Installer et configurer

Check-list d’installation

Avant de commencer l’installation, effectuez les tâches de cette liste :

Étape
  Choisir les ordinateurs de votre environnement sur lesquels vous allez installer le logiciel et les préparer pour l’installation. Consultez la section Configuration système requise.
  Installer le certificat TLS et les comptes requis pour le service. Consultez la rubrique Exigences en matière de sécurité et de compte dans la section Configuration système requise.
  Installez ou mettez à niveau le serveur de licences vers une version minimale de 11.13.1.2. Téléchargez le serveur de licences à partir de https://www.citrix.com/downloads/licensing.html. Pour plus d’informations, consultez la documentation du serveur de licences.

Ordre d’installation et de configuration

Citrix vous recommande d’installer la réinitialisation en libre-service des mots de passe dans cet ordre :

  1. Créer un magasin central. Consultez la section Créer un magasin central.
  2. Installer le module de réinitialisation en libre-service des mots de passe. Pour installer le service et exécuter l’assistant de configuration du service, le compte avec lequel vous vous connectez doit être un utilisateur du domaine et appartenir au groupe Administrateur local sur le serveur. Pour plus d’informations, consultez Installer et configurer le module de réinitialisation en libre-service des mots de passe.
  3. Configurer le module de réinitialisation en libre-service des mots de passe à l’aide de la console. Consultez la section Installer et configurer le module de réinitialisation en libre-service des mots de passe.
  4. Configurer le module de réinitialisation en libre-service des mots de passe sur StoreFront. Consultez la section Configurer StoreFront.
  5. Assurez-vous que la configuration de la réinitialisation en libre-service des mots de passe est configurée de manière sécurisée. Consultez la section Sécuriser la configuration.

Créer un magasin central

Pour des raisons de sécurité, nous vous recommandons de créer le magasin central directement sur la machine exécutant le service de réinitialisation en libre-service des mots de passe. Pour les déploiements dans lesquels plus d’un serveur de réinitialisation en libre-service des mots de passe est requis, vous pouvez héberger le magasin central sur un partage réseau distant si le serveur de réinitialisation en libre-service des mots de passe et le serveur hébergeant le partage prennent tous deux en charge le cryptage SMB.

Cette fonctionnalité est disponible uniquement sur Windows Server 2012 R2 ou Windows Server 2016.

Créer un compte de proxy de données

Créez un utilisateur de domaine normal à utiliser comme compte de proxy de données.Ne configurez pas d’utilisateur depuis le groupe Administrateur de domaine/Administrateur local en tant que compte de proxy de données.

Créer un magasin central pour Windows Server 2012 R2 ou Windows Server 2016

Lors de l’utilisation de Windows Server 2012 R2 ou Windows Server 2016 pour le serveur de réinitialisation en libre-service des mots de passe et le magasin central, vous pouvez utiliser un partage réseau distant s’il est configuré comme décrit dans cette section. Assurez-vous que Chiffrer l’accès aux données est sélectionné et suivez les indications de la section Sécuriser la configuration.

  1. Pour démarrer l’assistant Nouveau partage, ouvrez Gestionnaire de serveur. Depuis la page de détails Services de fichiers et de stockage, sélectionnez Partages dans le panneau de gauche et cliquez sur Tâches > Nouveau partage.

    Image d'un nouveau partage

  2. Choisissez Sélectionner le profil dans le panneau de gauche, sélectionnez Partage SMB - rapide et cliquez sur Suivant.

    Image de sélection du profil

  3. Choisissez Emplacement du partage dans le panneau de gauche. Dans la liste, sélectionnez le serveur sur lequel créer le nouveau partage et le volume sur lequel créer le nouveau dossier partagé, puis cliquez sur Suivant.

    Image de l'emplacement du partage

  4. Choisissez Nom de partage dans le panneau de gauche, tapez le nom de votre nouveau partage, par exemple CITRIXSYNC$ et cliquez sur Suivant.

    Image du nom du partage

  5. Choisissez Autres paramètres dans le panneau de gauche, sélectionnez Chiffrer les données, désélectionnez Autoriser la mise en cache du partage et cliquez sur Suivant.

    Image d'autres paramètres

  6. Pour personnaliser les autorisations du Partage, choisissez Autorisations dans le panneau de gauche et sélectionnez Personnaliser les autorisations > Partage.

    Image de personnalisation des autorisations

  7. Pour personnaliser les autorisations NTFS, cliquez sur Désactiver l’héritage et sélectionnez Convertir les autorisations héritées en autorisations explicites sur cet objet.

    Image de désactivation de l'héritage

  8. Cliquez sur l’onglet Autorisations, supprimez tous les utilisateurs à l’exception de CREATEUR PROPRIETAIRE, Administrateurs locaux et SYSTEME, puis ajoutez le compte proxy de données créé avec l’autorisation Contrôle total.

    Image de la suppression d'utilisateurs

  9. Choisissez CREATEUR PROPRIETAIRE et cliquez sur Modifier pour décocher les autorisations suivantes :

    • Contrôle total

    • Supprimer les sous-dossier et les fichiers

    • Modifier les autorisations

    • Prendre possession

    Image des autorisations avancées

  10. Choisissez l’onglet Partager, supprimez Tout le monde et ajoutez le compte proxy de données, les administrateurs locaux et les administrateurs de domaine avec l’autorisation Contrôle total.

    Image des autorisations de partage

  11. Choisissez Confirmation dans le panneau de gauche de l’assistant Nouveau partage, vérifiez les paramètres sélectionnés pour le partage et cliquez sur Créer pour lancer le processus de création du nouveau dossier, puis sur Fermer.

  12. Créez deux sous-dossiers situés sous le dossier de partage CITRIXSYNC$ : le dossier CentralStoreRoot et le dossier People.

Important : assurez-vous que le compte de proxy de données dispose d’un Contrôle total sur ces deux sous-dossiers.

Vous devez configurer EncryptData, RejectUnencryptedAccess et RequireSecuritySignature pour le magasin central de la Réinitialisation en libre-service des mots de passe. Pour plus d’informations sur la configuration, consultez les articles Microsoft suivants : https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

Installer et configurer le module de réinitialisation en libre-service des mots de passe

  1. Installez la réinitialisation en libre-service des mots de passe à l’aide du programme d’installation de Citrix Virtual Apps and Desktops

    Image de SSPR sur CVAD

  2. Après l’installation de la réinitialisation en libre-service des mots de passe, cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix pour configurer le service de réinitialisation en libre-service des mots de passe de Citrix.
  3. Lorsque la console s’ouvre, suivez ces trois procédures de base pour configurer le service.

    Image de la console SSPR

Configuration du service

Avant de configurer le service, assurez-vous d’avoir créé le magasin central, le compte de proxy de données et le compte en libre-service.

  1. Sélectionnez Configuration du service dans le panneau du milieu, puis cliquez sur Nouvelle configuration du service dans le panneau de droite.

  2. Sur l’écran Emplacement du magasin central, spécifiez l’emplacement du magasin central et cliquez sur Suivant.

    Image de spécification de l'emplacement central du magasin

  3. Dans l’écran Configurations de domaines, sélectionnez un domaine dans lequel vous souhaitez activer le service de réinitialisation en libre-service des mots de passe et cliquez sur Propriétés.

    Image de spécification d'un domaine

  4. Spécifiez le nom d’utilisateur et le mot de passe du compte du proxy de données ainsi que le nom d’utilisateur et le mot de passe du compte en libre-service, puis cliquez sur OK.

    Image de la spécification des noms d'utilisateur et des mots de passe

  5. Cliquez sur Suivant pour appliquer tous les paramètres.

    Image de l'application de tous les paramètres

  6. Cliquez sur Terminer pour terminer la configuration.

    Image du clic du bouton Terminer

Configuration utilisateur

  1. Dans le panneau de gauche, sélectionnez Configuration utilisateur, puis cliquez sur Nouvelle configuration utilisateur dans le panneau de droite.

  2. Sur l’écran Nommer la configuration utilisateur, définissez les groupes d’utilisateurs cible du service de réinitialisation en libre-service des mots de passe, ajoutez des utilisateurs/groupes/unités d’organisation depuis Active Directory et cliquez sur Suivant.

    Image de la configuration utilisateur

  3. Sur l’écran Configurer les licences, spécifiez le serveur de licences, puis cliquez sur Suivant.

    Image de la configuration de licences

  4. Sur l’écran Activer réinitialisation en libre-service des mots de passe, utilisez les cases à cocher pour indiquer si les utilisateurs peuvent réinitialiser leurs mots de passe Windows et déverrouiller leurs comptes de domaine sans l’intervention de l’administrateur, indiquez l’adresse et le port du service et cliquez sur Créer.

    Image de l'activation de la réinitialisation du mot de passe

Pour de plus amples informations sur la gestion des configurations utilisateur, consultez la section Gérer les configurations utilisateur.

Vérification d’identité

  1. Dans le panneau de gauche, sélectionnez le nœud Vérification d’identité, puis cliquez sur Gérer les questions dans le panneau de droite.
  2. Sur l’écran Authentification avec questions, sélectionnez la langue par défaut, utilisez la case à cocher pour afficher ou masquer les réponses aux questions de sécurité, puis cliquez sur Suivant.
  3. Sur l’écran Questions de sécurité, cliquez sur Ajouter une question, tapez une question dans la zone de texte, cliquez sur OK, puis cliquez sur Suivant.
  4. Sur l’écran Questionnaire, cliquez sur Ajouter et sélectionnez une question. Vous pouvez réorganiser vos questions et groupes avec les boutons Monter et Descendre. Lorsque vous en avez terminé avec cette page, cliquez sur Créer et OK.

Pour de plus amples informations sur la gestion des questions de vérification d’identité, consultez la section Gérer les questions de vérification d’identité.

Gérer les configurations utilisateur

Une configuration utilisateur vous permet de contrôler le comportement et l’apparence de l’interface lorsque les utilisateurs se connectent à StoreFront. La création d’une nouvelle configuration constitue la dernière étape à suivre avant de distribuer le module de réinitialisation en libre-service des mots de passe aux utilisateurs de votre environnement. Vous pouvez modifier à tout moment les configurations utilisateur existantes.

Une configuration utilisateur constitue une collection unique de paramètres que vous appliquez à des utilisateurs associés à une hiérarchie Active Directory (une unité organisationnelle ou un utilisateur) ou à un groupe Active Directory.

Une configuration utilisateur comporte les éléments suivants :

  • Les utilisateurs associés à une hiérarchie de domaine Active Directory (unité organisationnelle ou utilisateur) ou à un groupe Active Directory.

Important : les groupes de distribution et les groupes locaux de domaine en mode Active Directory mixte ne sont pas pris en charge.

  • Serveur de licences
  • Fonctionnalités en libre-service (déverrouillage de compte et réinitialisation de mot de passe)

Avant de créer vos configurations utilisateur, assurez-vous que vous avez déjà créé ou défini les éléments suivants :

  • Magasin central
  • Configuration du service

Pour créer une configuration utilisateur :

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Configurations utilisateur.
  3. À partir du menu Actions, cliquez sur Ajouter une nouvelle configuration utilisateur.

Pour ajouter des utilisateurs, une unité d’organisation ou un groupe :

La page Nommer la configuration utilisateur de l’assistant Configuration utilisateur vous permet d’associer la configuration utilisateur aux utilisateurs.

Association de la configuration utilisateur :

Vous disposez de deux options d’association des utilisateurs : à une hiérarchie de domaine Active Directory (unité organisationnelle ou utilisateur) ou à un groupe Active Directory. Si nécessaire, vous pouvez associer la configuration utilisateur à une autre hiérarchie ou un autre groupe plus tard, en cliquant sur Modifier la configuration utilisateur dans le menu Actions.

L’association de configurations utilisateur à des groupes n’est prise en charge que dans des domaines Active Directory utilisant l’authentification Active Directory.

Sélectionnez l’unité d’organisation, les utilisateurs ou le groupe sur la page Nommer la configuration utilisateur (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Remarque : nous ne vous recommandons pas d’inclure de comptes avec privilèges (par exemple, Administrateurs locaux ou Administrateurs de domaine) dans le groupe d’utilisateurs pour lequel le compte de réinitialisation en libre-service des mots de passe peut réinitialiser des mots de passe. Utilisez un nouveau groupe dédié.

Pour configurer les licences :

La page Configurer les licences de l’assistant Configuration utilisateur vous permet de configurer le serveur de licences utilisé par le service de réinitialisation en libre-service des mots de passe.

Remarque : vous pouvez utiliser les fonctionnalités Déverrouiller et réinitialiser uniquement si vous disposez de l’édition Platinum de Citrix Virtual Apps ou Citrix Virtual Desktops.

Entrez le nom du serveur de licences et le numéro de port sur la page Configurer les licences (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Pour activer les fonctionnalités de déverrouillage ou de réinitialisation :

La réinitialisation en libre-service des mots de passe permet aux utilisateurs de réinitialiser leur mot de passe et déverrouiller leurs comptes de domaine Windows sans intervention de l’administrateur. Dans la page Activer réinitialisation en libre-service des mots de passe, vous pouvez sélectionner les fonctionnalités à activer.

Sélectionnez le composant que vous souhaitez que les utilisateurs utilisent : Déverrouiller ou Réinitialiser sur la page Activer réinitialisation en libre-service des mots de passe (à partir de l’assistant Nouvelle configuration utilisateur ou Modifier la configuration utilisateur).

Pour configurer une liste noire :

Les administrateurs informatiques peuvent ajouter des utilisateurs et des groupes à la liste noire. Les utilisateurs et groupes présents dans une liste noire ne peuvent utiliser aucune des fonctionnalités de la Réinitialisation en libre-service des mots de passe - y compris l’inscription, le déverrouillage de compte et la réinitialisation des mots de passe. De même, un utilisateur répertorié sur la liste noire ne voit pas le bouton TÂCHE sur l’application Citrix Workspace après s’être connecté.

Pour configurer la liste noire :

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau de gauche, sélectionnez Configuration utilisateur, puis cliquez sur Configuration de la liste noire dans le panneau de droite.
  3. Utilisez les boutons Ajouter et Supprimer pour ajouter et supprimer des utilisateurs ou groupes de la liste noire.

Gérer les questions de vérification d’identité

La vérification d’identité de la console Configuration du module de réinitialisation en libre-service des mots de passe de Citrix fournit un emplacement central permettant de gérer toutes les questions de sécurité associées à la vérification d’identité, à la réinitialisation en libre-service des mots de passe et au déverrouillage de compte. Vous pouvez ajouter vos propres questions de sécurité à la liste de questions par défaut et créer des groupes de questions.

  • Si vous modifiez les questions fournies par défaut après l’enregistrement des réponses des utilisateurs, tenez compte de la signification des questions modifiées. La modification d’une question n’oblige pas un utilisateur à se réinscrire. Toutefois, si la signification d’une question est changée, les utilisateurs qui ont répondu auparavant à cette question peuvent se retrouver incapables d’y apporter une réponse.
  • L’ajout, la suppression et le remplacement de questions de sécurité après inscription des utilisateurs avec les anciennes questions entraînent l’impossibilité pour ces utilisateurs de s’authentifier et de réinitialiser leur mot de passe tant qu’ils ne sont pas réinscrits. Les utilisateurs doivent répondre à des nouvelles questions lorsqu’ils ouvrent les tâches dans l’application Citrix Workspace.
  • Chaque question de sécurité peut appartenir à plusieurs groupes de questions de sécurité. Lorsque vous créez des groupes de questions de sécurité, toutes vos questions peuvent être utilisées dans n’importe quel groupe.

Utilisez ces étapes pour accéder aux paramètres référencés dans les procédures suivantes :

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. À partir du menu Actions, cliquez sur Gérer les questions.

Pour définir la langue par défaut :

Dans la plupart des cas, les utilisateurs voient les questions de sécurité s’afficher dans la langue associée à leur profil utilisateur actuel. Si la langue n’est pas disponible, la réinitialisation en libre-service des mots de passe affiche les questions dans la langue par défaut spécifiée.

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. À partir du menu Actions, cliquez sur Gérer les questions.
  4. Dans la liste déroulante Langue par défaut de la page Authentification avec questions, sélectionnez la langue par défaut.

Pour activer le masquage des réponses de sécurité :

Le masquage des réponses de sécurité apporte un niveau de sécurité supplémentaire à vos utilisateurs lorsqu’ils enregistrent leurs réponses aux questions de sécurité ou qu’ils enregistrent leurs questions de sécurité ou qu’ils fournissent leurs réponses lors de la vérification d’identité. Lorsque cette fonctionnalité est activée, les réponses des utilisateurs sont masquées. Lors de l’enregistrement des réponses, ces utilisateurs sont invités à taper leurs réponses deux fois afin d’éviter les fautes de frappe ou d’orthographe. Les utilisateurs ne doivent taper leurs réponses qu’une seule fois lors de la validation d’identité, puisqu’ils sont invités à réessayer en cas d’erreur.

Sélectionnez Masquer les réponses aux questions de sécurité sur la page Authentification avec questions.

Pour créer de nouvelles questions de sécurité :

Vous pouvez créer différentes questions et choisir une langue pour chacune d’entre elles. Vous pouvez aussi saisir plusieurs traductions d’une même question. L’inscription dans l’application Citrix Workspace présente à l’utilisateur le questionnaire dans la langue définie dans les paramètres de langue de son profil. Si la langue n’est pas disponible, la réinitialisation en libre-service des mots de passe affiche les questions dans la langue par défaut.

Remarque : lorsque vous sélectionnez une langue pour une question de sécurité, la question est présentée aux utilisateurs dont les paramètres de système d’exploitation sont définis pour cette langue. Si les paramètres de système d’exploitation sélectionnés ne correspondent pas à ceux de certaines questions disponibles, la langue par défaut est utilisée.

  1. Depuis la liste déroulante Langue de la page Questions de sécurité, sélectionnez une langue et cliquez sur Ajouter une question.La boîte de dialogue Question de sécurité s’affiche.
  2. Créez la nouvelle question dans la boîte de dialogue Question de sécurité.

Important : utilisez le bouton Modifier pour ajouter le texte traduit des questions existantes. Si vous sélectionnez Ajouter une question, vous créez une nouvelle question qui n’est pas associée à l’original.

Pour ajouter ou modifier le texte de questions existantes :

L’ajout, la suppression et le remplacement de questions de sécurité après inscription des utilisateurs avec les anciennes questions entraînent l’impossibilité pour ces utilisateurs de s’authentifier et de réinitialiser leur mot de passe tant qu’ils ne sont pas réinscrits. Les utilisateurs doivent répondre à des nouvelles questions lorsqu’ils ouvrent les tâches dans l’application Citrix Workspace. La modification d’une question n’oblige pas un utilisateur à se réinscrire.

Important : si vous modifiez une question existante, préservez-en le sens. Dans le cas contraire, il est possible que les réponses des utilisateurs ne correspondent pas lors des authentifications ultérieures. En d’autres termes, l’utilisateur risque de fournir une réponse ne correspondant pas à la réponse enregistrée.

  1. Sélectionnez une langue dans la liste déroulante Langue sur la page Questions de sécurité.
  2. Sélectionnez la question et cliquez sur Modifier.
  3. Modifiez la question dans la boîte de dialogue Question de sécurité.

Pour créer un groupe de questions de sécurité :

Vous pouvez créer des questions de sécurité auxquelles répondent vos utilisateurs pour confirmer leur identité. Chaque question ajoutée au questionnaire doit recevoir une réponse des utilisateurs. Cependant, vous pouvez également rassembler ces questions dans un groupe de questions de sécurité.

Les groupes de questions permettent d’ajouter, par exemple, six questions à un questionnaire et de permettre aux utilisateurs de choisir de ne répondre qu’à trois d’entre elles. Ils bénéficient ainsi d’une plus grande souplesse dans la sélection des questions et la saisie des réponses de vérification d’identité.

  1. Cliquez sur Ajouter un groupe sur la page Questions de sécurité.
  2. Dans la boîte de dialogue Groupe de questions de sécurité, donnez un nom au groupe, sélectionnez les questions et spécifiez le nombre de questions auquel l’utilisateur doit répondre.

Pour modifier un groupe de questions de sécurité :

Sélectionnez le groupe de questions de sécurité à modifier et cliquez sur Modifier sur la page Questions de sécurité.La boîte de dialogue Groupe de questions de sécurité présente une liste de questions de sécurité pouvant faire partie du groupe. Les questions du groupe sont signalées par une coche. Vous pouvez modifier le nom du groupe, ajouter des questions au groupe et sélectionner le nombre de questions nécessitant une réponse de l’utilisateur.

Pour ajouter ou supprimer le questionnaire existant :

Ajoutez ou supprimez des questions et des groupes de questions de sécurité du questionnaire. Déplacez les questions vers le haut ou vers le bas pour organiser leur ordre de présentation. Si le questionnaire a été modifié, informez l’utilisateur qu’il doit réenregistrer des questions après l’ouverture de session StoreFront.

  1. Cliquez sur Ajouter sur la page Questionnaire pour ajouter une question ou un groupe au questionnaire.
  2. Cliquez sur Supprimer pour supprimer une question du questionnaire.
  3. Cliquez sur Monter ou Descendre pour gérer les questions présentées à l’utilisateur.

Pour importer ou exporter les questions de sécurité :

Vous pouvez importer ou exporter les données de groupes et questions de sécurité.

  1. Cliquez sur Démarrer > Tous les programmes > Citrix > Configuration du module de réinitialisation en libre-service des mots de passe de Citrix.
  2. Dans le panneau gauche, sélectionnez le nœud Vérification d’identité.
  3. Dans le menu Actions, cliquez sur l’une des options suivantes :

    Importer les questions de sécurité Spécifiez l’emplacement du fichier sur lequel importer les données des groupes et questions de sécurité.

    Exporter les questions de sécurité Spécifiez l’emplacement du fichier sur lequel exporter les données des groupes et questions de sécurité.

Installer et configurer