Règles de session : configuration de règles de demande et d’autorisation de session
Utilisateurs et sécurité
Règles de session
Règles de session
Les règles de session permettent de personnaliser les autorisations de sécurité des sessions pour correspondre à des scénarios spécifiques. Les règles de session peuvent être appliquées aux utilisateurs, aux sites publics et à tous les éléments de Jump.
Pour plus d’informations, reportez-vous à la section Utilisation des règles de Session d’assistance technique.
La section Règles de session répertorie toutes les règles disponibles. Cliquez sur la flèche située en regard d'une règle pour connaître les éléments auxquels elle est associée, sa disponibilité pour les utilisateurs, les invitations de techniciens d'assistance et les Jump Clients, ainsi que les outils d'assistance technique et les demandes configurés.
Ajouter, modifier, supprimer
Créer une nouvelle règle, modifier ou supprimer une règle existante.
Copier
Pour accélérer la création de règles de groupe semblables, cliquez sur Copier pour créer une nouvelle règle avec des réglages identiques. Vous pouvez ensuite modifier cette nouvelle règle pour répondre à vos exigences spécifiques.
Ajouter ou modifier une règle de session
Après avoir effectué vos modifications, cliquez sur Enregistrer pour rendre cette règle disponible.
Nom affiché
Créez un nom unique permettant d’identifier cette règle. Ce nom facilite l'assignation d'une règle de session aux utilisateurs, portails publics et Jump Clients.
Nom de code
Définissez également un nom de code, qui sera utilisé à des fins d’intégration. Dans le cas contraire, le système en crée un automatiquement.
Description
Ajoutez une brève description pour résumer la fonction de cette règle. La description s’affiche lors de l’application d’une règle à des comptes utilisateur, règles de groupe et invitations de technicien d’assistance.
Disponibilité
Utilisateurs
Choisissez si cette règle peut être attribuée à des utilisateurs (comptes d’utilisateurs et règles de groupe).
Invitation d’un technicien d’assistance
Choisissez si cette règle peut être sélectionnée par les utilisateurs lors de l’invitation d’utilisateurs externes à rejoindre une session.
Éléments de Jump
Choisissez si cette règle peut être associée à un élément de Jump.
Dépendances
Si cette règle de session est déjà utilisée, le nombre d'utilisateurs, de portails publics et de Jump Clients associés est également indiqué.
Autorisations
Vous pouvez choisir d’activer ou de désactiver toutes les autorisations suivantes, ou encore de les définir sur Non défini. Les règles de session sont appliquées à une session de manière hiérarchisée, les Jump Clients étant prioritaires, suivis des portails d'assistance technique, des utilisateurs, et enfin de la règle globale par défaut. S’il existe plusieurs règles s’appliquant à une session, la règle présentant la priorité la plus haute prévaut sur toutes les autres. Par exemple, si la règle appliquée à un Jump Client définit une autorisation, alors aucune autre règle ne peut modifier cette autorisation pour la session. Pour qu’une autorisation puisse être définie par une règle de niveau inférieur, elle doit être définie sur Non défini.
Pour plus d’informations et d’exemples, reportez-vous à la section Utilisation des règles de Session d’assistance technique.
Indiquez les outils devant être activés ou désactivés par cette règle, ainsi que ceux devant faire l'objet d'une demande d'autorisation au client.
Demande d’outil d’assistance technique
Pour en savoir plus, veuillez consulter Client d’utilisateur : interface de session d’assistance technique.
Règles de demande
Vous pouvez choisir de demander à l’utilisateur l’autorisation d’utiliser les fonctions d’assistance technique ci-après. Sélectionnez Aucune demande pour ne jamais envoyer de demande, Toujours demander pour toujours envoyer une demande ou Demander pour certains outils pour choisir les autorisations pour lesquelles envoyer une demande. Lorsque l’option Demander pour certains outils est sélectionnée, l’option Demander l’accord de l’utilisateur apparaît en dessous de chaque outil, avec les choix Jamais et Toujours. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Autorisé à demander une fois
Si l’option Partage d’écran est définie sur Voir et contrôler et que l’envoi de demandes est activé, cette option est disponible. Cochez cette case pour permettre à la fonction de partage d’écran d’accéder à tous les outils au cours de la session, sans demande supplémentaire.
Options de demande
Définissez le délai d’attente de réponse à une demande avant l’envoi de la réponse par défaut Refuser ou Autoriser. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Partage d’écran
Règles de partage d’écran
Permet à l’utilisateur de voir ou de contrôler l’écran distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Partage d’écran avec l’utilisateur distant à des fins de consultation et de contrôle.
Autorisé à montrer son écran à l’utilisateur
Permet à l’utilisateur de partager son écran avec le client au cours d’une session d’assistance technique. Cette option est disponible si Voir uniquement ou Voir et contrôler est sélectionné.
Pour plus d’informations, veuillez consulter la section Montrer mon écran : Inversion du partage d’écran.
Restrictions d’utilisateur autorisées
Définissez si l’utilisateur peut interrompre l’entrée souris et clavier du système distant. L’utilisateur peut aussi empêcher l’affichage du bureau distant. Cette option est disponible si Voir et contrôler est sélectionné. Si Affichage, souris et clavier est la Restriction d’utilisateur sélectionnée, une case est disponible pour Demander automatiquement un écran de confidentialité au début de la session. L’écran de confidentialité ne s’applique qu’aux sessions lancées à partir d’un Jump Client, d’un élément de Jump distant ou d’un élément de Jump local. Nous vous recommandons d’utiliser un écran de confidentialité pour les sessions autonomes. Le système distant doit prendre en charge l’écran de confidentialité.
Pour plus d’informations, veuillez consulter la section Interaction client restreinte : Écran de confidentialité et désactivation de l’entrée de l’utilisateur distant.
Comportement de demande de partage d’applications
Déterminez si une demande de partage d’écran ne doit jamais ou toujours faire l’objet d’une demande auprès du client pour sélectionner les applications à partager, ou si l’utilisateur peut choisir de faire une demande de partage d’applications ou non. Sélectionner Toujours ou Décision du technicien d’assistance vous permet aussi de prédéfinir les restrictions de partage d’application.
Pour plus d’informations, veuillez consulter la section Partage d’application : Restriction des éléments visibles par le technicien d’assistance.
Sens de synchronisation du presse-papiers
Cette option est disponible si Voir et contrôler est sélectionné. Sélectionnez la manière dont le contenu du presse-papiers circule entre les techniciens d’assistance et les utilisateurs finaux. Les options sont :
- Non autorisé : Le technicien d’assistance n’est pas autorisé à utiliser le presse-papiers, aucune icône de presse-papiers ne s’affiche dans la console du technicien d’assistance et les commandes couper-coller ne fonctionnent pas.
- Autorisé du technicien d’assistance vers l’utilisateur : Le technicien d’assistance peut envoyer le contenu du presse-papiers au client, mais ne peut pas le coller à partir du presse-papiers de l’utilisateur final. Seule l’icône du presse-papiers Envoyer s’affiche dans la console du technicien d’assistance.
- Envoyer dans les deux sens : Le contenu du presse-papiers peut circuler dans les deux sens. Les icônes du presse-papiers Envoyer et Obtenir s’affichent dans la console du technicien d’assistance.
Pour plus d’informations sur le Mode de synchronisation du presse-papiers, veuillez consulter Sécurité : Gestion des paramètres de sécurité de sécurité.
Partage de navigateur
Règles de partage de navigateur
Permet à l’utilisateur de consulter la même page Web que le client regarde, sans avoir le contrôle et sans voir d’autres applications. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Partage d’écran avec l’utilisateur distant à des fins de consultation et de contrôle.
Annotations
Règles d’annotation
Permet à l’utilisateur d’utiliser les outils d’annotation pour dessiner sur l’écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Utiliser les annotations pour dessiner sur l’écran distant.
Transfert de fichiers
Règles de transfert de fichiers
Permet à l’utilisateur d’envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Chemins accessibles sur le système de fichiers de l’utilisateur
Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.
Chemins accessibles sur le système de fichiers du technicien d’assistance
Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.
Pour plus d’informations, veuillez consulter Transfert de fichiers vers et depuis le système distant.
Interpréteur de commandes
Règles de l’interpréteur de commandes
Permet à l’utilisateur de saisir des commandes sur l’ordinateur distant par l’intermédiaire d’une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
l’accès à l’interpréteur de commandes ne peut pas être restreint lors de sessions de Shell Jump.
Pour plus d’informations, veuillez consulter Accès à l’interpréteur de commandes distant.
Informations système
Règles relatives aux informations système
Permet à l’utilisateur de consulter les informations système de l’ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Autorisé à utiliser les actions relatives aux informations système
Permet à l’utilisateur d’interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.
Pour plus d’informations, veuillez consulter Consulter les informations du système distant.
Accès au registre
Règles d’accès au registre
Permet à l’utilisateur d’agir sur le registre d’un système Windows distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.
Pour plus d’informations, veuillez consulter Accès à l’éditeur de registre distant.
Scripts prédéfinis
Règles de script prédéfini
Permet à l’utilisateur d’exécuter des scripts prédéfinis créés pour ses équipes. Notez que lorsque l’utilisateur est en partage d’écran en mode affichage seul, le client reçoit une invite pour autoriser le lancement du script.En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Accès à l’interpréteur de commandes distant.
Accroissement des droits
Règles d’accroissement des droits
Permet à l’utilisateur de tenter d’accroître les droits du client d’utilisateur pour s’exécuter avec des droits administratifs sur le système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Accroître le client.
Déploiement de Bouton d’assistance technique
Règles de déploiement de Bouton d’assistance technique
Permet à l’utilisateur de déployer ou de supprimer un Bouton d’assistance technique au cours d’une session. Les emplacements de déploiement possibles dépendent des paramètres de Bouton d’assistance technique ci-dessus. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.
Attachement/Détachement de Jump Clients
Règles d’attachement/détachement de Jump Clients
Permet à l’utilisateur d’attacher ou de détacher un Jump Client au cours d’une session. Les emplacements de déploiement possibles dépendent des paramètres de Jump Client précédents. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.
Messagerie instantanée
Pour plus d’informations, veuillez consulter Messagerie instantanée avec un utilisateur lors d’une session.
Règles de messagerie instantanée
Permet à l’utilisateur de discuter avec le client distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
Autorisé à charger des URL dans le navigateur Web de l’utilisateur
Permet à l’utilisateur d’entrer une URL dans la zone de messagerie instantanée, puis de cliquer sur le bouton Charger l’URL pour ouvrir automatiquement un navigateur Web à cette adresse sur l’ordinateur distant.
Autorisé à envoyer des fichiers à l’aide de l’interface de messagerie instantanée
Permet à l’utilisateur d’envoyer des fichiers via l’interface de messagerie instantanée.
Pour en savoir plus, veuillez consulter Client d’utilisateur : interface de session d’assistance technique.
Comportement de fin de session
Si vous ne pouvez pas vous reconnecter dans le temps que vous avez défini dans Délai de reconnexion, choisissez l’action à effectuer. Pour empêcher un utilisateur final d’accéder à des privilèges non autorisés après une session avec des droits accrus, réglez le client pour qu’il déconnecte automatiquement l’utilisateur final de l’ordinateur Windows distant à la fin de la session, qu’il verrouille l’ordinateur distant, ou qu’il ne fasse rien. Ces règles ne s’appliquent pas aux sessions de partage de navigation.
Autoriser les utilisateurs à remplacer ce paramètre session par session
Vous pouvez autoriser un utilisateur à outrepasser le paramètre de fin de session dans l’onglet Résumé de la console au cours d’une session.
Exporter la règle
Vous pouvez exporter une règle de session à partir d’un site et importer ces autorisations dans une règle sur un autre site. Modifiez la règle que vous souhaitez exporter et faites défiler jusqu’au bas de la page. Cliquez sur Exporter la règle et enregistrez le fichier.
Importer une règle
Vous pouvez importer ces paramètres de règles vers les autres sites BeyondTrust prenant en charge l’importation de règles de session. Créez une nouvelle règle de session, puis accédez au bas de la page. Naviguez jusqu’au fichier de la règle, puis cliquez sur Importer la règle. Une fois le fichier de la règle chargé, la page s’actualisera pour vous permettre d’effectuer des modifications. Cliquez alors sur Enregistrer la règle pour rendre la règle disponible.
Simulateur de règle de session
La priorisation des règles pouvant s’avérer complexe, vous pouvez utiliser le simulateur de règle de session pour déterminer le résultat. Vous pouvez également utiliser ce simulateur pour déterminer pourquoi une autorisation n’est pas disponible alors qu’elle devrait l’être.
Technicien d’assistance
Commencez en sélectionnant l’utilisateur effectuant la session. La liste déroulante inclut les règles de comptes d’utilisateur et d’invitation de techniciens d’assistance.
Méthode de démarrage de session
Sélectionnez la méthode de démarrage de la session à utiliser pour cette simulation.
Portail public
Si vous avez sélectionné Portail public, indiquez le portail public à utiliser pour cette simulation de session initiée par le client.
Bouton d’assistance technique
Si vous avez sélectionné Bouton d’assistance technique, recherchez un Bouton d’assistance technique déployé par profil, portail public associé, file d’attente associée, nom d’ordinateur ou description. Le portail public associé sera automatiquement sélectionné au-dessus.
Jumpoint ou Jump local
Dans la mesure où les Jumps locaux et les Jumpoints sont toujours associés au portail public par défaut, aucune configuration supplémentaire n'est requise.
Jump Client, raccourci de Jump local, raccourci de Jump distant, raccourci de Jump VNC local, raccourci de Jump VNC distant, raccourci de Jump RDP distant, raccourci de Jump RDP local, raccourci de Shell Jump, raccourci Intel® vPro
Rechercher un Jump Client attaché ou un raccourci de Jump par nom, commentaires, groupe de Jump, balise, ou portail public associé. Le portail public associé sera automatiquement sélectionné au-dessus.
Utilisateur présent
Si vous avez sélectionné Jump Client, vous pouvez choisir si l'utilisateur doit apparaître comme étant présent ou non.
Simuler
Cliquez sur Simuler. La zone située en dessous affiche en lecture seule les autorisations configurables par règle de session. Vous pouvez ainsi voir quelles autorisations sont accordées ou refusées d’après la hiérarchie de règles, ainsi que la règle associée à chaque autorisation.
