cochée.)

Remarque :

Actuellement, la fonctionnalité Discover (Découvrir) n'est pas prise en charge par le plug-in Intel®Authenticate. Si vous cochez cette case par erreur, le composant Add-on va créer des objets pour cettefonctionnalité même si le plug-in ne peut pas les utiliser.

12. Cliquez sur Parcourir et sélectionnez le profil XML (la stratégie) que vous avez créé pourIntel® Authenticate (voir Création d'une stratégie page 44).



53

13. Cliquez sur Suivant. La fenêtre Add-on Packages Folder (Dossier des packages Add-on) s'affiche.

Lors de l'installation, le composant Add-on crée automatiquement des packages pour les composantssélectionnés pour l'installation. Pour chaque package, le composant Add-on crée un dossier contenant lesfichiers requis par le package. Pour plus de simplicité, tous ces dossiers seront situés dans un seul dossierparent défini dans cette fenêtre. Le dossier parent doit se trouver à un emplacement auquel la consoleConfiguration Manager a toujours accès.

a. Cliquez sur Browse (Parcourir). La fenêtre Browse for Folder (Rechercher un dossier) s'affiche.

b. Recherchez un emplacement auquel la console Configuration Manager a toujours accès et créez-y undossier parent pour les packages Add-on. Choisissez un nom de dossier qui vous aidera à reconnaîtrel'utilité de ce dossier.

c. Cliquez surOK pour fermer cette fenêtre.

14. Cliquez sur Suivant. L'assistant installe les composants sélectionnés. Une fois terminé, cliquez surSuivant. La fenêtre Completed Successfully (Opération terminée) s'affiche.

15. Pour quitter l'assistant, cliquez sur Finish (Terminer). Les éléments créés par le composant Add-on sontprêts à être utilisés (voir Éléments créés par le composant Add-on dans SCCM page 16).

6.5 Création d'un package d'installation client

Le composant Add-on ne crée pas de package d'installation pour installer Intel® Authenticate sur les plates-formes client. (Le package « Intel Authenticate : Installation » installe uniquement le plug-in hôte. Pour plusd'informations, reportez-vous à la section Éléments créés par le composant Add-on dans SCCM page 16.

Par conséquent, vous devez créer le package requis (y compris la séquence de tâches et le déploiement) pourdéployer les programmes d'installation d'Intel® Authenticate sur les plates-formes client. Vous pouvez créer cepackage manuellement ou automatiquement à l'aide d'un petit exécutable fourni dans le package d'intégrationSCCM.



54

Pour créer automatiquement le package d'installation Intel® Authenticate :

1. À partir du package d'intégration SCCM, copiez le dossier AuthenticateInstallers à la racine dudossier que vous avez défini dans la fenêtre Dossier des packages Add-on du programme d'installation descomposants Add-on. (Le dossier que vous avez défini à l'étape 13 de la section Installation du composantAdd-on page 49.)

2. Revenez dans le package d'intégration SCCM, puis ouvrez une invite de commande d'administration dansce dossier :

Intel_SCS_Components > AuthenticatePackage.

3. Exécutez cette commande :

CreateAuthenticatePackage.exe -p [chemin d'accès au dossier

AuthenticateInstallers]

Par exemple, si votre dossier de packages Add-on s'appelle « AddonPackagesFolder » et qu'il est situé sur lelecteur C :

CreateAuthenticatePackage.exe -p

"C:\AddonPackagesFolder\AuthenticateInstallers"

Voici un exemple de sortie obtenue lorsque la commande est exécutée correctement :

4. Vérifiez que les composants suivants ont été créés :

• Package : Intel Authenticate Client Installation

• Séquence de tâches : Intel Authenticate Client Installation

• Déploiement : Intel Authenticate Client Installation



55

Pour créer manuellement le package d'installation Intel® Authenticate :

1. À partir du package d'intégration SCCM, copiez le dossier AuthenticateInstallers à la racine dudossier que vous avez défini dans la fenêtre Dossier des packages Add-on du programme d'installation descomposants Add-on. (Le dossier que vous avez défini à l'étape 13 de la section Installation du composantAdd-on page 49.)

2. Créez un nouveau package et définissez le dossier AuthenticateInstallers en tant que source :

a. Dans le volet Navigation, sélectionnezBibliothèque de logiciels > Vue d'ensemble > Gestiond'applications > Packages.

b. Dans le volet de droite, cliquez avec le bouton droit de la souris et sélectionnez Créer le package.L'Assistant Création d'un package et d'un programme s'affiche.

c. Dans le champNom, saisissez un nom pour le package. Par exemple, Intel Authenticate

Client Installation.

d. (Facultatif) Saisissez d'autres informations de référence sur le package : la description, le fabricant, lalangue et la version.

e. Cochez la case :Ce package contient des fichiers source.

f. Dans le dossier Source, cliquez sur Parcourir. La fenêtre Définir le dossier source s'affiche.

g. SélectionnezDossier local sur le serveur du site et cliquez sur Parcourir pour accéder au dossierAuthenticateInstallers que vous avez copié dans le dossier des packages Add-on.

h. Cliquez sur Sélectionner le dossier, surOK, puis sur Suivant. La fenêtre Type de programmes'affiche.

i. SélectionnezNe pas créer de programme, puis cliquez sur Suivant deux fois pour atteindre l'écranDernière étape.

j. Cliquez sur Fermer. Vous pouvez désormais définir le package pour la distribution et le déploiement.

3. Distribuez le package vers les points de distribution :

a. Cliquez avec le bouton droit sur le nouveau package et sélectionnez Propriétés. La fenêtre despropriétés s'ouvre.

b. Dans l'onglet Paramètres de distribution, sélectionnez Télécharger automatiquement du contenulorsque des packages sont affectés à des points de distribution, puis cliquez surOK. Lafenêtre des propriétés se ferme.

c. Cliquez à nouveau avec le bouton droit sur le nouveau package et sélectionnezDistribuer ducontenu. L'Assistant Distribuer du contenu s'affiche.

d. Cliquez sur Suivant. La fenêtre Destination du contenu s'affiche.

e. Dans la liste déroulante Ajouter, sélectionnez Point de distribution. L'écran Ajouter des points dedistribution s'affiche avec une liste des points de distribution.

f. Cochez la case en regard des points de distribution requis, puis cliquez surOK.

g. Cliquez sur Suivant jusqu'à ce que l'écran Dernière étape s'affiche, puis cliquez sur Fermer.



56

4. Créez une séquence de tâches pour installer le package logiciel Intel Authenticate :

a. Dans le volet Navigation, sélectionnezBibliothèque de logiciels > Vue d'ensemble > Systèmesd'exploitation > Séquences de tâches.

b. Cliquez avec le bouton droit sur la séquence de tâches Intel Authenticate: Installation etsélectionnez Copier. Une nouvelle tâche intitulée Intel Authenticate: Installation - Axxxxx (où Axxxxxpermet de différencier cette tâche de la tâche initiale) est créée.

c. Cliquez avec le bouton droit sur la nouvelle tâche et sélectionnez Propriétés. Modifiez le nom et ladescription pour décrire l'installation du package Par exemple, Nom : « Installation du clientIntel Authenticate » et Description : « Installe Intel Authenticate ».

d. Cliquez sur OK. La fenêtre des propriétés se ferme.

e. Cliquez de nouveau avec le bouton droit sur la nouvelle tâche et sélectionnezModifier. Saisissez denouveau le nom et la description que vous avez entrés dans la fenêtre des propriétés lors de l'étapeprécédente.

f. Dans la section de ligne de commande, remplacez la commande existante par la suivante :"powershell.exe" -ExcecutionPolicy Bypass -File ".\Install_IA.ps1".

g. Dans la section Package, cliquez sur Parcourir, puis sélectionnez le package que vous avez créé àl'étape 2.

h. Cliquez sur OK.

5. Déployez la séquence de tâches et associez-la au regroupement « Intel Authenticate: Exists ».

a. Cliquez avec le bouton droit sur la séquence de tâches que vous avez créée à l'étape précédente etsélectionnezDéployer. Un message contextuel s'affiche et vous invite à indiquer si vous voulezactiver la séquence de tâches.

b. Cliquez surNon. L'Assistant Déployer des logiciels s'affiche.

c. Dans la section Regroupement, cliquez sur Parcourir. La fenêtre Select Components (Sélectionner lescomposants) s'affiche.

d. Sélectionnez le regroupement Intel Authenticate: Exists dans la liste, puis cliquez collection surOK.

e. Cliquez sur Suivant. La fenêtre Paramètres de déploiement s'affiche.

f. Dans la liste déroulanteObjectif, sélectionnezRequis, puis cliquez sur Suivant. La fenêtrePlanification s'affiche.

g. Cliquez surNouvelle. La fenêtre Planification d'affectation s'affiche. SélectionnezAffecterimmédiatement après cet événement, puis cliquez surOK. La fenêtre Planification d'affectationse ferme.

h. Les écrans restants indiquent les paramètres de déploiement. Cliquez sur Suivant (acceptez lesparamètres par défaut) jusqu'à ce que la fenêtre Dernière étape s'affiche avec un résumé de vosparamètres de déploiement.

i. Cliquez sur Fermer. Le package de déploiement pour Intel Authenticate est prêt à l'utilisation.



57

6.6 Activation des séquences de tâches (dans l'ordre)

Par défaut, les séquences de tâches créées par le composant Add-on sont désactivées. Vous devez les activerpour pouvoir les utiliser. Il est important d'activer les séquences de tâches dans l'ordre conseillé. Lors del'activation d'une séquence de tâches, pensez à définir une planification de fréquence selon la stratégie de votreentreprise.

Il est conseillé de respecter l'ordre suivant pour l'activation des séquences de tâches :

1. La séquence de tâches va exécuter le regroupement « Intel SCS: Platform Discovery ». Activez la séquencede tâches « Intel SCS: Platform Discovery ».

Remarque :

Lorsque cette séquence de tâches est terminée pour les membres du regroupement, lesregroupements « Exists » vont être renseignés. Avant de continuer, assurez-vous que le regroupement« Intel Authenticate: Exists » a été renseigné.

2. Activez la séquence de tâches que vous avez créée pour installer le logiciel Intel® Authenticate (voirCréation d'un package d'installation client page 53). Assurez-vous que la séquence de tâches exécute leregroupement « Intel Authenticate: Exists ».

3. Activez la séquence de tâche « Intel SCS: Solutions Framework Installation ». La séquence de tâches vaexécuter le regroupement « Intel SCS: Solutions Framework Not Installed ».

4. Activez la séquence de tâches « Intel Authenticate: Installation ». La séquence de tâches va exécuter leregroupement « Intel Authenticate: Plugin Not installed ». Une fois cette séquence exécutée, assurez-vous que la séquence de tâches « Intel SCS: Platform Discovery » est à nouveau exécutée pour mettre àjour le regroupement « Intel Authenticate: Plugin Available ».

5. Activez la séquence de tâches « Intel Authenticate: Configuration ». La séquence de tâches va exécuter leregroupement « Intel Authenticate: Plugin Available ».

6.7 Modification des composants Add-on

Vous pouvez exécuter le composant Add-on plusieurs fois afin de modifier les éléments définis dans SCCM par cecomposant. Cela inclut notamment l'ajout et la suppression des composants, et la modification des paramètresdes composants installés.

Les éléments créés dans SCCM par le composant Add-on sont prêts à l'utilisation et ne requièrent aucunepersonnalisation. Toutefois, vous pouvez effectuer des modifications et des personnalisations des paramètrespar défaut que le composant Add-on a générés. Lorsque vous sélectionnez l'action « Change » (Modifier) pourun composant (dans la fenêtre Select Components (Sélectionner les composants), tous les éléments existantsde ce composant sont supprimés puis remplacés. Cela signifie que toutes les personnalisations apportées à desobjets dans SCCM ou à des fichiers dans les dossiers de packages seront perdues.

Pour apporter des modifications aux packages d'un composant, copiez le dossier des packages correspondants.Renommez ensuite le dossier avant de procéder aux modifications (et créez des séquences de tâches pourutiliser ce nouveau dossier de packages). Cette opération garantit que les modifications apportées ne seront passupprimées lorsque vous exécutez à nouveau le composant Add-on et décidez de changer de composant.



58

6.8 Modification de la stratégie

Si vous souhaitez modifier la stratégie après son déploiement, vous devez réexécuter le composant Add-on etsélectionner la nouvelle stratégie.

Pour modifier la stratégie :

1. Dans le sous-dossier SCCMAddon, double-cliquez sur SCCMAddon.exe. La fenêtre de bienvenue s'affiche.

2. SélectionnezModifier les paramètres du composant Add-on.

3. Cliquez sur Suivant. La fenêtre Sélectionner des composants s'affiche.

4. Dans la colonne Action de la ligne Intel® Authenticate, sélectionnezModifier.

5. Cliquez sur Suivant. La fenêtre Intel® Authenticate s'affiche.

6. Dans la section Sélectionner les fonctions à activer pour ce plugin, vérifiez que les cases Configurer etAnnuler la configuration sont cochées.

7. Cliquez sur Parcourir et sélectionnez le fichier XML de la nouvelle stratégie (notez que le bouton Suivantest activé uniquement si le fichier XML est réellement sélectionné).

8. Cliquez sur Suivant. La fenêtre User Account Settings (Paramètres du compte utilisateur) s'affiche. Sivous avez défini un compte utilisateur dans cette fenêtre lors de l'installation, saisissez le mot de passeassocié.

9. Cliquez sur Suivant. La fenêtre Add-on Packages Folder (Dossier des packages Add-on) s'affiche.

10. Cliquez sur Suivant. Un message s'affiche, indiquant que les fichiers et les scripts qui existent dans lesdossiers des packages seront écrasés.

11. Cliquez sur OK. La fenêtre de progression de la modification s'ouvre et indique l'état d'avancement de lamodification. Une fois terminé, cliquez sur Suivant. La fenêtre Completed Successfully (Opérationterminée) s'affiche.

12. Pour quitter l'assistant, cliquez sur Finish (Terminer).

6.9 Flux de mise à niveau avec SCCM

Si vous avez déjà déployé une version antérieure d'Intel® Authenticate sur votre réseau, vous pouvezmettre àniveau les installations existantes vers la version 3.0.

Remarque :

Les stratégies créées dans la version 3.1 ne sont pas prises en charge par les plates-formes sur lesquellessont installées des versions antérieures d'Intel® Authenticate. Assurez-vous de mettre à niveau les plates-formes clients vers la version 3.1 avant de configurer les stratégies créées à l'aide de la version 3.1. Lesstratégies configurées à l'aide de versions antérieures continueront de fonctionner avec la version 3.1.

Pour passer à la version 3.1 :

1. Si vous utilisez le facteur Proximité Bluetooth®, il est recommandé de demander à vos utilisateurs demettre à niveau l'application Intel® Authenticate vers la dernière version sur leurs téléphones. (Sauf pourles utilisateurs de Windows* 10 version 1607 qui n'ont pas installé l'application Intel® Authenticate.)



59

Remarque :

SousWindows* 10 versions 1703 et ultérieures, après une mise à niveau, toute inscription existanted'un iPhone* est annulée. L'utilisateur ne pourra s'authentifier à l'aide de son téléphone qu'après l'avoirréinscrit. L'utilisateur sera invité à réinscrire son téléphone (et à installer l'applicationIntel® Authenticate) pour activer le niveau de sécurité « Protégé » du facteur Proximité Bluetooth. Sivous souhaitez activer le niveau de sécurité « Logiciel » pour les iPhone* sousWindows* 10, vousdevrez appliquer une nouvelle stratégie créée à l'aide de la version 3.1.

2. Remplacez la version précédente des programmes d'installation d'Intel® Authenticate :

a. Sur le serveur SCCM, accédez au dossier dans lequel vous avez placé la version précédente desprogrammes d'installation d'Intel® Authenticate. (Le dossier AuthenticateInstallers dans ledossier des packages Add-on que vous avez créé lors de l'installation du composant Add-on.)

b. Supprimez les fichiers des programmes d'installation de la version précédente et le script d'installationPowerShell (Install_IA_v0.1.ps1).

c. Revenez au package d'intégration SCCM version 3.1, puis copiez le contenu du dossierAuthenticateInstallers dans le dossier AuthenticateInstallers sur le serveur SCCM.

Remarque :

Vous n'avez pas besoin d'exécuter une nouvelle fois le programme d'installation des composants Add-on. Les composants déjà installés par le programme d'installation des composants Add-on sur votreserveur SCCM contiennent déjà les informations requises pour détecter un flux de mise à niveau. Lepackage d'installation client que vous avez créé est le seul élément à mettre à jour (voir Création d'unpackage d'installation client page 53). Le mode de mise à jour du package d'installation client dépend dela façon dont vous l'avez créé lors de l'installation de la version précédente :

• Si vous avez utilisé la procédure automatique, procédez uniquement à l'étape 3.

• Si vous avez utilisé la procédure manuelle, procédez uniquement à l'étape 4.

3. Si vous avez initialement créé les composants à l'aide de la méthode automatique, procédez comme suit :

a. Avec le package d'intégration SCCM version 3.1, reprenez les étapes 2 et 3 de la procédureautomatique décrite dans la rubrique Création d'un package d'installation client page 53.

b. Activez la séquence de tâches Intel Authenticate Client Installation. (Après l'exécutiondu fichier CreateAuthenticatePackage.exe, la séquence de tâches mise à jour est recréée etdésactivée par défaut.)



60

4. Si vous avez initialement créé les composants à l'aide de la méthode manuelle, procédez comme suit :

a. Dans le volet de navigation, sélectionnezBibliothèque de logiciels> Vue d'ensemble >Systèmes d'exploitation > Séquences de tâches.

b. Cliquez avec le bouton droit sur la séquence de tâches que vous avez créée à l'origine pour le packagede déploiement, puis sélectionnezModifier. L'Éditeur de séquences de tâches s'affiche.

c. Dans la ligne de commande, remplacez le numéro de version existant par le nouveau numéro deversion des fichiers d'installation de la version 3.0.

d. Dans la liste déroulante Ajouter, sélectionnezRedémarrer l'ordinateur. Une nouvelle tâche estajoutée à la liste des tâches.

e. (Facultatif) Dans le champNom, renommez la tâche « Redémarrer l'ordinateur après la mise àniveau » et ajoutez une description.

f. Sélectionnez Le système d’exploitation actuellement installé par défaut.

g. Assurez-vous que la caseNotifier l'utilisateur avant le redémarrage est cochée.

h. Dans la section du message de notification, ajoutez un message indiquant à l'utilisateur quel'ordinateur doit être redémarré.

i. Sélectionnez l'onglet Options.

j. Dans la liste déroulante Ajouter une condition, sélectionnezVariable de séquence de tâches. Lafenêtre Variable de séquence de tâches s'affiche.

k. Définissez les paramètres suivants pour la variable :

• Variable : _SMSTSLastActionRetCode

• Condition : égalité

• Valeur : 3010

l. Cliquez surOK deux fois pour fermer l'Éditeur de séquences de tâches.



61

7 Résolution des problèmes

Cette section décrit les problèmes susceptibles de survenir lors de l'utilisation d'Intel Authenticate et en fournitla solution.

Remarque :

Pour en savoir plus sur les options d'assistance disponibles pour Intel® Authenticate, rendez-vous sur lapage de l'assistance clientèle d'Intel.

7.1 Résolution des problèmes d'installation

Avant l'installation, l'installateur exécute le test des éléments prérequis à l'aide de l'outil Check Tool /P. Si le testéchoue, l'installation est annulée et les résultats sont ajoutés au fichier journal de l'installateur.

7.2 Résolution des problèmes d'inscription

Cette section décrit comment résoudre les problèmes pouvant se produire au cours du processus d'inscription.

Pour plus d'informations sur le processus d'inscription, reportez-vous au guide d'inscription inclus dans lepackage d'intégration.

L'application de gestion des facteurs ne s'ouvre pas, ou se bloque immédiatement après sonouverture

L'application de gestion des facteurs requiert l'installation de la version 4.5.2 ou supérieure de .NET Frameworksur la plate-forme. Dans certains cas, si une ancienne version de .NET Framework est installée, l'applications'ouvre mais ne fonctionne pas correctement. Si vous rencontrez des problèmes avec l'application de gestiondes facteurs, vérifiez que la version 4.5.2 ou supérieure de .NET Framework est installée sur la plate-forme.


https://www.intel.com/content/www/us/en/support/contact-support.html?productId=92930#@26


62

L'application de gestion des facteurs présente le message « Aucun facteur à gérer »

Cemessage apparaît lorsqu'Intel® Authenticate a été installé mais qu'une stratégie valide n'est pas appliquée.Vérifiez que vous avez déployé la stratégie sur la plate-forme et que cette stratégie est valide et contient aumoins une action et un facteur d'authentification.

L'utilisateur a reporté l'inscription, mais souhaite maintenant inscrire ses facteurs

L'utilisateur peut ouvrir l'application de gestion des facteurs manuellement en ouvrant la fenêtre de rechercheet en saisissant « Intel Authenticate ».

Problèmes concernant l'inscription à la Proximité Bluetooth®

L'inscription au facteur Proximité Bluetooth implique un certain nombre d'étapes, qui peuvent échouer pourplusieurs raisons. Les étapes principales sont décrites ci-dessous, dans l'ordre, ainsi que les problèmes pouvantsurvenir et leur résolution :

1. Vérifiez que le Bluetooth est activé sur l'ordinateur et le téléphone que l'utilisateur essaie d'inscrire.

2. Le niveau de sécurité « Protégé » du facteur Proximité Bluetooth® nécessite l'installation de l'applicationIntel® Authenticate sur le téléphone. Vérifiez que l'utilisateur a installé l'application sur le téléphone qu'ilessaie d'inscrire. La page Proximité Bluetooth de l'application de gestion des facteurs inclut des liens detéléchargement et d'installation de l'application. L'utilisateur peut avoir poursuivi le processus d'inscriptionsans avoir installé l'application au préalable. Demandez-lui d'ouvrir l'application sur son téléphone. Il devrade toute façon utiliser l'application ultérieurement au cours du processus d'inscription.



63

3. La première étape du processus d'inscription à la Proximité Bluetooth consiste à détecter le téléphone del'utilisateur. L'application de gestion des facteurs affiche une liste des téléphones se trouvant à proximité.La liste inclut les téléphones couplés ou non. Si le téléphone de l'utilisateur n'apparaît pas dans la liste :

• Dans le cas des téléphones Android, demandez à l'utilisateur d'ouvrir l'application et de cliquer sur lebouton « Rendre détectable ».

• Sur les iPhone :

• Niveau de sécurité « Protégé » : l'application Intel® Authenticate doit être ouverte sur le téléphonepour que l'application de gestion des facteurs puisse le détecter. Si ce n'est pas le cas, demandez àl'utilisateur d'ouvrir l'application sur son téléphone.

• Niveau de sécurité « Logiciel » : demandez à l'utilisateur d'ouvrir la page Paramètres > Bluetoothsur son téléphone.

• Dans l'application de gestion des facteurs, demandez à l'utilisateur de cliquer sur Actualiser la listepour rechercher le téléphone à nouveau.

• Si le téléphone de l'utilisateur n'apparaît toujours pas dans la liste, vérifiez que Windows peut ledétecter. SousWindows, demandez à l'utilisateur de vérifier que son téléphone apparaît dans la liste desappareils Bluetooth détectés par Windows. L'application de gestion des facteurs ne peut détecter etinscrire des téléphones que si Windows les détecte. Si le téléphone n'est pas détecté par Windows, ilvous faudra résoudre les problèmes sous-jacents de connectivité Bluetooth pour que l'utilisateur puisseinscrire son téléphone.

• Si le téléphone est déjà couplé sousWindows, mais ne s'affiche toujours pas dans la liste, demandez àl'utilisateur de vérifier l'état du téléphone dans la fenêtre Gestionnaire de périphériques. Le téléphonecouplé de l'utilisateur apparaît sous forme d'entrée dans la section Bluetooth. Si une icôned'avertissement jaune s'affiche à côté du nom du téléphone, cliquez dessus avec le bouton droit etsélectionnez désactiver, puis activer. L'application de gestion des facteurs ne peut pas détecter lestéléphones qui sont désactivés ou qui affichent des avertissements dans la fenêtre Gestionnaire depériphériques.

4. Une fois le téléphone de l'utilisateur détecté, l'utilisateur doit le sélectionner dans la liste. Si le téléphonen'est pas encore couplé, un code de couplage est communiqué à l'utilisateur, qui est invité à confirmer lecouplage du téléphone. L'utilisateur doit confirmer cette demande sur le téléphone et sur l'ordinateur :

• Parfois, le code de couplage n'est pas facilement visible sur le téléphone, car il est en arrière-plan. Sil'utilisateur entend le son d'une notification, mais que le code de couplage n'est pas visible, demandez-lui de balayer l'écran vers le bas et de localiser le code.

• En cas d'erreur (par exemple, confirmation sur le téléphone, mais refus sur l'ordinateur), il devraattendre que la connexion Bluetooth soit « libérée » avant de pouvoir réessayer.

5. Pour le niveau de sécurité « Protégé », une fois le téléphone couplé, l'étape finale consiste à inscrire letéléphone avec Intel® Authenticate :

• Avant de continuer, l'utilisateur doit ouvrir l'application Intel® Authenticate et s'assurer que lemessage « en attente d'un signal » s'y affiche. Si l'application n'est pas ouverte, un message d'erreurs'affiche. Pour continuer, l'utilisateur doit cliquer sur Réessayer dans l'application de gestion desfacteurs.

• Un code s'affiche dans l'application de gestion des facteurs. L'utilisateur doit saisir ce code dansl'application Intel® Authenticate. Si le code saisi est incorrect, des messages d'erreur s'affichent dansl'application de gestion des facteurs et sur le téléphone. Pour continuer, l'utilisateur doit cliquer surRecommencer dans l'application, puis sur Réessayer dans l'application de gestion des facteurs.



64

7.3 Résolution des problèmes de connexion au SE

Cette section décrit comment résoudre les problèmes pouvant se produire au cours de l'action Connexion auSE.

La connexion au SE avec Intel® Authenticate échoue

Voici les raisons les plus courantes expliquant pourquoi un utilisateur ne peut pas se connecter à Windows* àl'aide d'Intel® Authenticate :

• Après l'inscription, l'utilisateur a essayé de se connecter avec Intel® Authenticate sans se connecter aupréalable à l'aide de son mot de passe Windows. La première connexion après l'inscription doit êtreréalisée à l'aide du mot de passe Windows*. L'utilisateur peut ensuite se connecter à l'aided'Intel® Authenticate.

• L'utilisateur a modifié son mot de passe. La première connexion suivant la modification du mot de passedoit être effectuée à l'aide du mot de passe Windows*. L'utilisateur peut ensuite se connecter à l'aided'Intel® Authenticate.

• L'utilisateur n'a pas inscrit assez de facteurs requis pour l'action Connexion au SE. Si ceci est la cause duproblème, le statut de la section Connexion au SE dans l'application de gestion des facteurs présente lemessage : « Il n'y a pas suffisamment de facteurs inscrits ».

• L'un des services requis ne s'exécute pas (voir Client et Engine page 11).

• Si la Proximité Bluetooth® est définie comme un facteur requis, la connexion ne réussira que si letéléphone inscrit est détecté (voir Résolution des problèmes liés au facteur Proximité Bluetooth® page68).

Comptes utilisateur non pris en charge

Intel® Authenticate ne prend pas en charge :

• les comptes système intégrés de Windows* ;

• les comptes utilisateur sans mot de passe ou avec un mot de passe vide. (Après l'inscription dansIntel® Authenticate, il ne sera plus possible de se connecter à Windows avec ce compte utilisateur.)



65

7.4 Résolution des problèmes liés à l'action Connexion auSE à l'aide d'une carte à puce

Cette section décrit comment résoudre les problèmes pouvant se produire au cours de l'action Connexion auSE.

La connexion prend un certain temps sur un environnement intranet exclusif

Sur les plates-formes client qui sont connectées à un intranet, mais n'ont aucun accès à Internet, l'actionConnexion au SE à l'aide de l'option Carte à puce prend jusqu'à 17 secondes. Cela est dû au fait que destentatives répétées sont effectuées pour accéder à Internet afin de consulter la liste de révocation descertificats. Vous pouvez résoudre ce problème en ajoutant une clé au Registre des plates-formes client àl'emplacement suivant :

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Ajoutez une nouvelle valeur de chaîne avec les propriétés suivantes :

• Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

• Données de valeur : 1



66

L'option Carte à puce intégrée par défaut ne fonctionne pas.

Lorsque vous utilisez l'option Carte à puce intégrée par défaut :

• Assurez-vous que vous avez défini le modèle correctement (voir Définir le modèle de certificat d'autoritéde certification pour carte à puce page 37).

• Dans le magasin de certificats personnels de l'utilisateur, vérifiez qu'un certificat a été émis en fonctiondu modèle « Connexion au SE par carte à puce » d'Intel Authenticate.

• Dans le Gestionnaire de périphériques :

• Assurez-vous que le lecteur de cartes à puce « Intel IPT Reader » existe et qu'il apparaît en premierdans la liste.

• Assurez-vous qu'une carte à puce nommée « Intercede Intel IPT Virtual Card » existe.

Remarque :

SousWindows 10, les équipements sous Cartes à puce sont masqués par défaut. Pour les afficher,sélectionnezAffichage > Afficher les périphériques cachés.

Si l'un de ces composants est manquant, cela signifie qu'un problème s'est produit pendant l'installation.

Remarque :

Si vous utilisez l'option de gestionnaire de certificats externe, ces composants portent des nomsdifférents. Pour résoudre des problèmes liés à l'utilisation de l'option de gestionnaire de certificatsexterne, reportez-vous à la documentation de MyID.



67

7.5 Résolution des problèmes liés à l'action Connexion auVPN

Dans certains cas, lors d'une connexion au VPN, l'affichage de l'application client VPN « se réduit » etl'utilisateur ne peut pas voir le clavier d'identification personnelle et saisir son PIN protégé. Ce problème ne seproduit que si les conditions suivantes sont vraies :

• Le PIN protégé est défini comme facteur d'authentification pour l'action Connexion au VPN.

• La plate-forme est configurée avec les paramètres haute résolution pour le texte et d'autres éléments.

Pour résoudre ce problème,modifiez un paramètre de compatibilité de l'application client VPN que vous utilisezsur la plate-forme. Il s'agit du paramètreDésactiver la mise à l'échelle de l'affichage pour lesrésolutions élevées situé dans l'onglet Compatibilité de l'application client VPN.

Vous pouvez définir ce paramètre directement dans le Registre de la plate-forme. Pour appliquer ce paramètrepour tous les utilisateurs de la plate-forme, définissez-le à l'emplacement suivant :

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Layers

Ajoutez une nouvelle valeur DWORD avec les propriétés suivantes :

• Nom de la valeur : le chemin d'accès complet et le nom de l'application client VPN exécutable

• Données de la valeur : ~ HIGHDPIAWARE



68

7.6 Résolution des problèmes liés au facteur ProximitéBluetooth®

Les raisons les plus fréquentes pour lesquelles la Proximité Bluetooth peut cesser de fonctionner sont lessuivantes :

• L'application Intel® Authenticate n'est pas exécutée sur le téléphone de l'utilisateur (niveau de sécurité« Protégé » uniquement) :

• Sur beaucoup de téléphones Android*, les applications en arrière-plan ne sont pas autorisées àdémarrer automatiquement. Vérifiez que l'utilisateur a activé le redémarrage automatique del'application Intel® Authenticate. Sur certains téléphones Android, après la mise à niveau dusystème d'exploitation Android, il peut être nécessaire de redémarrer manuellement l'application.

• Si l'utilisateur utilise un iPhone*, assurez-vous qu'il n'a pas accidentellement fermé l'application. Parailleurs, si l'utilisateur a redémarré son iPhone, il lui faut ouvrir l'application une fois et l'afficher aupremier plan. Demandez-lui alors d'attendre une minute, le temps que l'ordinateur et l'iPhonerétablissent les communications. Il peut ensuite remettre l'application en arrière-plan (mais il ne doitpas la fermer).

• Des problèmes de connexion Bluetooth peuvent survenir sur le téléphone de l'utilisateur. Demandez àl'utilisateur d'essayer de redémarrer son téléphone.

• Le téléphone de l'utilisateur est hors de portée de l'ordinateur.

• L'option Bluetooth est désactivée sur l'ordinateur ou le téléphone de l'utilisateur.

• Le téléphone de l'utilisateur dispose de peu de batterie, est en mode Avion ou en mode Veille, ce quidésactive l'option Bluetooth.

• L'utilisateur a désinstallé l'application de son téléphone. La désinstallation de l'application interrompt laconnexion d'inscription avec l'ordinateur (niveau de sécurité « Protégé » uniquement)Pour résoudre ceproblème, vous devez réinitialiser la stratégie et demander à l'utilisateur de réinscrire ses facteurs.

• L'utilisateur a découplé son iPhone* de l'ordinateur. À chaque fois qu'un iPhone* est couplé, il génèreune nouvelle adresse Bluetooth unique. Cela signifie que l'adresse utilisée pour coupler l'iPhone avecIntel® Authenticate n'existe plus.Pour résoudre ce problème, vous devez réinitialiser la stratégie etdemander à l'utilisateur de réinscrire ses facteurs.



69

7.7 Résolution des problèmes liés au facteur Empreinte

Pour se servir du facteur Empreinte, l'utilisateur doit tout d'abord pouvoir inscrire ses empreintes auprès deWindows*. Cette inscription conditionne l'inscription de l'utilisateur et le recours au facteur Empreinte. Vérifiezen premier lieu que l'utilisateur peut inscrire ses empreintes auprès de Windows*. (Voir également Résolutiondes problèmes dansWindows* Hello page 72.)

Si l'opération aboutit, assurez-vous que le registre et les fichiers DLL sont corrects. Lors de l'installation,Intel® Authenticate détecte si un lecteur d'empreintes digitales est installé sur la plate-forme.

Remarque :

• Le type de lecteur d'empreintes digitales détecté détermine le type de lecteur d'empreintes digitalesintégré. Pour que la détection fonctionne correctement, vous devez installer le pilote du lecteurd'empreintes digitales adéquat avant d'installer Intel® Authenticate.

• Une plate-forme ne peut inclure qu'un type de lecteur d'empreintes digitales.

• Vous pouvez utiliser l'outil Check Tool pour vérifier le type de lecteur d'empreintes digitales détecté :

Authenticate_Check.exe /f /v(Le type de lecteur s'affiche dans la section Info).

Lecteurs d'empreintes protégées

Le lecteur d'empreintes protégées actuellement pris en charge par Intel® Authenticate requiert un piloteSynaptics WBDI spécifique installé sur la plate-forme. Si ce pilote n'est pas installé, le lecteur d'empreintesprotégées ne sera pas intégré à Intel® Authenticate. Pendant l'installation, le programme d'installation dupilote ajoute des clés de registre (DllPath) aux emplacements suivants :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SecureFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SecureFP

La clé de registre DLLPath contient le chemin d'accès vers les fichiers DLL d'empreintes qui s'intègrent àIntel® Authenticate. Si cette clé de Registre n'existe pas (après l'installation du pilote), vérifiez que le piloteinstallé est le pilote approprié. Si le pilote que vous installez est approprié, les clés de Registre et les fichiers DLLseront ajoutés, et le facteur Empreinte protégée sera prêt à l'utilisation.

Lecteurs d'empreintes logicielles

Lorsqu'un lecteur d'empreintes logicielles est détecté, le programme d'installation d'Intel® Authenticate ajoutedes clés de registre (DllPath) aux emplacements suivants :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SoftFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SoftFP

La clé de registre DLLPath contient le chemin d'accès vers un fichier SoftFingerprint.DLL qui est installépar le programme d'installation d'Intel® Authenticate. Si cette clé n'existe pas, vous devez :

1. Désinstaller Intel® Authenticate (et redémarrer l'ordinateur).

2. Installer le pilote du lecteur d'empreintes digitales.



70

3. À l'aide de l'outil Check Tool, vérifiez que le facteur Empreinte logicielle est prêt à l'utilisation.

4. Installer Intel® Authenticate et redéfinir la stratégie.

L'inscription des empreintes digitales auprès de Windows* ne parvient pas à lire les empreintes.

Afin que le facteur Empreinte d'Intel® Authenticate puisse fonctionner comme prévu, le lecteur d'empreintesdigitales doit être capable de lire les empreintes de l'utilisateur de façon fiable. Si le lecteur d'empreintesrencontre des difficultés pour lire les empreintes de l'utilisateur, l'authentification à l'aide du facteur Empreinted'Intel® Authenticate sera également difficile. La première étape consiste à identifier ce type de problème aucours de l'inscription des empreintes digitales de l'utilisateur auprès de Windows*. Si Windows* rencontre unproblème lors de la reconnaissance d'empreintes digitales, il faudra contacter le fabricant de la plate-forme afinde déterminer la cause de ces problèmes.

Remarque :

Si ce problème survient, tentez d'inscrire l'empreinte d'un autre doigt. L'empreinte de certains doigts estparfois trop légère ou trop dégradée pour que le lecteur d'empreintes puisse la lire de façon fiable.

Intel® Authenticate bloque l'inscription du facteur Empreinte logicielle.

L'application de gestion des facteurs bloque l'inscription du facteur Empreinte si les deux conditions suivantessont réunies :

• la plate-forme dispose d'un lecteur d'empreintes logicielles ;

• les entrées de registre pour le lecteur d'empreintes protégées existent déjà.

Pour résoudre ce problème :

1. Assurez-vous que le type de lecteur d'empreintes digitales est bien « Empreinte logicielle ». (ExécutezAuthenticate_Check.exe /f /v.)

2. Si l'une ou l'autre de ces entrées existe, supprimez-la :

• HKLM\SOFTWARE\Intel\Intel Authenticate\Engine\Factors\SecureFP

• HKLM\SOFTWARE\Wow6432Mode\Intel\Intel Authenticate\Engine\Factors\SecureFP



71

7.8 Résolution des problèmes liés à la reconnaissancefaciale

Pour se servir du facteur Reconnaissance faciale, l'utilisateur doit tout d'abord pouvoir inscrire son visage auprèsde Windows*. Cette inscription conditionne l'inscription de l'utilisateur et le recours au facteur Reconnaissancefaciale. Vérifiez en premier lieu que l'utilisateur peut inscrire son visage auprès de Windows* (voir Résolutiondes problèmes dansWindows* Hello page suivante).

L'appareil photo ne parvient pas à authentifier le visage de l'utilisateur

Pendant l'authentification, des messages s'affichent à l'écran pour indiquer à l'utilisateur pourquoi l'appareilphoto a du mal à authentifier son visage. L'authentification aboutit normalement si l'utilisateur respecte lesinstructions fournies. Des différences dans le niveau de lumière disponible pour l'appareil photo peuventégalement provoquer l'échec de l'authentification. Les utilisateurs choisissent le plus souvent d'inscrire leurvisage sur leur lieu de travail, qui offre normalement un éclairage très différent de celui de leur domicile. Sil'authentification échoue à domicile, demandez à l'utilisateur d'inscrire une nouvelle fois son visage à la maison.Pour ce faire, il lui suffit de cliquer sur Améliorer la reconnaissance dans la page Options de connexion. Ilsn'ont pas besoin d'inscrire une nouvelle fois le facteur dans Intel® Authenticate.



72

7.9 Résolution des problèmes dans Windows* Hello

La résolution des problèmes dansWindows Hello dépasse le cadre du présent guide. Cependant, les facteursEmpreinte et Reconnaissance faciale dépendant de Windows* Hello sur Windows* 10, cette section inclut desinformations qui peuvent vous être utiles. Pour obtenir les instructions complètes sur la résolution desproblèmes dansWindows Hello, reportez-vous à la documentation Microsoft*.

Toutes les options de configuration Windows Hello sont désactivées dans la page Options deconnexion

Selon la version de Windows, Microsoft a apporté plusieurs modifications au mode d'activation de WindowsHello. Ces articles expliquent certaines des modifications susceptibles de désactiver les options de configurationde Windows Hello :

• Modifications du code PIN d'usage

• Windows Hello pour les utilisateurs de domaine

L'option de reconnaissance faciale ne figure pas dans la page Options de connexion

Cette option s'affiche uniquement si un pilote d'appareil photo valide est installé (voir Conditions requises pourla reconnaissance faciale page 24). Dans le Gestionnaire de périphériques, assurez-vous qu'un pilote d'appareilphoto pris en charge est installé et fonctionne correctement. Consultez le site Internet du fabricant pour vousassurer que vous avez installé le pilote approprié pour la plate-forme.

Nous avons constaté que sur certaines plates-formes, comme le Dell XPS 13 9365, l'option Reconnaissancefaciale n'est pas disponible sur Windows 10 version 1607. Cependant, la mise à niveau vers Windows 10version 1703 a ajouté cette option à la page Options de connexion.

L'option Empreinte ne figure pas dans la page Options de connexion

Cette option s'affiche uniquement si un pilote d'empreinte valide est installé. Dans le Gestionnaire depériphériques, vérifiez que le pilote d'empreinte est installé et fonctionne correctement. Consultez le siteInternet du fabricant pour vous assurer que vous avez installé le pilote approprié pour la plate-forme.

L'interface utilisateur graphique d'inscription des empreintes digitales ou de la reconnaissancefaciale ne s'ouvre pas

Sur certaines plates-formes, il ne se passe rien lorsque vous cliquez sur le bouton Configuration pour ouvrirl'interface utilisateur graphique d'inscription des empreintes digitales ou de la reconnaissance faciale. Au lieu decela, l'interface utilisateur graphique « clignote » durant une fraction de seconde, mais ne s'ouvre pas.


1. Ouvrez l'Éditeur de stratégie de groupe.

2. Naviguez jusqu'à la Configuration ordinateur > Paramètres Windows* > Paramètres de sécurité> Stratégies locales> Options de sécurité.

3. Faites un clic droit sur Contrôle de compte d'utilisateur : mode d'approbation Administrateurpour le compte Administrateur intégré, puis sélectionnez Propriétés.

4. SélectionnezActivé.

5. Redémarrez l’ordinateur.


https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

https://social.technet.microsoft.com/Forums/en-US/85ad4472-084e-4b45-a477-7e354de9f97e/deploy-windows-hello-for-domain-users?forum=win10itprosetup


73

6. Retournez sur la page Options de connexion et ouvrez l'interface utilisateur graphique d'inscription desempreintes digitales ou de la reconnaissance faciale.

7.10 L'outil Check Tool

L'outil Check Tool est basé sur l'interface de ligne de commande et se trouve dans le dossier Tools >

CheckTool.

La syntaxe de l'interface de ligne de commande n'est pas sensible à la casse. En voici un exemple :

Authenticate_Check.exe { /PreCheck | /Factors | /? } /Verbose

Indicateur Détails

/PreCheck

(ou /P)

Vérifie si la plate-forme répond aux conditions requises pour l'installationd'Intel® Authenticate (voir Configuration requise pour l'installation page 19).

/Factors

(ou /F)

Vérifie si l'état de chaque facteur d'authentification est pris en charge parIntel® Authenticate.

Verbose Ajoute des informations plus détaillées à la sortie (seulement avec l'indicateur /Factors).

? Aide

Remarque :

Utilisation de Check Tool :

• Doit être exécuté à partir d'une invite de commande ouverte avec des privilèges d'administrateur.

• Nécessite la version 4.5.2 ou supérieure de .NET Framework.

• A besoin du pilote Intel® MEI pour exécuter certains des tests. Si le pilote Intel® MEI n'est pas installé,ces tests peuvent échouer.

• SousWindows* 7, si un message s'affiche indiquant qu'un fichier DLL nommé “api-ms-crt-runtime-[1-1-0.dll” est manquant, exécutezWindows Update. Sinon, vous pouvez installerKB2999226.

7.10.1 Conditions requises pour l'installation

Intel® Authenticate est uniquement pris en charge sur les plates-formes répondant aux conditions requisespour l'installation (voir Configuration requise pour l'installation page 19). L'indicateur /PreCheck de l'outilCheck Tool fournit des informations sur l'état de ces conditions requises et détermine si la plate-forme est priseen charge.




74

Remarque :

• Les conditions d'installation constituent le minimum requis pour la prise en charge de la plate-forme.Certains facteurs d'authentification incluent également des conditions requises supplémentaires quevous pouvez vérifier à l'aide de l'indicateur /Factors.

• Vous pouvez également utiliser l'indicateur /Precheck pour résoudre les problèmes de fonctionnementd'Intel® Authenticate. Par exemple, si le service Intel® DAL n'est pas exécuté, Intel® Authenticate nefonctionnera pas correctement.

Pour vérifier les conditions requises pour l'installation:

Authenticate_Check.exe /P

Ou

Authenticate_Check.exe /PreCheck

Lorsque tous les tests sont réussis, le récapitulatif des résultats est mis en surbrillance en vert.



75

Si un seul des tests échoue, le récapitulatif des résultats est mis en surbrillance en rouge. Les détails s'affichentpour chaque test ayant échoué.



76

Ce tableau décrit les tests exécutés par l'indicateur /PreCheck.

Test Détails

1 Vérifie que le processeur appartient à l'une des familles de processeurs pris en charge.Remarque : le test 1 affiche un avertissement relatif aux plates-formes des échantillonsd'ingénierie, des échantillons de pré-qualité et des échantillons de qualité. Cela est dû au fait quesur ces types de plates-formes, le processeur renvoie une valeur non reconnue. Ignorez cetavertissement.

2 Consulte le Registre pour déterminer si la version installée du logiciel Intel® ME est prise encharge. De plus, ce test vérifie si le pilote Intel® MEI est installé. Le pilote est généralement situédans la section « Périphériques système » de la fenêtre Gestionnaire de périphériques. Si le piloten'est pas installé, certains des tests restants échoueront (car ils dépendent des communicationsvia le pilote).

3 Vérifie que la version du microprogramme Intel® ME est prise en charge

4 Vérifie que le microprogramme Intel® ME est placé dans la référence d'entreprise (la référenceclient n'est pas prise en charge.

5 Vérifie que le système d'exploitation est pris en charge

6 Vérifie que la connexion TLS (Transport Layer Security) est activée.

7 Vérifie que le service Intel® DAL est installé et s'exécute (le nom affiché dans la fenêtre Servicesest « Intel Dynamic Host Application Loader Host Interface Service »).

8 Vérifie les communications avec Intel® DAL en essayant d'obtenir le numéro de versiond'Intel® DAL via une API d'Intel® DAL.

9 Vérifie que le pilote graphique Intel® est installé et que cette version est prise en charge.

7.10.2 Vérification des facteurs

Chaque facteur d'authentification pris en charge par Intel® Authenticate affiche des dépendances distinctesqui doivent figurer sur la plate-forme pour être utilisées. L'indicateur /Factors de l'outil Check Tool affiche desinformations sur chaque facteur et détermine si ce dernier est pris en charge.

Pour vérifier l'état des facteurs :

Authenticate_Check.exe /F

Ou

Authenticate_Check.exe /Factors

Remarque :

Pour obtenir plus d'informations sur chaque facteur, ajoutez l'indicateur /V.



77

Ce tableau décrit la sortie produite par l'indicateur /Factors.

Section Détails

Factor(Facteur)

Indique le nom du facteur.

Etat Chaque facteur peut présenter les états suivants :

• Not Supported (Non pris en charge) : le facteur n'est pas pris en charge par laconfiguration actuelle de la plate-forme. Il peut s'agir d'un logiciel manquant ou de versionsmatérielles ou logicielles non prises en charge. Les détails s'affichent dans la section « Reason» (Motif). Vous pouvez exécuter l'outil à nouveau après avoir corrigé les éventuels problèmesdétectés (en mettant par exemple un logiciel à niveau).

• Supported (Pris en charge) : le facteur est pris en charge mais il n'est pas prêt à êtreutilisé avec Intel Authenticate. Cet état est renvoyé pour les facteurs nécessitant uneconfiguration supplémentaire avant leur utilisation. Le seul prérequis au facteurEmplacement Intel® AMT est qu'Intel®AMT soit configuré avec des domaines d'accueil.Avant d'installer Intel® Authenticate, cet état est également attendu pour les facteursReconnaissance faciale et Empreinte (logicielle) (les DLL supplémentaires sont installées parIntel® Authenticate).

• Ready For Use (Prêt à l'utilisation) : la plate-forme présente toutes les conditionsrequises pour le facteur et ce dernier est prêt à être utilisé avec Intel® Authenticate.

Motif Cette section s'affiche lorsque l'état d'un facteur est « Not Supported » (Non pris en charge). Ellerépertorie les informations sur chaque problème qui empêche Intel Authenticate d'utiliser unfacteur.

Info Cette section s'affiche lorsque vous spécifiez l'indicateur /Verbose et fournit des informationssupplémentaires sur les dépendances de chaque facteur.



78

7.11 Utilisation de l'outil Support Tool

L'outil Support Tool est basé sur l'interface de ligne de commande et se trouve dans le dossier Tools >

SupportTool. L'outil Support Tool est également installé sur les plates-formes clients dans ce dossier :C:\ProgramData\Intel\Intel Authenticate\Engine\SupportTool.

Vous pouvez utiliser l'outil Support Tool pour :

• démarrer ou interrompre les sessions de journalisation du débogage ;

• collecter les journaux d'utilisateur final et les regrouper sous forme de fichier .zip ;

• redémarrer tous les services et processus d'Intel® Authenticate (cela permet de résoudre certainsproblèmes) ;

La syntaxe de l'interface de ligne de commande n'est pas sensible à la casse. Vous ne pouvez utiliser qu'un seulindicateur par appel. En voici un exemple :

Authenticate_Support.exe [ /StartDebug | /StopDebug

/CollectLogs | /Restart | /? ]

Indicateur Détails

/StartDebug Crée une session de journalisation du débogage et rassemble les journaux dans un fichierETL.

/StopDebug Interrompt toute session active de journalisation de débogage.

/CollectLogs Rassemble tous les journaux Intel® Authenticate et les place dans un fichier .zip.

/Restart Redémarre tous les services et processus Intel® Authenticate associés.

/? Aide



79

7.11.1 Collecte de journaux

Intel® Authenticate enregistre les journaux dans plusieurs emplacements. L'outil Support Tool vous permet decollecter l'ensemble des journaux en toute simplicité. Une fois les journaux collectés, l'outil les regroupe sousforme de fichier .zip dans le dossier à partir duquel il a été exécuté. Vous pouvez ensuite fournir le fichier .zip autechnicien d'assistance client ou d'intervention à des fins de débogage. Le fichier .zip est automatiquementnommé au format suivant : AuthenticateLogs_HostName_YYYY-MM-DD-HH-MM-SS.zip.

Pour en savoir plus sur les options d'assistance disponibles pour Intel® Authenticate, rendez-vous sur la pageAssistance clientèle d'Intel.

Pour collecter des journaux :

1. Ouvrez une invite de commande en tant qu'administrateur.

2. Lancez une session de journalisation du débogage :Authenticate_Support.exe /StartDebug

3. Effectuez l'action problématique. Notez l'heure du système de plate-forme à laquelle l'action a été lancée.Cela aidera l'ingénieur de soutien de localiser l'entrée concernée dans les fichiers journaux.

4. Collectez les journaux :Authenticate_Support.exe /CollectLogs

5. Arrêtez la session de journalisation du débogage :Authenticate_Support.exe /StopDebug

6. Envoyez le fichier .zip contenant les journaux collectés à l'ingénieur de support traitant votre ticket desupport.

7.11.2 Redémarrage de tous les services et processus d'Intel®Authenticate

L'outil Support Tool redémarre :

• jhi_service.exe (service)

• IAClientService.exe (service)

• IAEngineService.exe (service)

• IAMonitor.exe (processus)

L'outil désinstalle et réinstalle également les applets Intel® Authenticate. Si le moteur Intel® Authenticaten'est pas installé, le redémarrage échoue et une erreur est générée (comme pour ChangeLogLevel). Enoutre, la commande Restart doit être exécutée en mode élevé.

Le redémarrage des processus Intel Authenticate permet de conserver la stratégie configurée et les donnéesd'inscription stockées de l'utilisateur final. Pour l'utilisateur final, cela est plus pratique qu'une réinitialisation dusystème ou d'un facteur qui supprime la stratégie et les données d'inscription.

Pour redémarrer les services et les processus associés :

Authenticate_Support.exe /Restart


https://www.intel.com/content/www/us/en/support/contact-support.html?productId=92930#@26


80

7.12 Problèmes liés à l'importation des classes de rapportd'inventaire matériel

Dans certains cas, l'importation des classes de rapport d'inventaire matériel échoue et le message suivants'affiche :

Ce message et les solutions proposées sont incorrects et non pertinents dans le cas de l'importation des fichiersMOF fournis avec le composant Add-on. Si ce message s'affiche, cela signifie que les classes importées depuis lefichier MOF existent encore dans un espace de noms temporaire utilisé par SCCM. Cela peut parfois se produireaprès plusieurs importations ou suppressions de fichiers via l'interface utilisateur graphique SCCM. Le problèmeest que, outre le fait que les fichiers ne sont pas supprimés, SCCMmodifie également la hiérarchie des classes.Cela vous empêche de réimporter les classes et d'installer le composant Add-on.


1. Dans le package de téléchargement Add-on, copiez ces fichiers sur l'ordinateur exécutant la consoleConfiguration Manager :

• fix_sccm_2012_mof.mof

• fix_sccm_2012_mof.bat

2. Ouvrez une invite de commande en tant qu'administrateur.

3. Exécutez le fichier de commandes fix_sccm_2012_mof.bat. Ce fichier supprime toutes les classesajoutées par les fichiers Add-on importés. Elles sont supprimées de l'espace de noms temporaire sous :

root\CIMv2\sms\inv_temp

.

4. Importez les classes à nouveau (voir Ajout de classes de rapport d'inventaire matériel page 46).

5. Vous pouvez désormais installer le composant Add-on.



81

7.13 Codes d'erreur

Ce tableau décrit les codes d'erreur renvoyés par le composant Intel® Authenticate Engine.

Code d'erreur Description

31 Erreur système due à :

• une défaillance matérielle ou une expiration survenue lors de la tentative d'inscriptiond'un facteur basé sur l'équipement ;

• une incompatibilité entre les versions Intel® Authenticate Client et Engine ;

• des données d'inscription dont la lecture a échoué. En règle générale, cela est dû au faitque les données sont endommagées ou manquantes.

32 La définition de la stratégie a échoué parce que celle-ci n'est pas valide. Cause éventuelle del'erreur :

• La version de la stratégie est antérieure à la stratégie en cours de définition.

• La stratégie comprend des données non valides.

• Le format de la stratégie est incorrect.

33 La définition de la stratégie a échoué, car la signature de la stratégie présente un problème.Cause éventuelle de l'erreur :

• Une source non autorisée est en train de créer la stratégie.

• Desmodifications ont été apportées à la stratégie après qu'elle a été signée.

• Le certificat utilisé pour la signature de la stratégie a expiré ou n'est pas valide.

34 Une fonction qui n'est pas mise en œuvre dans cette version a été appelée.

35 Un paramètre non valide a été passé à une fonction.

36 Lamémoire tampon de sortie de la fonction est trop faible pour la sortie qui doit y êtreenregistrée.Cette erreur se produit généralement lors de l'analyse des équipements Bluetooth. En règlegénérale, ce problème est résolu en appelant à nouveau la fonction avec la taille de mémoiretampon correcte.

37 Une demande d'inscription d'un facteur a échoué car l'utilisateur a déjà inscrit ce facteur.

38 L'inscription d'un facteur a échoué. Le facteur dont l'inscription a échoué est consigné dansles journaux. La raison pour laquelle une inscription échoue varie selon le facteur.Exemples d'échecs d'inscription :

• Proximité Bluetooth : l'approbation entre Intel® Authenticate et le téléphone n'a pas puêtre établie.

• Empreinte : l'approbation entre Intel® Authenticate et l'équipement d'empreinte n'a paspu être établie.

• Emplacement Intel® AMT : Intel® AMT n'était pas activé lors de la tentative d'inscription.



82


39 L'utilisateur a saisi un code PIN incorrect lors de l'inscription du facteur PIN protégé.

40 L'utilisateur a tenté d'effectuer l'inscription au-delà des limites définies pour le facteur.

41 L'utilisateur a tenté de désinscrire un facteur qui n'était pas inscrit.

42 Une tentative d'exécuter une commande d'administration avec des données erronées a étéeffectuée.

43 Trop de descripteurs sont ouverts.

44 Une tentative d'exécution d'une commande d'administration que l'applet ne peut pasrésoudre a été effectuée. Par exemple, une tentative d'exécution d'une commande pour unutilisateur qui n'existe pas.

45 Une tentative de définition des informations d'identification d'administration qui sont déjàdéfinies a été effectuée. Si les informations d'identification n'ont pas été réinitialisées par leservice informatique, cela peut signifier qu'une infiltration du réseau par une source nonautorisée a eu lieu.

46 Les informations d'identification d'administration n'ont pas été définies. Cette erreur a étérenvoyée lorsque vous avez tenté de définir une stratégie ou d'exécuter une commanded'administration avant que les informations d'identification d'administration soient définies.

47 La vérification de la signature a échoué car la stratégie et le certificat ne correspondent pas.

48 L'applet Intel® Authenticate est actuellement occupée à traiter une autre demande. Lorsquecette erreur se produit, la fonction est appelée à nouveau jusqu'à ce que l'applet ne soit plusoccupée et puisse traiter la demande.

49 Le certificat n'est pas approuvé car il était impossible de vérifier la chaîne de certificats.

50 La stratégie n'a pas été définie et une tentative d'authentification ou d'inscription du facteura été effectuée.

51 Pour désinscrire un facteur, celui-ci doit d'abord être authentifié comme authentique. Cetteerreur est renvoyée lorsque l'authentification du facteur échoue.

52 Le facteur est défini dans la stratégie mais il n'est pas pris en charge sur la plate-forme.

53 Le facteur est défini dans la stratégie et pris en charge, mais il ne peut pas être inscrit tantque l'utilisateur n'ait pas effectué les étapes de préinscription nécessaires en dehorsd'Intel® Authenticate. Par exemple, le facteur Empreinte requiert que l'utilisateur inscrived'abord ses empreintes dansWindows* pour pouvoir s'inscrire avec Intel® Authenticate.

54 Lorsque la fonctionnalité Verrouillage en cas d'absence s'exécute depuis plus de 24 heures,elle est automatiquement redémarrée.



83


55 L'inscription échoue car ce type d'utilisateur n'est pas pris en charge. Intel® Authenticate neprend pas en charge :

• les comptes systèmeWindows* intégrés ;

• l'inscription des utilisateurs via une connexion au bureau à distance ;

• les comptes utilisateur sans mot de passe ou avec un mot de passe vide.

56 Une erreur s'est produite pour un facteur externe (Intel® Authenticate prend en chargel'intégration des facteurs d'authentification des fournisseurs tiers).

57 Cette erreur est renvoyée lorsque le facteur à désinscrire est authentifié (voir l'erreur 51 ci-dessus), mais le processus de désinscription en cours échoue.

59 L'applet Intel® Authenticate est actuellement occupée à traiter une autre demanded'authentification.

5A La demande d'authentification a dépassé le délai autorisé.

5B La demande d'authentification a été finalisée et doit être réinitialisée.

5D L'utilisateur a tenté de définir un facteur qui n'est pas inscrit ou qui existe dans un jeu defacteurs dans lequel aucun facteur n'est inscrit.

5E La stratégie ne peut pas être définie sur un système qui n'est pas équipé d'Intel® vPro™, carelle contient un jeu d'authentification présentant plus de deux facteurs obligatoires. (Les jeuxd'authentification présentant plus de deux facteurs obligatoires sont uniquement pris encharge sur les systèmes Intel® vPro™.)

5F Une action demandée a échoué, car elle a été appelée par un processus qui exige desautorisations élevées.


Intel® Authenticate : guide d'intégration pour Microsoft* SCCM

Documents

Transcript of Intel® Authenticate : guide d'intégration pour Microsoft* SCCM