Utilisateurs et sécurité

Utilisateurs : Ajouter des autorisations de compte pour un utilisateur ou un administrateur

Utilisateurs et sécurité > Utilisateurs

Comptes utilisateurs

Affichez les informations sur tous les utilisateurs qui ont accès à votre serveur Bomgar, y compris les utilisateurs locaux et ceux qui y ont accès par l'intégration du fournisseur de sécurité.

Créer un nouvel utilisateur, modifier, supprimer

Créer un nouveau compte, modifier un compte existant, ou supprimer un compte existant. Vous ne pouvez pas supprimer votre propre compte.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Rechercher

Recherchez le compte d'un utilisateur à partir du nom d'utilisateur, du nom affiché ou de l'adresse e-mail.

Réinitialiser

Si un utilisateur échoue une ou plusieurs fois à se connecter, cliquez sur le bouton Réinitialiser à côté de son nom pour remettre le chiffre à 0.

Utilisateur :: Ajouter ou modifier

Paramètres de l'utilisateur

Nom d'utilisateur

Identificateur unique servant à vous connecter.

Nom affiché

Le nom d'utilisateur tel qu'affiché dans les discussions d'équipe, les rapports, etc.

Adresse e-mail

Définissez une adresse e-mail où envoyer les notifications, comme les réinitialisations de mot de passe ou le mode Disponibilité étendue.

Langue d'e-mail préférée

Si plus d'une langue est activée sur ce site, sélectionnez la langue dans laquelle envoyer les e-mails.

Mot de passe

Le mot de passe utilisé avec le nom d'utilisateur pour la connexion. Vous pouvez définir le mot de passe de votre choix, tant que la chaîne reste conforme à la règle définie sur la page /login > Gestion > Sécurité.

Envoyer le lien de réinitialisation de mot de passe à l'utilisateur par e-mail

Envoyez un lien par e-mail à l'utilisateur pour réinitialiser le mot de passe de son compte. Cette fonction nécessite une configuration SMTP compatible avec votre serveur, que l'on peut paramétrer sur la page /login > Gestion > Configuration e-mail.

Doit changer son mot de passe lors de la prochaine connexion

Si cette option est sélectionnée, l'utilisateur doit réinitialiser son mot de passe lors de sa prochaine connexion.

Le mot de passe expire le

Avec ceci, le mot de passe expirera après une date donnée ou n'expirera jamais.

Composition

Remarque : dans un premier temps, la section Appartenance ne s'affiche pas lors de la création d'un nouvel utilisateur. Après l'enregistrement d'un nouvel utilisateur, une nouvelle section Appartenance affiche les règles de groupe ou les équipes auxquelles l'utilisateur a été associé.

Membres associés à la règle de groupe

Liste des règles de groupe associées à l'utilisateur.

Appartenance à des équipes

Liste des équipes auxquelles l'utilisateur appartient.

Appartenance à un Jumpoint

Liste des Jumpoints auxquels l'utilisateur peut accéder.

Groupes de Jump

Liste des groupes de Jump auxquels l'utilisateur appartient.

Paramètres du compte

Date de la dernière authentification

La date et l'heure de la dernière connexion de l'utilisateur.

Authentification à deux facteurs

L'authentification à deux facteurs (2FA) fait appel à une application d'authentification pour créer un code unique limité dans le temps et se connecter à l'interface d'administration et à la console d'accès. Lorsque Requis est sélectionné, l'utilisateur est invité à s'inscrire et à se servir de l'authentification 2FA à sa prochaine connexion. Lorsque Optionnel est sélectionné, l'utilisateur a la possibilité d'utiliser l'authentification 2FA, mais il n'y est pas contraint. Cliquez sur Supprimer l'appli d'authentification actuelle lorsque vous souhaitez qu'un utilisateur ne se connecte plus par le biais d'une appli d'authentification donnée.

Remarque : les utilisateurs qui se connectaient à l'aide de codes obtenus par e-mail passent automatiquement à l'authentification 2FA. Ils ont toutefois la possibilité d'utiliser des codes e-mails jusqu'à ce qu'ils soient inscrits sur une application. Après une première utilisation de 2FA, l'option du code e-mail n'est plus disponible.

Compte expire le

Avec ceci, le compte expirera après une date donnée ou n'expirera jamais.

Compte désactivé

Désactive le compte pour que l'utilisateur ne puisse plus se connecter. Une désactivation ne supprime PAS le compte.

Commentaires

Ajoutez des commentaires pour aider à identifier la fonction de cet objet.

Autorisations

Admin

Accorde des droits d'administration complets à l'utilisateur.

Autorisé à définir les mots de passe

Permet à l'utilisateur de définir des mots de passe et de débloquer des comptes pour les utilisateurs locaux ne disposant pas de droits d'administrateur.

Autorisé à modifier les Jumpoints

Permet à l'utilisateur de créer ou de modifier des Jumpoints. Cette option n'affecte pas la capacité de l'utilisateur à accéder à des ordinateurs distants via un Jumpoint, qui est configurée par Jumpoint ou règle de groupe.

Autorisé à utiliser l'analyseur de point de terminaison

Permet à l'utilisateur de configurer et de visualiser les scans des ports ouverts sur les éléments de Jump.

Autorisations relatives aux rapports sur les sessions d'accès : Autorisé à consulter les rapports sur les sessions d'accès

Permet à l’utilisateur d’établir des rapports sur l’activité des sessions d’accès, en visualisant uniquement les sessions pour lesquelles il était le propriétaire principal de la session, uniquement les sessions pour les points de terminaison appartenant à un groupe de Jump dont l’utilisateur est membre, ou toutes les sessions.

Autorisé à voir les enregistrements de session d'accès

Permet à l'utilisateur de lire les enregistrements vidéo des sessions de partage d'écran et des sessions d'interpréteur de commandes.

Autorisé à utiliser les rapports API

Permet d'utiliser les informations d'authentification de l'utilisateur pour extraire des rapports XML via l'API.

Remarque : pour la version 16.1, il est préférable d'utiliser les comptes API créés dans Gestion > Configuration API.

Autorisé à utiliser les commandes API

Permet d'utiliser les informations d'authentification de l'utilisateur pour exécuter des commandes via l'API.

Remarque : pour la version 16.1, il est préférable d'utiliser les comptes API créés dans Gestion > Configuration API.

Autorisé à modifier les équipes

Permet à l'utilisateur de créer ou de modifier des équipes.

Autorisé à modifier les groupes de Jump

Permet à l'utilisateur de créer ou de modifier les groupe de Jump.

Autorisé à modifier les scripts prédéfinis

Permet à l'utilisateur de créer ou de modifier des scripts prédéfinis en vue de les utiliser dans des sessions de partage d'écran ou d'interpréteur de commandes.

Autorisé à modifier les liens personnalisés

Permet à l'utilisateur de créer ou de modifier des liens personnalisés.

Autorisations d'accès

Accès

Autorisé à accéder aux points de terminaison

Permet à l'utilisateur d'utiliser la console d'accès pour exécuter des sessions. Si l'accès au point de terminaison est activé, les options relatives à l'accès au point de terminaison seront également disponibles.

Gestion de session

Autorisé à partager les sessions avec des équipes auxquelles il n'appartient pas

Permet à l'utilisateur d'inviter un ensemble moins limité d'utilisateurs pour partager des sessions, pas seulement des membres de son équipe. Combinée à la permission de disponibilité étendue, cette permission développe les capacités de partage de session.

Autorisé à inviter des utilisateurs externes

Permet à l'utilisateur d'inviter un utilisateur tiers à participer à une session de manière ponctuelle.

Autorisé à activer le mode disponibilité étendue

Permet à l'utilisateur de recevoir des invitations par e-mail de la part d'autres utilisateurs demandant de partager une session lorsqu'il n'est pas connecté à la console d'accès.

Autorisé à modifier la clé externe

Permet à l'utilisateur de modifier la clé externe depuis le volet d'informations d'une session dans la console d'accès.

Partage d'écran d'utilisateur à utilisateur

Autorisé à montrer son écran aux autres utilisateurs

Permet à l'utilisateur de partager son écran avec un autre utilisateur sans que l'utilisateur récepteur ait besoin de rejoindre une session. Cette option est disponible même si l'utilisateur n'est pas dans une session.

Autorisé à accorder le contrôle lorsqu'il montre son écran à d'autres utilisateurs

Permet à l'utilisateur partageant son écran d'accorder le contrôle de son clavier et de sa souris à l'utilisateur regardant son écran.

Technologie Jump

Méthodes de Jump autorisées

Permet à l'utilisateur d'effectuer un Jump vers des ordinateurs en utilisant les Jump Clients, les Jump locaux sur le réseau local, les Jump distants avec un Jumpoint, les VNC distants avec un Jumpoint, les RDP distants avec un Jumpoint, les Jump Web avec un Jumpoint, les Shell Jump avec un Jumpoint et/ou les Jump en tunnel par protocole avec un Jumpoint.

Rôles d'élément de Jump

Le rôle d'élément de Jump est un ensemble prédéfini d'autorisations relatives à la gestion et à l'utilisation d'un élément de Jump. Pour chaque paramètre, cliquez sur Afficher pour ouvrir le rôle d'élément de Jump dans un nouvel onglet.

Le rôle Par défaut n'est utilisé que lorsque Utiliser les paramètres par défaut de l'utilisateur est défini pour cet utilisateur dans un groupe de Jump.

Le rôle Personnel ne s'applique qu'aux éléments de Jump attachés à la liste personnelle d'éléments de Jump d'un utilisateur.

Le rôle Équipe ne s'applique qu'aux éléments de Jump attachés à la liste personnelle d'éléments de Jump d'un membre de l'équipe doté d'un rôle inférieur. Ainsi, un chef d'équipe peut visualiser les éléments de Jump d'un responsable ou d'un membre de son équipe, et un responsable d'équipe peut visualiser les éléments de Jump personnels d'un membre de son équipe.

Le rôle Système s'applique au reste des éléments de Jump du système. Pour la plupart des utilisateurs, ce rôle est en principe défini sur Aucun accès. S'il est défini sur une autre option, l'utilisateur est ajouté à des groupes de Jump auxquels il ne devrait pas être assigné, et, dans la console d'accès, il est en mesure de visualiser la liste personnelle d'éléments de Jump de membres n'appartenant pas à son équipe.

Autorisations de session

Définissez les règles de demande et d'autorisation devant s'appliquer aux sessions de cet utilisateur. Sélectionnez une règle de session existante ou définissez des autorisations personnalisées pour cet utilisateur. Notez que l'option Non défini entraîne l'utilisation de la règle globale par défaut. Ces autorisations peuvent être remplacées par une règle de niveau supérieur.

Description

Affichez la description d'une règle de permission de session prédéfinie.

Partage d'écran

Partage d'écran

Permet à l'utilisateur de voir ou de contrôler l'écran distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Restrictions de partage d'applications

Limiter l'accès aux applications spécifiées sur le système distant avec N'autoriser que les exécutables répertoriés ou Ne refuser que les exécutables répertoriés. Vous pouvez aussi choisir d'autoriser ou de refuser l'accès au bureau.

Remarque : cette fonction ne s’applique qu’aux systèmes d’exploitation Windows et Linux et n’inclut pas les sessions Remote Desktop Protocol (RDP) ou VNC.

Ajouter des exécutables

Si des restrictions de partage d'application sont imposées, un bouton Ajouter des exécutables apparaît. Cliquer sur ce bouton ouvre un dialogue qui vous permet de spécifier quels exécutables autoriser ou refuser, en fonction de vos objectifs.

Après avoir ajouté des exécutables, un ou deux tableaux affichent les noms ou hachages de fichier que vous avez sélectionnés pour la restriction. Un champ de commentaire modifiable permet d'écrire des notes d'administration.

Entrer les noms de fichier ou hachages SHA-256 (un par ligne)

Lorsque vous restreignez des exécutables, saisissez manuellement les noms ou hachages des fichiers exécutables que vous souhaitez autoriser ou refuser. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu'à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Rechercher un ou plusieurs fichiers

Lorsque vous restreignez des exécutables, sélectionnez cette option pour parcourir votre système et choisir les fichiers exécutables pour obtenir automatiquement leurs noms ou hachages. Si vous sélectionnez des fichiers de votre plate-forme locale et du système de cette manière, assurez-vous que les fichiers sont bien des exécutables. Aucune vérification au niveau du navigateur n'est effectuée.

Choisissez Utiliser le nom de fichier ou Utiliser le hachage de fichier pour que le navigateur obtienne les noms ou hachages des fichiers exécutables automatiquement. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu'à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Remarque : cette option n'est disponible que dans les navigateurs modernes, pas dans les navigateurs plus anciens.

Restrictions de point de terminaison autorisées

Définissez si l'utilisateur peut interrompre l'entrée souris et clavier du système distant. L'utilisateur peut aussi empêcher l'affichage du bureau distant.

Autorisé à se connecter à l'aide d'informations d'authentification venant d'un gestionnaire d'informations d'authentification de point de terminaison

Activez la connexion d'un utilisateur à votre gestionnaire d'informations d'authentification de point de terminaison pour utiliser les informations d'authentification de vos magasins ou banques de mot de passe existants.

L'utilisation du gestionnaire d'informations d'authentification de point de terminaison nécessite un accord de services séparé avec Bomgar. Une fois qu'un accord de services est en place, vous pouvez télécharger le middleware requis auprès du centre de self-service de Bomgar.

Remarque : avant la version 15.2, cette fonction n'est disponible que dans les sessions lancées depuis un Jump Client aux droits accrus sur Windows®. À partir de la version 15.2, vous pouvez également utiliser un gestionnaire d’informations d’authentification de point de terminaison dans les sessions de Jump distants, les sessions de protocole de bureau à distance Microsoft®, les sessions VNC et les sessions de Shell Jump. Vous pouvez aussi utiliser cette fonction avec l'action Exécuter en tant que spécial dans une session de partage d'écran sur un système Windows®.

Annotations

Permet à l'utilisateur d'utiliser les outils d'annotation pour dessiner sur l'écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Transfert de fichiers

Transfert de fichiers

Permet à l'utilisateur d'envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers du point de terminaison

Permet à l'utilisateur de transférer des fichiers de et vers n'importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers de l'utilisateur

Permet à l'utilisateur de transférer des fichiers de et vers n'importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Interpréteur de commandes

Interpréteur de commandes

Permet à l'utilisateur de saisir des commandes sur l'ordinateur distant par l'intermédiaire d'une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Informations système

Informations système

Permet à l'utilisateur de consulter les informations système de l'ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l'utilisateur d'interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d'écran. Le technicien d'assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Accès au registre

Accès au registre

Permet à l'utilisateur d'agir sur le registre d'un système Windows distant sans avoir recours au partage d'écran. Le technicien d'assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Autres outils

Scripts prédéfinis

Permet à l'utilisateur d'exécuter des scripts prédéfinis créés pour ses équipes. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Planning de connexion

Restreindre la connexion de l'utilisateur selon le planning suivant

Définissez un planning afin de déterminer les périodes pendant lesquelles les utilisateurs peuvent se connecter à la console d'accès. Définissez le fuseau horaire à utiliser pour ce planning, puis ajoutez une ou plusieurs entrées de planification. Pour chaque entrée, indiquez l'heure et la date de début ainsi que l'heure et la date de fin.

Par exemple, si la période définie commence à 8 h et se termine à 17 h, un utilisateur peut se connecter à n'importe quel moment au cours de cette période et peut continuer à travailler passée l'heure de fin. Il ne sera toutefois pas autorisé à se reconnecter après 17 h.

Forcer la déconnexion lorsque le planning ne permet pas l'ouverture d'une session

Si un contrôle d'accès plus strict est requis, cochez cette option. Ceci force la déconnexion de l'utilisateur à l'heure de fin définie. Dans ce cas, l'utilisateur reçoit des notifications récurrentes à partir de 15 minutes avant d'être déconnecté. Lorsque l'utilisateur est déconnecté, toutes les sessions possédées suivront les règles de récupération.

Rapport sur les comptes utilisateur

Exportez des informations détaillées sur vos utilisateurs à des fins d'audit. Collectez des informations détaillées sur l'ensemble des utilisateurs, sur les utilisateurs d'un fournisseur de sécurité spécifique ou sur les utilisateurs locaux uniquement. Les informations collectées incluent les données affichées sous le bouton « Afficher les détails », ainsi que les appartenances et les autorisations des équipes et des règles de groupe.