Options de déploiement de la réinitialisation de mot de passe libre-service

Pour les nouveaux clients titulaires d’une licence Azure Active Directory Premium, nous recommandons d’utiliser la réinitialisation de mot de passe libre-service Azure AD pour fournir l’expérience utilisateur final. Azure AD la réinitialisation de mot de passe en libre-service offre à l’utilisateur une expérience web et intégrée à la Windows pour qu’un utilisateur réinitialise son propre mot de passe et prenne en charge un grand nombre des mêmes fonctionnalités que MIM, y compris un autre courrier électronique et des & portes Q a. Quand vous déployez la réinitialisation de mot de passe libre-service Azure AD, Azure AD Connect prend en charge la réécriture des nouveaux mots de passe dans AD DS. Le service de notification de changement de mot de passe MIM peut également être utilisé pour transférer les mots de passe à d’autres systèmes, notamment le serveur d’annuaire d’un autre fournisseur. Le déploiement de MIM pour la gestion des mots de passe ne nécessite pas le déploiement du service MIM ni celui des portails d’inscription ou de réinitialisation de mot de passe libre-service. Au lieu de cela, effectuez les étapes suivantes :

pour les clients existants qui ont précédemment déployé Forefront identity Manager (FIM) pour la réinitialisation de mot de passe libre-service et qui sont concédés sous licence pour Azure Active Directory Premium, nous vous recommandons de planifier la transition vers Azure AD réinitialisation de mot de passe en libre-service. Pour faire passer les utilisateurs finaux à la réinitialisation de mot de passe libre-service Azure AD sans les obliger à se réinscrire, synchronisez ou définissez par le biais de PowerShell l’adresse e-mail de secours ou le numéro de téléphone mobile des utilisateurs. Une fois les utilisateurs inscrits à la réinitialisation de mot de passe libre-service Azure AD, vous pouvez retirer le portail de réinitialisation de mot de passe FIM.

Pour les clients qui n’ont pas encore déployé la réinitialisation de mot de passe libre-service Azure pour leurs utilisateurs, MIM fournit également des portails de réinitialisation de mot de passe libre-service. Comparé à FIM, MIM 2016 inclut les changements suivants :

  • le MIM Self-Service portail de réinitialisation de mot de passe et Windows écran de connexion permet aux utilisateurs de déverrouiller leurs comptes sans modifier leur mot de passe.
  • Une nouvelle porte d’authentification, la porte téléphonique, a été ajoutée à MIM. Celle-ci permet d’authentifier les utilisateurs au moyen d’un appel téléphonique par le biais du service Microsoft Azure Multi-Factor Authentication (MFA).

Les builds de MIM 2016 jusqu’à la version 4.5.26.0 obligeaient le client à télécharger le SDK Azure Multi-Factor Authentication (SDK Azure MFA). ce kit de développement logiciel (SDK) est déconseillé et les clients doivent passer à l’utilisation de MIM SSPR avec le serveur Azure MFA, ou Azure AD la réinitialisation du mot de passe en libre-service. Cet article décrit comment mettre à jour le portail de réinitialisation de mot de passe libre-service MIM et la configuration PAM de votre déploiement à l’aide du serveur Azure Multi-Factor Authentication pour l’authentification multifacteur.

Déploiement du portail de réinitialisation de mot de passe libre-service MIM à l’aide d’Azure MFA pour l’authentification multifacteur

La section suivante décrit comment déployer le portail de réinitialisation de mot de passe libre-service MIM à l’aide d’Azure MFA pour l’authentification multifacteur. Ces étapes s’adressent uniquement aux clients qui n’utilisent pas la réinitialisation de mot de passe libre-service Azure AD pour leurs utilisateurs.

Microsoft Azure Multi-Factor Authentication est un service d’authentification qui oblige les utilisateurs à vérifier leurs tentatives de connexion à l’aide d’une application mobile, d’un appel téléphonique ou d’un message texte. Vous pouvez l'utiliser avec Microsoft Azure Active Directory, et en tant que service pour les applications d'entreprise locales et cloud.

Azure MFA fournit un mécanisme d’authentification supplémentaire qui peut renforcer les processus d’authentification existants, tel que celui effectué par MIM pour l’assistance de connexion libre-service.

Avec l’authentification multifacteur Azure, les utilisateurs s’authentifient auprès du système pour vérifier leur identité quand ils tentent de réaccéder à leur compte et à leurs ressources. L'authentification peut s'effectuer via SMS ou appel téléphonique. Plus l’authentification est forte, plus il est probable que la personne qui tente d’accéder au système soit la véritable propriétaire de l’identité. Une fois authentifié, l'utilisateur peut choisir un nouveau mot de passe pour remplacer l'ancien.

Conditions préalables à la configuration du déverrouillage de compte et de la réinitialisation en libre-service avec MFA

Cette section part du principe que vous avez téléchargé et effectué le déploiement des composants MIM Sync, MIM Service et MIM Portal de Microsoft Identity Manager 2016, notamment les composants et services suivants :

  • Un ordinateur Windows Server 2008 R2 ou version ultérieure a été configuré comme serveur Active Directory, avec les services de domaine Active Directory et un contrôleur de domaine avec domaine désigné (domaine « d’entreprise »).

  • Une stratégie de groupe est définie pour le verrouillage de compte.

  • Le service de synchronisation MIM 2016 (Sync) est installé et en cours d’exécution sur un serveur joint au domaine Active Directory.

  • Le service et le portail MIM 2016, y compris le portail d’inscription SSPR et le portail de réinitialisation SSPR, sont installés et en cours d’exécution sur un serveur (qui peut être colocalisé avec le service de synchronisation).

  • Le service de synchronisation MIM est configuré pour la synchronisation d’identité AD-FIM, notamment :

    • Configuration de l'agent de gestion Active Directory (ADMA) pour la connectivité aux services AD DS et capacité à importer des données d'identité et à les exporter vers Active Directory.

    • Configuration de l’agent de gestion MIM (MIM MA) pour la connectivité à la base de données de service FIM et la capacité à importer des données d’identité et à les exporter vers la base de données FIM.

    • Configuration des règles de synchronisation dans le portail MIM pour autoriser la synchronisation des données utilisateur et faciliter les activités de synchronisation dans le service MIM.

  • Les compléments et extensions MIM 2016, y compris le client intégré de connexion Windows SSPR, sont déployés sur le serveur ou sur un ordinateur client distinct.

Ce scénario nécessite des licences d’accès client MIM pour vos utilisateurs, ainsi qu’un abonnement à Azure MFA.

Préparer MIM au fonctionnement avec l’authentification multifacteur

Configurez le service de synchronisation MIM pour prendre en charge les fonctionnalités de réinitialisation du mot de passe et de déverrouillage de compte. Pour plus d’informations, consultez Installation des compléments et extensions FIM, Installation de FIM SSPR, Portes d’authentification SSPR et Guide de laboratoire de test SSPR.

Mettre à jour le fichier de configuration

Notes

Cette section était basée sur les recommandations précédentes utilisant le fichier ZIP fourni par le kit de développement logiciel (SDK) Azure MFA. Utilisez plutôt les instructions de l’article sur la utiliser d' Azure serveur multi-Factor Authentication.

  1. Ouvrez une session sur l’ordinateur où le service MIM est installé, en tant qu’utilisateur ayant installé MIM.

  2. Créez un dossier situé sous le répertoire où le service MIM a été installé, comme C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. à l’aide de l’explorateur de Windows, accédez au dossier \pf\certs du fichier ZIP téléchargé à la section précédente, puis copiez le fichier cert_key. p12 dans le nouveau répertoire.

  4. Dans le fichier zip du kit de développement logiciel (SDK), dans le dossier \pf, ouvrez le fichier pf_auth. cs.

  5. Recherchez ces trois paramètres : LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.

    Image du code pf_auth.cs

  6. Dans C:\Program Files\Microsoft Forefront Identity Manager\2010\Service, ouvrez le fichier : MfaSettings.xml.

  7. Copiez les valeurs des paramètres LICENSE_KEY, GROUP_KEY, CERT_PASSWORD du fichier pf_aut.cs dans leurs éléments xml respectifs dans le fichier MfaSettings.xml.

  8. Dans le fichier zip du Kit SDK, sous \pf\certs, extrayez le fichier cert_key.p12 et entrez son chemin d'accès complet dans le fichier MfaSettings.xml dans l'élément xml .

  9. Dans l'élément <username>, entrez un nom d'utilisateur quelconque.

  10. Dans l'élément <DefaultCountryCode>, entrez votre code de pays par défaut. Si des numéros de téléphone sont enregistrés pour des utilisateurs sans code de pays, il s'agit du code de pays qu'ils obtiendront. Si un utilisateur a un code de pays international, vous devez l'inclure dans le numéro de téléphone enregistré.

  11. Enregistrez le fichier MfaSettings.xml avec le même nom au même emplacement.

Configurer la porte téléphonique ou la porte de message texte pour le mot de passe à usage unique

  1. lancez Internet Explorer et accédez au portail MIM, en vous authentifiant en tant qu’administrateur MIM, puis cliquez sur workflows dans la barre de navigation de gauche.

    Image de navigation sur le portail MIM

  2. Sélectionnez Flux de travail d'authentification de réinitialisation de mot de passe.

    Image des flux de travail du portail MIM

  3. Cliquez sur l'onglet Activités, puis faites défiler jusqu'à Ajouter une activité.

  4. sélectionnez Téléphone porte ou mot de passe à usage unique porte SMS , cliquez sur sélectionner , puis sur OK.

Remarque : Si vous utilisez le serveur Azure MFA ou un autre fournisseur qui génère le mot de passe à usage unique, vérifiez que le champ de longueur configuré ci-dessus a la même valeur que celui généré par le fournisseur MFA. Cette longueur doit être de 6 pour le serveur Azure MFA. Par ailleurs, étant donné que le serveur Azure MFA génère son propre texte de message, le SMS est ignoré.

Les utilisateurs de votre organisation peuvent désormais s'inscrire pour la réinitialisation du mot de passe. Lors de ce processus, les utilisateurs vont entrer leur numéro de téléphone professionnel ou mobile pour que le système sache comment les appeler (ou comment leur envoyer des messages SMS).

Inscrire des utilisateurs pour la réinitialisation du mot de passe

  1. Un utilisateur lance un navigateur web pour accéder au portail d’inscription pour la réinitialisation de mot de passe MIM. (En général, ce portail est configuré avec l'authentification Windows.) Dans le portail, ils vont fournir à nouveau leur nom d'utilisateur et leur mot de passe pour confirmer leur identité.

    Ils doivent accéder au portail d'enregistrement du mot de passe et s'authentifier à l'aide de leur nom d'utilisateur et de leur mot de passe.

  2. dans le champ numéro de Téléphone ou Téléphone Mobile , ils doivent entrer un code de pays, un espace et le numéro de téléphone, puis cliquer sur suivant.

    Image de la vérification par téléphone MIM

    Image de la vérification par téléphone mobile MIM

Comment cela fonctionne-t-il pour vos utilisateurs ?

Maintenant que tout est configuré et opérationnel, vous souhaiterez peut-être savoir ce que vos utilisateurs devront faire quand ils réinitialiseront leur mot de passe juste avant de partir en vacances et s'apercevront, une fois revenus, qu'ils l'ont complètement oublié.

Il existe deux façons pour un utilisateur d’utiliser la fonctionnalité de réinitialisation du mot de passe et de déverrouillage de compte : à partir de l’écran de connexion Windows ou à partir du portail libre-service.

En installant les compléments et extensions MIM sur un ordinateur joint au domaine connecté via le réseau de votre organisation au service MIM, les utilisateurs peuvent résoudre un problème de mot de passe oublié via l'utilisation de la connexion à l'ordinateur. La procédure suivante vous guide tout au long du processus.

Réinitialisation du mot de passe intégrée à la connexion au Bureau Windows

  1. Si votre utilisateur entre un mot de passe incorrect plusieurs fois, dans l’écran de connexion, il aura la possibilité de cliquer sur problèmes de connexion ? .

    Image de l’écran de connexion

    Un clic sur ce lien mène à l’écran de réinitialisation du mot de passe MIM, où il pourra modifier son mot de passe ou déverrouiller son compte.

    Image de réinitialisation du mot de passe dans MIM

  2. L'utilisateur sera dirigé pour s'authentifier. Si MFA a été configuré, l'utilisateur recevra un appel téléphonique.

  3. En arrière-plan, Azure MFA appelle le numéro que l'utilisateur a donné quand il s'est inscrit pour le service.

  4. Quand l'utilisateur répond au téléphone, il est invité à appuyer sur la touche dièse (#). Ensuite, l'utilisateur clique sur Suivant dans le portail.

    Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.

    Notes

    Si l'utilisateur s'impatiente et clique sur Suivant avant d'appuyer sur la touche dièse, l'authentification échoue.

  5. Après une authentification réussie, l'utilisateur a deux options : déverrouiller le compte et conserver le mot de passe actuel, ou définir un nouveau mot de passe.

  6. L'utilisateur doit entrer le nouveau mot de passe à deux reprises, puis le mot de passe est réinitialisé.

Accès à l'aide du portail libre-service

  1. Les utilisateurs peuvent ouvrir un navigateur web, accéder au portail de réinitialisation de mot de passe, entrer le nom d'utilisateur, puis cliquer sur Suivant.

    Si MFA a été configuré, l'utilisateur recevra un appel téléphonique. En arrière-plan, Azure MFA appelle le numéro que l'utilisateur a donné quand il s'est inscrit pour le service.

    Quand l'utilisateur répond au téléphone, il est invité à appuyer sur la touche dièse (#). Ensuite, l'utilisateur clique sur Suivant dans le portail.

  2. Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.

    Notes

    Si l'utilisateur s'impatiente et clique sur Suivant avant d'appuyer sur la touche dièse, l'authentification échoue.

  3. L'utilisateur devra choisir s'il souhaite réinitialiser son mot de passe ou déverrouiller son compte. S'il choisit de déverrouiller son compte, le compte sera déverrouillé.

    Image du déverrouillage de l’accès avec l’Assistant de connexion MIM

  4. Après une authentification réussie, l'utilisateur a deux options : conserver son mot de passe actuel ou en définir un nouveau.

  5. Image du déverrouillage réussi du compte MIM

  6. Si l'utilisateur choisit de réinitialiser son mot de passe, il devra taper un nouveau mot de passe à deux reprises et cliquer sur Suivant pour changer le mot de passe.