Comment gérer les connexions hors réseau
Les connexions hors réseau se produisent au cours de l'un des scénarios suivants:
- Si le réseau n'est pas disponible côté agent ou service;
- Si les serveurs principal ou de sauvegarde ne sont pas disponibles;
- Si les prérequis ne sont pas respectés entre l'agent et le service.
Par défaut, pour ces connexions, UserLock n'appliquera aucune restriction. Tous les événements de session seront enregistrés localement sur les machines et communiqués au serveur une fois la communication rétablie. Pour de plus amples informations, veuillez vous référer à la section Que se passe-t-il si le serveur primaire de UserLock est en panne ?
Pour éviter les connexions hors réseau, une bonne pratique est de configurer UserLock Anywhere. Il est aussi possible de configurer le VPN dans le logon screen de Windows.
Il est possible de gérer les connexions hors ligne en accédant aux propriétés du serveur de la console Userlock afin d'obtenir l'un des paramètres suivants:
- Toujours autoriser les connexions
- Demander la MFA
- Forcer la MFA
- Toujours refuser les connexions
Ce paramètre s'applique si un événement de connexion, de déverrouillage ou de reconnexion interactif se produit sur un ordinateur sur lequel l'agent Desktop UserLock est installé (que le paramètre avancé «ApplyRestrictionsOnUnlock» soit activé ou désactivé).
Toujours autoriser les connexions
Par défaut, cette option est sélectionnée. Les utilisateurs pourront se connecter même lorsque leur machine est hors réseau.
Demander la MFA
La MFA peut être appliquée pour les connexions hors réseau en sélectionnant l'option «Demander une MFA». Cela s'appliquera aux utilisateurs déjà inscrits dans la MFA.
La connexion sera autorisée si l'utilisateur est déjà connecté à la machine sur le réseau et avec l'agent (10.2 ou supérieur) installé. La MFA sera demandé s'il est configuré.
Ce tableau explique comment le paramètre «Demander la MFA» dans les propriétés du serveur se comporte dans les scénarios suivants. Ce paramètre est global, donc selon les scénarios répertoriés ci-dessous, l'utilisateur final devra entrer un code MFA, ouvrira une session sans la MFA ou sa connexion sera refusée.
Pour que la MFA fonctionne pour les connexions hors réseau, l'agent de bureau doit déjà être installé sur l'ordinateur client qui est hors réseau et l'utilisateur doit s'être authentifié au moins une fois sur cet ordinateur avec la MFA au sein du réseau d'entreprise.
Tant qu'aucun utilisateur ne s'est connecté sur la machine avec le réseau d'entreprise, toutes les connexions sont acceptées. Le tableau suivant ne s'applique qu'une fois qu'un utilisateur s'est connecté sur la machine avec le réseau d'entreprise.
Si... | ...alors | |||
L'utilisateur s'est connecté une fois avec le réseau | L'utilisateur s'est authentifié une fois avec la MFA et avec le réseau | La MFA demandée | Connexion acceptée | Connexion refusée |
Oui | Oui | check_circle | ||
Oui | Non | check_circle | ||
Non | Non | check_circle |
Forcer la MFA
MFA requise pour les utilisateurs qui se sont déjà connectés à cette machine avec MFA et l'agent 10.2 ou supérieur. Refusez les connexions pour les utilisateurs qui ne se sont jamais authentifiés avec MFA sur cette machine.
Si... | ...alors | |||
L'utilisateur s'est connecté une fois avec le réseau | L'utilisateur s'est authentifié une fois avec MFA et avec le réseau | MFA demandée | Connexion acceptée | Connexion refusée |
Oui | Oui | check_circle | ||
Oui ou Non | Non | check_circle |
Toujours refuser les connexions
Cette option refusera les connexions hors réseau.
Erreur affichée:
Information additionnelle
Ce paramètre s'applique uniquement aux sessions interactives. Étant donné que ces sessions sont contrôlées par l'agent Desktop installé localement sur la machine, une défaillance du réseau peut empêcher l'agent de communiquer avec le serveur UserLock et, par conséquent, autoriser une connexion. Les autres types de sessions Wi-Fi, VPN et IIS sont gérés via les agents NPS et IIS UserLock, qui sont installés sur les serveurs Windows. Étant donné que ces types de session fonctionnent différemment, ils ne sont pas soumis au même type de comportement.
Une fois UserLock accessible, les événements de session correspondants sont envoyés au service UserLock, qui les écrit dans la base de données avec EventType 4 (connexion refusée par UserLock) et LogonInfo 2048 (nouvelle raison «UserLock inaccessible» pour les connexions refusées par UserLock).
Si le message de bienvenue est activé, les utilisateurs finaux seront informés de ces événements lors de la prochaine connexion réussie. Le texte affiché évite toute mention de la solution "UserLock" :
Les administrateurs UserLock peuvent voir ces événements dans les rapports suivants:
- Rapport «Historique de session»: ouvertures de session refusées par UserLock pour la raison «UserLock inaccessible».
- Rapport "Toutes les connexions refusées": "UserLock inaccessible" est disponible dans le champ "raison du refus".
- Rapport "Connexions refusée par UserLock": "UserLock inaccessible" est disponible dans le champ "raison du refus".
Rappel sur le cache Windows et les connexions interactives
Comme expliqué sur cette page (en anglais), dans le cas où le contrôleur de domaine n'est pas disponible, Windows autorise les connexions interactives si les identifiants utilisées font partie des connexions précédentes mises en cache sur cet ordinateur. La valeur par défaut de ce paramètre est de 10 connexions; les valeurs possibles vont de 0 à 50.
Configuration facultative de ce paramètre via les stratégies de groupe
La configuration de ce paramètre dans les propriétés du serveur l’applique à tous les utilisateurs. Vous pouvez utiliser cette procédure via les stratégies de groupe (remplacement des propriétés du serveur) pour appliquer cette restriction à des unités organisationnelles spécifiques.
Ce paramètre situé dans ces stratégies est «Connexions hors réseau:
Comment vérifier la configuration pour "Logons sans connexion réseau" à partir du contenu de la valeur de registre "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserLockCfg" ?
Exécutez PowerShell 64 bits (pas besoin de "Exécuter en tant qu'administrateur"), puis exécutez les lignes suivantes :
$v = Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\' -Name 'UserLockCfg'
if ($v -ne $null)
{
$userLockCfg = $v.UserLockCfg
$logonsWithoutNetworkConnection = $userLockCfg -band 384
if ($logonsWithoutNetworkConnection -eq 0) {$s = 'Always allow connections'} elseif ($logonsWithoutNetworkConnection -eq 256) {$s = 'Ask for MFA'} elseif ($logonsWithoutNetworkConnection -eq 384) {$s = 'Force MFA'} else {$s = 'Always deny connections'}
Write-Host $s
}