Utilisateurs et sécurité

Utilisateurs : Ajouter des autorisations de compte pour un utilisateur ou un administrateur

Utilisateurs et sécurité

Utilisateurs

Comptes utilisateurs

Affichez les informations sur tous les utilisateurs qui ont accès à votre B Series Appliance, y compris les utilisateurs locaux et ceux qui y ont accès par l’intégration du fournisseur de sécurité.

Ajouter un utilisateur, modifier, supprimer

Créer un nouveau compte, modifier un compte existant, ou supprimer un compte existant. Vous ne pouvez pas supprimer votre propre compte.

Chercher des utilisateurs

Recherchez le compte d’un utilisateur à partir du nom d’utilisateur, du nom affiché ou de l’adresse e-mail.

Fournisseur de sécurité

Sélectionnez un type de fournisseur de sécurité depuis le menu déroulant pour filtrer la liste des utilisateurs par fournisseur de sécurité.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Réinitialiser des échecs de connexion et déverrouiller un compte

Si un utilisateur échoue une ou plusieurs fois à se connecter, cliquez sur le bouton Réinitialiser pour son compte d’utilisateur afin de remettre le chiffre à 0.

Si un utilisateur se retrouve bloqué après un trop grand nombre d’échecs de connexion consécutifs, cliquez sur le bouton Déverrouiller le compte pour que le compteur de son compte d’utilisateur soit remis à 0 et débloquer son compte.

Ajouter ou modifier un utilisateur

Nom d’utilisateur

Identificateur unique servant à vous connecter.

Nom affiché

Le nom d’utilisateur tel qu’affiché dans les discussions d’équipe, les rapports, etc.

Adresse e-mail

Définissez une adresse e-mail où envoyer les notifications, par exemple les alertes de réinitialisation de mot de passe ou de mode disponibilité étendue.

Mot de passe

Le mot de passe utilisé avec le nom d’utilisateur pour la connexion. Vous pouvez définir le mot de passe de votre choix, tant que la chaîne reste conforme à la règle définie sur la page /login > Gestion > Sécurité.

Envoyer le lien de réinitialisation de mot de passe à l’utilisateur par e-mail

Si cette case est cochée, les administrateurs peuvent envoyer un lien de réinitialisation du mot de passe à un utilisateur.

Doit changer son mot de passe lors de la prochaine connexion

Si cette option est sélectionnée, l’utilisateur doit réinitialiser son mot de passe lors de sa prochaine connexion.

Le mot de passe n’expire jamais

Cochez cette case pour que le mot de passe de l’utilisateur n’expire jamais.

Date d’expiration du mot de passe

Saisissez une date pour l’expiration du mot de passe.

Composition

dans un premier temps, la section Appartenance ne s’affiche pas lors de la création d’un nouvel utilisateur. Après l’enregistrement d’un nouvel utilisateur, une nouvelle section Appartenance affiche les règles de groupe ou les équipes auxquelles l’utilisateur a été associé.

Membres associés à la règle de groupe

Liste des règles de groupe associées à l’utilisateur.

Appartenance à des équipes

Liste des équipes auxquelles l’utilisateur appartient.

Appartenance à un Jumpoint

Liste des Jumpoints auxquels l’utilisateur peut accéder.

Appartenances de groupe de Jump

Liste des groupes de Jump auxquels l’utilisateur appartient.

Paramètres du compte

Authentification à deux facteurs

L’authentification à deux facteurs (2FA) fait appel à une application d’authentification pour créer un code unique limité dans le temps et se connecter à l’interface d’administration et à la console d’accès. Lorsque Requis est sélectionné, l’utilisateur est invité à s’inscrire et à se servir de l’authentification 2FA à sa prochaine connexion. Lorsque Optionnel est sélectionné, l’utilisateur a la possibilité d’utiliser l’authentification 2FA, mais il n’y est pas contraint. Cliquez sur Supprimer l’appli d’authentification actuelle lorsque vous souhaitez qu’un utilisateur ne se connecte plus par le biais d’une appli d’authentification donnée.

Le compte n’expire jamais

Lorsque cette case est cochée, le compte n’expire jamais. Lorsque cette case n’est pas cochée, une date d’expiration du compte doit être définie.

Date d’expiration du compte

Avec ceci, le compte expirera après une date donnée.

Compte désactivé

Vous permet de désactiver le compte pour que l’utilisateur ne puisse plus se connecter. Une désactivation ne supprime PAS le compte.

Commentaires

Ajoutez des commentaires pour aider à identifier la fonction de cet objet.

Autorisations générales

Administration
Privilèges administratifs

Accorde des droits d’administration complets à l’utilisateur.

Autorisé à administrer Vault

Autorise l’accès de l’utilisateur à Vault.

Paramètres de mot de passe

Permet à l’utilisateur de définir des mots de passe et de débloquer des comptes pour les utilisateurs locaux ne disposant pas de droits d’administrateur.

Modification d’un Jumpoint

Permet à l’utilisateur de créer ou de modifier des Jumpoints. Cette option n’affecte pas la capacité de l’utilisateur à accéder à des ordinateurs distants via un Jumpoint, qui est configurée par Jumpoint ou règle de groupe.

Modification d’équipe

Permet à l’utilisateur de créer ou de modifier des équipes.

Modification d’un groupe de Jump

Permet à l’utilisateur de créer ou de modifier les groupe de Jump.

Modification de script prédéfini

Permet à l’utilisateur de créer ou de modifier des scripts prédéfinis en vue de les utiliser dans des sessions de partage d’écran ou d’interpréteur de commandes.

Modification de lien personnalisé

Permet à l’utilisateur de créer ou de modifier des liens personnalisés.

Autorisé à consulter les rapports sur les sessions d’accès

Permet à l’utilisateur d’établir des rapports sur l’activité des session d’accès, en visualisant uniquement les sessions pour lesquelles il était le propriétaire principal de la session, uniquement les sessions pour les points de terminaison appartenant à un groupe de Jump dont l’utilisateur est membre, ou toutes les sessions.

Autorisé à voir les enregistrements de Session d’accès

Permet à l’utilisateur de lire les enregistrements vidéo des sessions de partage d’écran et des sessions d’interpréteur de commandes.

Autorisé à consulter les rapports Vault

Permet à l’utilisateur de consulter ses propres événements Vault ou tous les événements Vault.

Autorisé à consulter les rapports Syslog

Permet à l’utilisateur de télécharger un fichier .zip contenant tous les fichiers Syslog disponibles sur l’appliance. Les administrateurs sont automatiquement autorisés à accéder à ce rapport. Les utilisateurs non administrateurs doivent demander l’accès pour consulter ce rapport.

Autorisations d’accès

Accès
Autorisé à accéder aux points de terminaison

Permet à l’utilisateur d’utiliser la console d’accès pour exécuter des sessions. Si l’accès au point de terminaison est activé, les options relatives à l’accès au point de terminaison seront également disponibles.

Gestion de session
Autorisé à partager les sessions avec des équipes auxquelles il n’appartient pas

Permet à l’utilisateur d’inviter un ensemble moins limité d’utilisateurs pour partager des sessions, pas seulement des membres de son équipe. Combinée à la permission de disponibilité étendue, cette permission développe les capacités de partage de session.

Pour plus d’informations, veuillez consulter la section Contrôler le point de terminaison à distance avec partage d’écran.

Autorisé à inviter des utilisateurs externes

Permet à l’utilisateur d’inviter un utilisateur tiers à participer à une session de manière ponctuelle.

Pour plus d’informations, veuillez consulter la section Inviter un utilisateur externe à rejoindre une session d’accès.

Autorisé à activer le mode disponibilité étendue

Permet à l’utilisateur de recevoir des invitations par e-mail de la part d’autres utilisateurs demandant de partager une session, même lorsqu’il n’est pas connecté à la console d’accès.

Pour plus d’informations, consultez la section Utiliser la disponibilité étendue pour rester accessible lorsque vous n’êtes pas connecté.

Autorisé à modifier la clé externe

Permet à l’utilisateur de modifier la clé externe depuis le volet d’informations d’une session dans la console d’accès.

Pour plus d’informations, veuillez consulter la section Vue d’ensemble de session d’accès et outils.

Partage d’écran d’utilisateur à utilisateur

Pour plus d’informations, veuillez consulter Partager votre écran avec un autre utilisateur.

Autorisé à montrer son écran aux autres utilisateurs

Permet à l’utilisateur de partager son écran avec un autre utilisateur sans que l’utilisateur récepteur ait besoin de rejoindre une session. Cette option est disponible même si l’utilisateur n’est pas dans une session.

Autorisé à accorder le contrôle lorsqu’il montre son écran à d’autres utilisateurs

Permet à l’utilisateur partageant son écran d’accorder le contrôle de son clavier et de sa souris à l’utilisateur regardant son écran.

Technologie Jump
Méthodes d’élément de Jump autorisées

Permet à l’utilisateur d’effectuer un Jump vers des ordinateurs en utilisant les Jump Clients, les Jump locaux sur le réseau local, les Jump distants avec un Jumpoint, les VNC distants avec un Jumpoint, les RDP distants avec un Jumpoint, les Jump Web avec un Jumpoint, les Shell Jump avec un Jumpoint et les Jump en tunnel par protocole avec un Jumpoint.

Rôles d’élément de Jump

Le rôle d’élément de Jump est un ensemble prédéfini d’autorisations relatives à la gestion et à l’utilisation d’un élément de Jump. Pour chaque paramètre, cliquez sur Afficher pour ouvrir le rôle d’élément de Jump dans un nouvel onglet.

Le rôle Par défaut n’est utilisé que lorsque Utiliser les paramètres par défaut de l’utilisateur est défini pour cet utilisateur dans un groupe de Jump.

Le rôle Personnel ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un utilisateur.

Le rôle Équipe ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un membre de l’équipe doté d’un rôle inférieur. Ainsi, un chef d’équipe peut visualiser les éléments de Jump d’un responsable ou d’un membre de son équipe, et un responsable d’équipe peut visualiser les éléments de Jump personnels d’un membre de son équipe.

Le rôle Système s’applique au reste des éléments de Jump du système. Pour la plupart des utilisateurs, ce rôle est en principe défini sur Aucun accès. S’il est défini sur une autre option, l’utilisateur est ajouté à des groupes de Jump auxquels il ne devrait pas être assigné, et, dans la console d’accès, il est en mesure de visualiser la liste personnelle d’éléments de Jump de membres n’appartenant pas à son équipe.

un nouveau Rôle d’élément de Jump appelé Auditeur est automatiquement créé sur les nouvelles installations de site. Il doit être créé sur les installations existantes. Ce rôle n’a qu’une seule autorisation activée (Afficher les rapports), donnant aux administrateurs la possibilité d’accorder à un utilisateur uniquement l’autorisation d’exécuter des rapports d’élément de Jump, sans autre formalité.

Pour plus d’informations, veuillez consulter la section Utiliser les rôles d’éléments de Jump pour configurer les groupes d’autorisation des éléments de Jump.

Autorisations de session

Définissez les règles de demande et d’autorisation devant s’appliquer aux sessions de cet utilisateur. Sélectionnez une règle de session existante ou définissez des autorisations personnalisées pour cet utilisateur. Notez que l’option Non défini entraîne l’utilisation de la règle globale par défaut. Ces autorisations peuvent être remplacées par une règle de niveau supérieur.

Description

Affichez la description d’une règle de permission de session prédéfinie.

Partage d’écran
Règles de partage d’écran

Sélectionnez l’accès du technicien d’assistance et de l’utilisateur distant au système distant :

  • En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
  • Refuser désactive le partage d’écran.
  • Voir uniquement permet au technicien d’assistance de voir l’écran.
  • Voir et contrôler permet au technicien d’assistance de voir le système et d’agir sur celui-ci. Si cette option est sélectionnée, des restrictions concernant les points de terminaison peuvent être définies pour éviter les interférences avec l’utilisateur distant :
    • Aucun n’impose aucune restriction au système distant.
    • Affichage, souris et clavier désactive ces entrées. Si cette option est sélectionnée, une case est disponible pour Demander automatiquement un écran de confidentialité au début de la session. L’écran de confidentialité ne s’applique qu’aux sessions lancées à partir d’un Jump Client, d’un élément de Jump distant ou d’un élément de Jump local. Nous vous recommandons d’utiliser un écran de confidentialité pour les sessions autonomes. Le système distant doit prendre en charge l’écran de confidentialité.

Pour plus d’informations, veuillez consulter la section Contrôler le point de terminaison à distance avec partage d’écran.

Sens de synchronisation du presse-papiers

Sélectionnez la manière dont le contenu du presse-papiers circule entre les utilisateurs et les points de terminaison. Les options sont :

  • Non autorisé : L’utilisateur n’est pas autorisé à utiliser le presse-papiers, aucune icône de presse-papiers ne s’affiche dans la console d’accès et les commandes couper-coller ne fonctionnent pas.
  • Autorisé du technicien d’assistance vers l’utilisateur : L’utilisateur peut envoyer le contenu du presse-papiers au point de terminaison, mais ne peut pas le coller à partir du presse-papiers du point de terminaison. Seule l’icône du presse-papiers Envoyer s’affiche dans la console d’accès.
  • Envoyer dans les deux sens : Le contenu du presse-papiers peut circuler dans les deux sens. Les icônes du presse-papiers Envoyer et Obtenir s’affichent dans la console d’accès.

Pour plus d’informations sur le Mode de synchronisation du presse-papiers, veuillez consulter Sécurité : Gestion des paramètres de sécurité.)

Restrictions de partage d’applications

Limiter l’accès aux applications spécifiées sur le système distant avec N’autoriser que les exécutables répertoriés ou Ne refuser que les exécutables répertoriés. Vous pouvez aussi choisir d’autoriser ou de refuser l’accès au bureau.

notez que cette fonction n’est valable que pour les systèmes d’exploitation Windows.

Ajouter des exécutables

Si des restrictions de partage d’application sont imposées, un bouton Ajouter des exécutables apparaît. Cliquer sur ce bouton ouvre un dialogue qui vous permet de spécifier quels exécutables autoriser ou refuser, en fonction de vos objectifs.

Après avoir ajouté des exécutables, un ou deux tableaux affichent les noms ou hachages de fichier que vous avez sélectionnés pour la restriction. Un champ de commentaire modifiable permet d’écrire des notes d’administration.

Entrer les noms de fichier ou hachages SHA-256 (un par ligne)

Lorsque vous restreignez des exécutables, saisissez manuellement les noms ou hachages des fichiers exécutables que vous souhaitez autoriser ou refuser. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Rechercher un ou plusieurs fichiers

Lorsque vous restreignez des exécutables, sélectionnez cette option pour parcourir votre système et choisir les fichiers exécutables pour obtenir automatiquement leurs noms ou hachages. Si vous sélectionnez des fichiers de votre plate-forme locale et du système de cette manière, assurez-vous que les fichiers sont bien des exécutables. Aucune vérification au niveau du navigateur n’est effectuée.

Choisissez Utiliser le nom de fichier ou Utiliser le hachage de fichier pour que le navigateur obtienne les noms ou hachages des fichiers exécutables automatiquement. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

cette option n’est disponible que dans les navigateurs modernes, pas dans les navigateurs plus anciens.

Restrictions de point de terminaison autorisées

Définissez si l’utilisateur peut interrompre l’entrée souris et clavier du système distant. L’utilisateur peut aussi empêcher l’affichage du bureau distant.

Pour plus d’informations, veuillez consulter la section Contrôler le point de terminaison à distance avec partage d’écran.

Annotations
Règles d’annotation

Permet à l’utilisateur d’utiliser les outils d’annotation pour dessiner sur l’écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter la section Utiliser les annotations pour dessiner sur l’écran distant du point de terminaison.

Transfert de fichiers
Règles de transfert de fichiers

Permet à l’utilisateur d’envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers du point de terminaison

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers de l’utilisateur

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Pour plus d’informations, veuillez consulter la section Transfert de fichiers vers et depuis le point de terminaison de système distant.

Interpréteur de commandes
Règles de l’interpréteur de commandes

Permet à l’utilisateur de saisir des commandes sur l’ordinateur distant par l’intermédiaire d’une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

l’accès à l’interpréteur de commandes ne peut pas être restreint lors de sessions de Shell Jump.

Configurez le filtrage des commandes pour empêcher l’utilisation accidentelle de commandes pouvant endommager les systèmes des points de terminaison.

Pour plus d’informations sur le filtrage de commandes, veuillez consulter la section Utiliser un Shell Jump pour accéder à un appareil réseau distant.

Pour plus d’informations, veuillez consulter la section Ouvrir l’interpréteur de commandes sur le point de terminaison distant en utilisant la console d’accès.

Informations système
Règles relatives aux informations système

Permet à l’utilisateur de consulter les informations système de l’ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l’utilisateur d’interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Pour plus d’informations, veuillez consulter la section Consulter les informations système sur le point de terminaison distant.

Accès au registre
Règles d’accès au registre

Permet à l’utilisateur d’agir sur le registre d’un système Windows distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Pour plus d’informations, veuillez consulter la section Accès à l’éditeur de registre distant sur le point de terminaison distant.

Scripts prédéfinis
Règles de script prédéfini

Permet à l’utilisateur d’exécuter des scripts prédéfinis créés pour ses équipes. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter la section Ouvrir l’interpréteur de commandes sur le point de terminaison distant en utilisant la Console d’accès.

Comportement de fin de session

Si vous ne pouvez pas vous reconnecter dans le temps que vous avez défini dans Délai de reconnexion, choisissez l’action à effectuer. Pour empêcher un utilisateur final d’accéder à des privilèges non autorisés après une session avec des droits accrus, réglez le client pour qu’il déconnecte automatiquement l’utilisateur final de l’ordinateur Windows distant à la fin de la session, qu’il verrouille l’ordinateur distant, ou qu’il ne fasse rien. Ces règles ne s’appliquent pas aux sessions de partage de navigation.

Autoriser les utilisateurs à remplacer ce paramètre session par session

Vous pouvez autoriser un utilisateur à outrepasser le paramètre de fin de session dans l’onglet Résumé de la console au cours d’une session.

Paramètres de disponibilité

Planning de connexion
Restreindre la connexion de l’utilisateur selon le planning suivant

Définissez un planning afin de déterminer les périodes pendant lesquelles les utilisateurs peuvent se connecter à la console d’accès. Définissez le fuseau horaire à utiliser pour ce planning, puis ajoutez une ou plusieurs entrées de planification. Pour chaque entrée, indiquez l’heure et la date de début ainsi que l’heure et la date de fin.

Par exemple, si la période définie commence à 8 h et se termine à 17 h, un utilisateur peut se connecter à n’importe quel moment au cours de cette période et peut continuer à travailler passée l’heure de fin. Il ne sera toutefois pas autorisé à se reconnecter après 17 h.

Forcer la déconnexion lorsque le planning ne permet pas l’ouverture d’une session

Si un contrôle d’accès plus strict est requis, cochez cette option. Ceci force la déconnexion de l’utilisateur à l’heure de fin définie. Dans ce cas, l’utilisateur reçoit des notifications récurrentes à partir de 15 minutes avant d’être déconnecté. Lorsque l’utilisateur est déconnecté, toutes les sessions possédées suivront les règles de récupération.

Rapport sur les comptes utilisateur

Exportez des informations détaillées sur vos utilisateurs à des fins d’audit. Collectez des informations détaillées sur l’ensemble des utilisateurs, sur les utilisateurs d’un fournisseur de sécurité spécifique ou sur les utilisateurs locaux uniquement. Les informations collectées incluent les données affichées sous le bouton « Afficher les détails », ainsi que les appartenances et les autorisations des équipes et des règles de groupe.