Configurer la MFA pour un Ordinateur ou un Serveur

Logon app vous permet d'exiger une authentification lorsque les utilisateurs se connectent à un ordinateur ou un serveur. Ceci inclut la protection de RDP et RD Gateway.

Logon app comporte deux parties :

Pour configurer la MFA pour un ordinateur ou un serveur, vous devez configurer une ressource pour Logon app dans l'AuthPoint management UI puis installer Logon app sur chaque ordinateur ou serveur que vous souhaitez protéger. Pour les connexions Bureau Distant et RDS, vous installez Logon app sur les hôtes auxquels les utilisateurs s'authentifient. Afin de protéger à son tour le serveur RD Gateway, vous installez Logon app sur le serveur. Afin de protéger les hôtes situés derrière RD Gateway, vous installez Logon app sur les hôtes.

Lorsque vous installez Logon app, une authentification est nécessaire pour s'identifier. Sur l'écran de connexion, les utilisateurs doivent saisir leur mot de passe puis choisir l'une des méthodes d'authentification autorisées (notification push, one-time password ou QR code).

Logon app prend uniquement en charge l'authentification par mot de passe pour la connexion initiale de l'utilisateur. Si vous installez Logon app sur un ordinateur prenant en charge les fonctionnalités biométriques telles que Touch ID ou Windows Hello, les utilisateurs ne peuvent pas utiliser ces fonctionnalités pour se connecter. Les utilisateurs doivent se connecter avec un mot de passe et la MFA AuthPoint. Suite à leur connexion initiale, les utilisateurs peuvent utiliser les données biométriques.

Les utilisateurs peuvent se connecter avec des comptes d'utilisateurs de domaine ou locaux, mais tous les utilisateurs doivent avoir un compte d'utilisateur AuthPoint actif avec une stratégie d'authentification pour Logon app. Les utilisateurs ne disposant pas d'un compte d'utilisateur AuthPoint comprenant une stratégie d'authentification pour Logon app ne peuvent pas s'identifier sur un ordinateur sur lequel Logon app est installé, à moins d'activer l'option permettant d'autoriser certains utilisateurs non AuthPoint à s'identifier sans MFA.

Si votre licence AuthPoint expire ou que vous supprimez votre ressource Logon app, les utilisateurs peuvent se connecter à leur ordinateur avec leur seul mot de passe.

Vous pouvez télécharger Logon app depuis la page Téléchargements de l'AuthPoint management UI.

Exigences

Lorsque vous configurez et déployez Logon app, prenez en considération ces exigences :

  • Tous les comptes de domaine et comptes locaux doivent avoir un compte d'utilisateur AuthPoint actif et faire partie d'un groupe AuthPoint avec une stratégie d'authentification à Logon app pour s'authentifier et se connecter

    Vous pouvez activer l'option permettant à certains utilisateurs non AuthPoint de se connecter sans MFA pour les utilisateurs qui ne disposent pas d'un compte d'utilisateur AuthPoint.

  • Le nom d'utilisateur des comptes locaux et de domaine doit être le même que le nom d'utilisateur AuthPoint
  • Pour vous connecter en tant qu'utilisateur local (ne faisant pas partie du domaine), vous devez avoir un compte d'utilisateur AuthPoint avec un jeton actif
  • Si votre utilisateur local a le même nom d'utilisateur que votre utilisateur de domaine, vous pouvez utiliser le même utilisateur AuthPoint pour vous authentifier et vous connecter aux deux comptes
  • Si votre nom d'utilisateur local est différent de votre nom d'utilisateur de domaine, vous devez avoir un utilisateur AuthPoint distinct pour chaque compte d'utilisateur (un pour l'utilisateur de domaine et un pour l'utilisateur local)
  • Lorsque vous installez Logon app, l'ordinateur doit être connecté à Internet avant la première connexion
  • Si vous installez Logon app sur un ordinateur d'un domaine Active Directory, vous devez configurer une stratégie de groupe pour autoriser les utilisateurs du domaine à s'authentifier (se connecter) localement
  • Si vous installez Logon app sur un ordinateur prenant en charge les fonctionnalités biométriques telles que Touch ID ou Windows Hello, les utilisateurs ne peuvent pas utiliser ces fonctionnalités pour se connecter.
Composant AuthPoint Windows 8.1 et 10 Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 R2 Windows Server 2019
Logon App Windows (64 bits)  
Logon App Windows (32 bits)    
Composant AuthPoint El Capitan (10.11) Sierra (10.12) High Sierra (10.13) Mojave (10.14) Catalina(10.15)
Logon App macOS

N'installez pas Logon app sur des ordinateurs qui fonctionnent sous Windows 7 ou antérieur ou sur des serveurs qui fonctionnent sous Windows 2008 R2 ou antérieur.

Ajouter une Ressource Logon App

Pour commencer, vous devez ajouter une ressource pour Logon app. Vous n'avez pas besoin d'une ressource Logon app distincte pour chaque ordinateur sur lequel Logon app est installée. Vous pouvez utiliser une seule ressource Logon app pour toutes vos stratégies d'authentification, quel que soit le système d'exploitation.

Après avoir ajouté une ressource Logon app à AuthPoint, vous devez ajouter la ressource à vos stratégies d'authentification existantes, ou ajouter de nouvelles stratégies d'authentification pour la ressource Logon app qui incluent tous les groupes d'utilisateurs qui doivent s'authentifier pour se connecter à leurs ordinateurs.

Pour ajouter une ressource Logon App :

  1. Sélectionnez Ressources.
  2. Dans la liste déroulante Choisir un type de ressource, sélectionnez Logon App. Cliquez sur Ajouter la Ressource.

  1. Sur la page Logon app, dans la zone de texte Nom, saisissez un nom pour cette ressource.
  2. (Facultatif) Dans la zone de texte Message d'Assistance, saisissez un message à afficher sur l'écran de connexion.
  3. Pour autoriser certains utilisateurs ne disposant pas d'un compte d'utilisateur AuthPoint à se connecter sans MFA, activez l'option Autoriser certains utilisateurs non AuthPoint à se connecter sans MFA.

    Les utilisateurs non-AuthPoint ne peuvent se connecter sans MFA que s'il n'existe pas de compte AuthPoint avec le même nom d'utilisateur.

  1. Dans la zone de texte Ajouter des Noms d'Utilisateur, saisissez le nom d'utilisateur de chaque utilisateur non AuthPoint autorisé à se connecter sans MFA. Vous pouvez autoriser jusqu'à 50 utilisateurs non-AuthPoint à se connecter sans MFA.

  1. Cliquez sur Enregistrer.
  2. Ajoutez Logon app à vos stratégies d'authentification existantes, ou ajoutez de nouvelles stratégies d'authentification pour la ressource Logon app (consultez À propos des Stratégies d'Authentification AuthPoint). Nous recommandons que la stratégie d'authentification de Logon app inclue les options d'authentification OTP ou QR code pour que les utilisateurs puissent s'authentifier lorsqu'ils ne sont pas connectés à Internet.

Télécharger et Installer Logon app

Vous pouvez utiliser une invite de commandes Windows pour installer Logon app. Vous pouvez également utiliser la ligne de commande de déploiement via les Objets de Stratégie de Groupe (GPO) Active Directory. Pour installer Logon app à partir d'une invite de commandes Windows, vous devez télécharger le programme d'installation .MSI et le fichier de configuration de Logon app.

Lorsque vous installez Logon app sur un ordinateur, celui-ci doit être connecté à Internet avant la première connexion de l'utilisateur. Logon app doit pouvoir communiquer avec AuthPoint pour vérifier les stratégies d'authentification.

Logon app enregistre une copie locale des stratégies d'authentification sur l'ordinateur. Logon app utilise cette stratégie locale lorsqu'un utilisateur s'authentifie hors ligne. Elle est mise à jour lorsque l'ordinateur se connecte ensuite à Internet.

Télécharger le Programme d'Installation et le Fichier de Configuration de Logon App

Pour télécharger le programme d'installation et le fichier de configuration de Logon app :

  1. Dans le menu de navigation, sélectionnez Téléchargements.
    La page Téléchargements s'affiche.
  2. Dans la section Logon App, à côté de votre système d'exploitation, cliquez sur Télécharger le Programme d'Installation.
  3. Pour télécharger le fichier de configuration de Logon app, Cliquez sur Télécharger la Configuration. Vous pouvez utiliser le même fichier de configuration pour chaque installation de Logon app, quel que soit le système d'exploitation.

Installer Manuellement Logon App

Pour installer manuellement Logon app sur votre ordinateur, déplacez le fichier de configuration téléchargé dans le dossier du programme d'installation de Logon app (fichier .MSI). Exécutez le programme d'installation de Logon app et installez Logon app sur l'ordinateur ou le serveur que vous souhaitez protéger.

Installer Logon App depuis une Invite de Commandes Windows

Pour installer Logon app depuis une invite de commandes Windows :

  1. Dans Windows, faites un clic droit sur l'Invite de Commandes puis sélectionnez Exécuter en tant qu'Administrateur.
    Une fenêtre d'invite de commandes Windows s'ouvre.
  2. Changez de répertoire en indiquant celui du fichier .MSI.
  3. Pour exécuter le programme d'installation de Logon app, exécutez l'une des commandes suivantes :
    • Pour fournir le chemin d'accès du fichier de configuration :
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="C:/wlconfig.cfg"
    • Pour fournir le contenu du fichier de configuration :
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="contenu_du_fichier_de_config_sans_espace"
    • Si le programme d'installation et le fichier de configuration sont dans le même dossier :
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi

    Assurez-vous de modifier la commande pour qu'elle corresponde à la version du programme d'installation que vous voulez exécuter.

    Pour installer Logon app de manière silencieuse sans intervention de l'utilisateur, ajoutez /q ou /qn à la commande. Pour empêcher le redémarrage de l'ordinateur une fois l'installation terminée, ajoutez /norestart à la commande. Pour de plus amples informations, consultez la documentation Microsoft de la commande msiexec.

Utiliser un GPO Active Directory pour Installer Logon App

Vous pouvez utiliser les commandes décrites dans la procédure précédente pour installer Logon app à distance sur différents ordinateurs via un Objet de Stratégie de Groupe (GPO) Active Directory. Vous devez employer une méthode d'installation prenant en charge les paramètres en ligne de commande.

Il existe deux méthodes permettant de configurer un GPO de manière à installer un fichier .MSI avec des paramètres en ligne de commande :

Configurez une GPO pour un script d'ouverture de session ou un script de démarrage qui exécute un fichier de commandes installant Logon app. Le fichier de commandes contient une seule ligne, qui spécifie le chemin d'accès réseau du fichier .MSI. Les autres paramètres sont identiques à ceux mentionnés dans la procédure précédente pour l'installation à partir d'une invite de commandes Windows.


  • Pour fournir le chemin d'accès du fichier de configuration :msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="C:/wlconfig.cfg"

  • Pour fournir le contenu du fichier de configuration :msiexec -i "[chemin d'accès]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="contenu_du_fichier_de_config_sans_espaces"

  • Si le programme d'installation et le fichier de configuration sont dans le même dossier :msiexec -i "[chemin d'accès]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi"

Assurez-vous de modifier la commande pour qu'elle corresponde à la version du programme d'installation que vous voulez exécuter.

Créez un fichier de transformation (.MST) contenant les paramètres de ligne de commande désirés. L'outil Orca de création du fichier .MST fait partie du SDK Windows disponible auprès de Microsoft.

Pour créer le fichier .MST dans Orca :

  1. Ouvrez Orca.
  2. Sélectionnez Fichier > Ouvrir puis sélectionnez le fichier .MSI téléchargé.
  3. Pour lancer une nouvelle transformation, sélectionnez Transformation > Nouvelle Transformation.
  4. Dans la liste Propriétés, ajoutez une propriété :
    • Pour transmettre le chemin d'accès au fichier de configuration, ajoutez la propriété CONFIG_PATH en indiquant le chemin d'accès du fichier de configuration.
    • Pour transmettre le contenu du fichier de configuration, ajoutez la propriété CONFIG_CONTENT en indiquant le contenu du fichier de configuration (sans espaces).
    • Si le programme d'installation et le fichier de configuration se trouvent dans le même dossier, il n'est pas nécessaire d'ajouter de propriété.
  5. Pour générer le fichier de transformation, sélectionnez Transformation > Générer la Transformation.
  6. Pour enregistrer le fichier de transformation, sélectionnez Fichier > Enregistrer la Transformation Sous.
  7. Copiez le fichier .MSI d'origine dans le dossier contenant le fichier .MST.
  8. Pour tester manuellement l'installation, saisissez cette commande :
    install: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -q TRANSFORMS=[fichier mst de Logon app]

    Assurez-vous de modifier la commande pour qu'elle corresponde à la version du programme d'installation que vous voulez exécuter.

Après avoir créé le fichier .MST, créez une GPO d'Installation Logicielle comprenant le fichier .MSI et le fichier .MST.

Pour créer la GPO d'Installation Logicielle :

  1. Ouvrez l'Éditeur de Gestion des Stratégies de Groupe.
  2. Accédez aux paramètres d'installation des logiciels.
  3. Faites un clic droit puis sélectionnez Nouveau > Paquet.
  4. Spécifiez le chemin d'accès réseau du fichier .MSI.
  5. Sélectionnez Avancé.
  6. Sélectionnez l'onglet Modifications.
  7. Cliquez sur Ajouter.
  8. Spécifiez le chemin d'accès réseau du fichier .MST.
  9. Cliquez sur OK.
  10. Dans Windows, faites un clic droit sur l'Invite de Commandes puis sélectionnez Exécuter en tant qu'Administrateur.
    Une fenêtre d'invite de commandes Windows s'ouvre.
  11. Lancez la commande gpupdate pour actualiser les paramètres de la stratégie de groupe.
  12. Pour tester la GPO, redémarrez l'un des ordinateurs du domaine.

Actualiser Logon app

Logon app n'effectue pas automatiquement de mise à niveau vers la dernière version. Pour mettre à niveau Logon app, vous devez télécharger et installer la version mise à jour de l'agent for Windows ou de l'agent for macOS. La version la plus récente de l'agent est disponible sur la page Téléchargements.

Il n'est pas nécessaire de désinstaller Logon app ni de télécharger un nouveau fichier de configuration lorsque vous installez une mise à jour de l'agent.

Pour mettre à jour l'agent for Windows :

  1. Dans l'AuthPoint management UI, sélectionnez Téléchargements.
  2. Dans la section Logon App, à côté de votre système d'exploitation, cliquez sur Télécharger le Programme d'Installation. Il n'est pas nécessaire de télécharger le fichier de configuration.

  1. Exécutez le programme d'installation de Logon app sur l'ordinateur ou suivez les étapes des sections précédentes pour installer l'agent en ligne de commande ou via un GPO.

Désinstaller Logon App

Vous pouvez désinstaller Logon app lorsqu'il n'est plus nécessaire de protéger un ordinateur ou un serveur avec la MFA AuthPoint.

Si votre licence AuthPoint expire et que Logon app est installée, les utilisateurs peuvent se connecter à leur ordinateur avec leur seul mot de passe.

  1. Ouvrez le menu Démarrer de Windows puis sélectionnez Paramètres.
  2. Accédez à Applications et Fonctionnalités.
  3. Sélectionnez AuthPoint Agent for Windows.
  4. Cliquez sur Désinstaller.
  5. Après avoir désinstallé Logon app, redémarrez votre ordinateur.

Pour désinstaller la version 1.5.21 ou une version ultérieure de Logon app dans macOS, vous devez exécuter le paquet Logon_App_for_Mac_uninstall.pkg.

  1. Accédez à /Utilisateurs/$USER/Applications/WatchGuard.
  2. Exécutez le paquet Logon_App_for_Mac_uninstall.pkg.
  3. Suivez les étapes de l'assistant. Une fois terminé, vous devez redémarrer votre ordinateur.

Pour désinstaller la version 1.5.20 ou une version antérieure de Logon app dans macOS, vous devez utiliser l'application Terminal pour exécuter le script uninstall.sh. Vous trouverez le script uninstall.sh dans le dossier Applications (/Utilisateurs/$USER/Applications/WatchGuard/uninstall.sh).

  1. Au démarrage de l'ordinateur, appuyez sur Command + S pour activer le Mode Utilisateur Unique.
  2. Pour configurer le disque en lecture-écriture, saisissez la commande mount -o update /.
  3. Pour exécuter le script de désinstallation, saisissez la commande sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh.
  4. Après avoir désinstallé Logon app, redémarrez votre ordinateur.

Si votre connexion d'utilisateur échoue, il demeure possible de désinstaller Logon app en utilisant le Mode Sans Échec de votre ordinateur.

Windows Installer (msiserver) ne fonctionne pas par défaut en Mode Sans Échec. Pour activer Windows Installer en Mode Sans Échec, vous devez modifier une clé de registre.

  1. Démarrez votre ordinateur en Mode Sans Échec.
  2. Une fois identifié, saisissez cmd dans la zone de recherche Cortana.
  3. Faites un clic droit sur l'application Invite de Commandes puis sélectionnez Exécuter en tant qu'Administrateur.
    La boîte de dialogue Contrôle de Compte d'Utilisateur s'affiche.
  4. Cliquez sur Oui.
  5. Dans la boîte de dialogue Invite de Commandes, saisissez l'une des commandes suivantes puis appuyez sur Entrée :
    • Si votre ordinateur est en Mode Sans Échec, saisissez reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service".
    • Si votre ordinateur est en Mode Sans Échec avec Prise en Charge Réseau, saisissez reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service".
  6. Pour exécuter msiserver, dans la boîte de dialogue Invite de Commandes, saisissez net start msiserver. Appuyez sur Entrée.
  7. Vous pouvez maintenant désinstaller Logon app en Mode Sans Échec :
    1. Ouvrez le menu Démarrer de Windows puis sélectionnez Paramètres.
    2. Accédez à Applications et Fonctionnalités.
    3. Sélectionnez AuthPoint Agent for Windows.
    4. Cliquez sur Désinstaller.
  8. Après avoir désinstallé Logon app, redémarrez votre ordinateur.
  1. Lorsque l'ordinateur démarre, appuyez immédiatement sur la touche Maj et maintenez-la enfoncée.
    Le logo Apple s'affiche.
  2. Relâchez la touche Maj lorsque la page de connexion s'affiche.
  3. Ouvrez une fenêtre Terminal.
  4. Dans la fenêtre Terminal, saisissez la commande cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/.
  5. Saisissez la commande sh .recovery.sh.
  6. Saisissez reboot.
  7. Pour désinstaller Logon app, accédez à /Utilisateurs/$USER/Applications/WatchGuard.
  8. Exécutez le paquet Logon_App_for_Mac_uninstall.pkg.
  9. Suivez les étapes de l'assistant. Une fois terminé, vous devez redémarrer votre ordinateur.

Authentification avec Logon app

Lorsque Logon app est installée sur un ordinateur, une authentification est nécessaire pour se connecter. Sur l'écran de connexion, les utilisateurs doivent saisir leur mot de passe puis choisir l'une des méthodes d'authentification autorisées. Les méthodes d'authentification disponibles sont déterminées par la stratégie d'authentification la plus élevée qui inclut la ressource Logon app et le groupe d'utilisateurs.

Si l'authentification push est activée, les utilisateurs peuvent cocher la case Envoyer automatiquement une notification push lorsque je me connecte pour faciliter le processus d'authentification. Lorsque cette option est sélectionnée, Logon app envoie automatiquement une notification push à l'utilisateur une fois qu'il a saisi son nom d'utilisateur et son mot de passe.

Logon app ne prend pas en charge la connexion automatique à Windows.

Pour se connecter à un ordinateur sur lequel Logon app est installé :

  1. Dans la zone de texte Nom d'utilisateur, saisissez le nom d'utilisateur pour votre utilisateur du domaine. Pour vous connecter en tant qu'utilisateur local, saisissez votre nom d'utilisateur sous la forme <nom_d'hôte>\<nom_d'utilisateur>.
  2. Dans la zone de texte Mot de passe, saisissez votre mot de passe Windows ou Mac. Pour les comptes d'utilisateurs Active Directory, saisissez votre mot de passe AD.
  3. Cliquez sur Suivant.
    Si une MFA est requise, l'écran d'authentification s'affiche. Si la stratégie d'authentification de votre groupe ne nécessite qu'un mot de passe, vous vous connectez.
  4. Si une MFA est requise, sous Options de Connexion, sélectionnez une option d'authentification. La notification Push est la méthode d'authentification par défaut. Si vous sélectionnez une autre option d'authentification, celle-ci devient la méthode d'authentification par défaut.

    Si votre ordinateur n'a pas de connexion Internet et qu'une MFA est requise, vous devez choisir le one-time password ou le QR code pour une authentification hors ligne.

  5. Appuyez sur Entrée ou Retour et authentifiez-vous.
    • Push — Approuvez la notification push envoyée sur votre périphérique mobile.
    • QR Code — Utilisez l'application mobile AuthPoint pour scanner le QR code, puis tapez le code de vérification indiqué dans l'application.
    • One-Time Password — Saisissez le mot de passe à usage unique de votre jeton.

Si vous n'avez pas votre jeton, vous devez utiliser la fonction Jeton Oublié pour vous connecter à un ordinateur sur lequel Logon app est installé. Pour plus d'informations, consultez Authentification Sans Votre Périphérique Mobile.

Voir Également

Configurer la MFA

À propos des Stratégies d'Authentification AuthPoint

À propos de l'Authentification