Manuel de l'utilisateur HP Sure Admin © Copyright 2019 HP Development Company, L.P. Apple est une marque de commerce d’Apple Computer, Inc., déposée aux États-Unis et dans d’autres pays. Google Play est une marque commerciale de Google LLC. Logiciel d'ordinateur confidentiel. Une licence HP est requise pour la possession, l'utilisation ou la copie. En accord avec les articles FAR 12.211 et 12.212, les logiciels informatiques, la documentation des logiciels et les informations techniques commerciales sont concédés au gouvernement américain sous licence commerciale du distributeur. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les garanties relatives aux produits et aux services HP sont décrites dans les déclarations de garantie limitée expresse qui les accompagnent. Aucun élément du présent document ne peut être interprété comme constituant une garantie supplémentaire. HP ne saurait être tenu pour responsable des erreurs ou omissions de nature technique ou rédactionnelle qui pourraient subsister dans le présent document. Première édition : décembre 2019 Référence du document : L83995-051 Sommaire 1 Mise en route ................................................................................................................................................ 1 Utilisation de HP Sure Admin ................................................................................................................................. 1 Désactivation de HP Sure Admin ........................................................................................................................... 1 2 Création et gestion des clés ............................................................................................................................ 2 Création et exportation de clés ............................................................................................................................. 2 3 Configuration du téléphone ............................................................................................................................ 5 Utilisation de l’application mobile HP Sure Admin pour déverrouiller le BIOS ..................................................... 5 iii iv 1 Mise en route HP Sure Admin permet aux administrateurs informatiques de gérer de manière sécurisée les paramètres de microprogrammes de périphériques sensibles à l’aide de certificats et de cryptographie à clé publique pour une gestion locale et à distance des paramètres plutôt qu’avec un mot de passe. HP Sure Admin se compose des éléments suivants : ● PC cible : Les plates-formes à gérer qui prennent en charge le mode d’authentification BIOS amélioré. ● HP Manageability Integration Kit (MIK) : Le plug-in pour System Center Configuration Manager (SCCM) ou l’utilitaire HP BIOS Configuration Utility (BCU) pour la gestion à distance des paramètres du BIOS. ● HP Sure Admin Local Access Authenticator : Une application mobile qui remplace le mot de passe afin d’activer l’accès local à la configuration du BIOS en numérisant un code QR pour obtenir un code PIN à usage unique. Utilisation de HP Sure Admin Le processus d’utilisation de HP Sure Admin est le suivant : 1. Ouvrez le plug-in HP Sure Admin à l’intérieur du plug-in HP Manageability Integration Kit (MIK) pour System Configuration Manager (SCCM) ou l’utilitaire Enhanced BIOS Configuration Utility (BCU). 2. Téléchargez l’application mobile HP Sure Admin à partir de la boutique Google PlayTM ou de l’App Store® d’Apple. 3. Créez une paire de clés utilisée par le périphérique cible et l’application mobile HP Sure Admin pour obtenir un code PIN à usage unique pour déverrouiller le BIOS. Désactivation de HP Sure Admin Voici les options pour désactiver HP Sure Admin : ● Dans les paramètres F10 BIOS, sélectionnez Restaurer les paramètres de sécurité aux paramètres d’usine par défaut. REMARQUE : Cela nécessite une présence physique en fournissant un code PIN d’authentification via l’application mobile HP Sure Admin pour accéder aux paramètres F10. ● Utilisez la commande BCU pour appeler à distance WMI de Restaurer les paramètres de sécurité aux paramètres d’usine par défaut. REMARQUE : Pour plus d’informations, reportez-vous au manuel de l’utilisateur de l’utilitaire HP BIOS Configuration Utility (BCU). ● Dans la page Configuration de sécurité MIK, sélectionnez Dé-configurer. Utilisation de HP Sure Admin 1 2 Création et gestion des clés Achevez la Configuration de sécurité dans MIK avant d’activer le mode d’authentification du BIOS amélioré. Le mode d’authentification du BIOS amélioré doit être activé pour créer et exporter des clés. Pour activer le mode d’authentification du BIOS : ▲ Ouvrez le plug-in HP Sure Admin et sélectionnez le Mode d’authentification du BIOS amélioré pour créer et exporter des clés. Création et exportation de clés Sélectionnez l’un des modèles suivants pour créer des paires de clés d’accès local et activer l’application mobile HP Sure Admin pour accéder à la clé : ● Créer et exporter une clé — Utilisez cette option pour exporter la clé d’autorisation d’accès local, puis distribuez-la manuellement à l’application mobile HP Sure Admin via e-mail ou une autre méthode. REMARQUE : Cette option n’exige pas l’accès au réseau de l’application mobile HP Sure Admin pour obtenir un code PIN à usage unique. ● Créer et exporter une clé avec révocation Azure AD — Utilisez cette option pour connecter la clé d’accès local à un groupe Azure Active Directory spécifié et exiger de l’application mobile HP Sure Admin qu’elle exige l’authentification de l’utilisateur sur Azure Active Directory et pour confirmer que l’utilisateur est un membre du groupe spécifié avant de fournir un code PIN d’accès local. Cette méthode nécessite également une distribution manuelle de la clé d’autorisation d’accès local à l’application mobile via e-mail ou une autre méthode. REMARQUE : Cette option nécessite que l’application mobile HP Sure Admin ait accès au réseau afin d’obtenir un code PIN à usage unique. ● Créer et envoyer la clé sur OneDrive du Azure AD Group — (Recommandé) Utilisez cette option pour éviter de stocker la clé d’autorisation d’accès local sur le téléphone. Lorsque vous choisissez cette option, MIK stocke la clé d’autorisation d’accès local dans le dossier OneDrive spécifié et qui est uniquement accessible au groupe agréé. L’utilisateur de l’application mobile HP Sure Admin devra s’authentifier sur Azure AD à chaque fois qu’un code PIN est requis. REMARQUE : Cette option nécessite que l’application mobile HP Sure Admin ait accès au réseau afin d’obtenir un code PIN à usage unique. Pour créer et exporter une clé : 1. Nommez votre clé dans la zone de saisie du Nom de la clé. 2. Saisissez la phrase passe dans la zone de saisie de la Phrase passe. REMARQUE : La phrase passe est utilisée pour protéger la clé exportée et doit être fournie afin que l’utilisateur de l’application mobile HP Sure Admin puisse importer la clé. 2 3. Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le système. 4. Sélectionnez Créer une clé. Chapitre 2 Création et gestion des clés REMARQUE : Votre clé a été correctement créée lorsqu’une icône de notification s’affiche à côté du bouton Créer une clé avec le message Clé créée avec succès. 5. Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis. 6. Sélectionnez Enregistrer la stratégie. REMARQUE : La stratégie s’enregistre lorsqu’un message « Enregistré avec succès » s’affiche. 7. Accédez au dossier où vous avez enregistré la clé et distribuez-la à l’utilisateur de l’application mobile HP Sure Admin à l’aide d’une méthode disponible pour cet utilisateur sur cet appareil, telle que l’e-mail. Cet utilisateur aura également besoin de la phrase passe pour importer la clé. HP recommande d’utiliser différents mécanismes de distribution pour la clé et la phrase passe. REMARQUE : Lors de l’envoi du code QR, envoyez-le dans sa taille d’origine. L’application ne peut pas lire correctement l’image si sa taille est inférieure à 800 × 600. Pour créer et exporter une clé avec Azure AD Revocation : 1. Nommez votre clé dans la zone de saisie du Nom de la clé. 2. Saisissez la phrase passe dans la zone de saisie de la Phrase passe. REMARQUE : La phrase passe est utilisée pour protéger la clé exportée et doit être fournie afin que l’utilisateur de l’application mobile HP Sure Admin puisse importer la clé. 3. Sélectionnez Azure AD Login et connectez-vous. 4. Sélectionnez le nom de votre groupe dans la liste déroulante Nom Azure AD Group. REMARQUE : Vous devez être un membre du groupe pour accéder à la clé. 5. Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le système. 6. Sélectionnez Créer une clé. REMARQUE : Votre clé est créée avec succès lorsqu’une icône de notification s’affiche à côté du bouton Créer une clé avec le message « Clé créée avec succès ». 7. Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis. 8. Sélectionnez Enregistrer la stratégie. REMARQUE : La stratégie est sauvegardée lorsque le message apparaît. 9. Accédez au dossier où vous avez enregistré la clé et distribuez-la à l’utilisateur de l’application mobile HP Sure Admin à l’aide d’un mécanisme disponible pour cet utilisateur sur cet appareil, tel que l’e-mail. Cet utilisateur aura également besoin de la phrase passe pour importer la clé. Il est recommandé d’utiliser différents mécanismes de distribution pour la clé et la phrase passe. REMARQUE : Lors de l’envoi du code QR, envoyez-le dans sa taille d’origine. L’application ne peut pas lire correctement l’image si sa taille est inférieure à 800 × 600. Pour créer et envoyer une clé sur OneDrive du Azure AD Group : 1. Nommez votre clé dans la zone de saisie du Nom de la clé. 2. Saisissez la phrase passe dans la zone de saisie de la Phrase passe. 3. Sélectionnez Azure AD Login et connectez-vous. Création et exportation de clés 3 4. Sélectionnez le nom de votre groupe dans la liste déroulante Nom Azure AD Group. REMARQUE : Vous devez être un membre du groupe pour accéder à la clé. 5. Entrez le nom du dossier OneDrive à l’endroit où vous souhaitez enregistrer la clé dans la zone de saisie OneDrive. 6. Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le système. 7. Sélectionnez Créer une clé. REMARQUE : Votre clé est correctement ajoutée au dossier OneDrive spécifié et exportée vers le dossier local spécifié lorsqu’une icône de notification s’affiche à côté du bouton Créer une clé avec le message Clé créée avec succès. 8. Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis. 9. Sélectionnez Enregistrer la stratégie. REMARQUE : La stratégie s’enregistre lorsqu’un message Enregistré avec succès s’affiche. Dans ce scénario, il n’est pas nécessaire d’envoyer quoi que ce soit à l’application mobile HP Sure Admin pour la préconfigurer. Les ordinateurs cibles sont configurés pour pointer vers l’emplacement OneDrive qui est inclus dans le code QR. L’application mobile HP Sure Admin utilise ce pointeur pour accéder à l’emplacement OneDrive si l’utilisateur fait partie du groupe autorisé et s’authentifie correctement. 4 Chapitre 2 Création et gestion des clés 3 Configuration du téléphone Téléchargez l’application mobile HP Sure Admin à partir de Google Play ou Apple Store. ● Téléchargez HP Sure Admin à partir de Google Store pour les téléphones Android. ● Téléchargez HP Sure Admin à partir de l’Apple Store pour les téléphones iOS. Utilisation de l’application mobile HP Sure Admin pour déverrouiller le BIOS L’application mobile HP Sure Admin remplace l’utilisation du mot de passe BIOS pour l’accès local à la configuration du BIOS en fournissant un code PIN à usage unique obtenu en numérisant le code QR présenté par la machine cible. Pour inscrire les clés sur l’application mobile HP Sure Admin : Procédez comme suit pour enregistrer la clé localement sur le téléphone dans un scénario où la clé est envoyée à l’utilisateur de l’application mobile. Dans l’exemple suivant, la clé est envoyée par e-mail à l’utilisateur de l’application mobile HP Sure Admin, et l’utilisateur ouvre l’e-mail sur le téléphone. 1. Ouvrez l’e-mail qui contient la clé. 2. Une fois la page Inscription affichée, entrez la phrase passe dans la zone de saisie Entrer la phrase passe et votre adresse e-mail dans la zone de saisie Entrez votre adresse e-mail pour décrypter la clé et l’ajouter à l’application HP Sure Admin. REMARQUE : Cette étape permet d’enregistrer la clé sur l’appareil mobile et d’achever l’inscription. À ce stade, vous pouvez utiliser l’application mobile HP Sure Admin pour accéder à n’importe quel périphérique qui a été configuré pour être accessible via cette clé. Une adresse e-mail est requise uniquement si l’administrateur l’exige. Le numéro de code PIN de déverrouillage s’affiche sur la page Votre code PIN. 3. Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS. Pour obtenir l’accès à la configuration du BIOS sur une machine cible après l’inscription : 1. Entrez dans la configuration du BIOS au démarrage sur la machine cible. 2. Sélectionnez Numériser le code QR dans l’application mobile et numérisez le code QR sur la machine cible. 3. Si vous êtes invité à une authentification de l’utilisateur, présentez vos informations d’authentification. 4. Le numéro de code PIN de déverrouillage s’affiche sur la page Votre code PIN. 5. Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS sur la machine cible. Pour utiliser HP Sure Admin pour déverrouiller le BIOS avec Azure AD Group sur OneDrive : 1. Sélectionnez Numériser le code QR, puis numérisez le code QR du BIOS. Utilisation de l’application mobile HP Sure Admin pour déverrouiller le BIOS 5 REMARQUE : L’application HP Sure Admin affiche la page d’ouverture de session Azure AD. 2. Connectez-vous à votre compte Azure. 3. Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS. REMARQUE : L’application HP Sure Admin n’enregistre pas la clé localement dans ce scénario. L’application mobile HP Sure Admin doit disposer d’un accès au réseau et l’utilisateur doit s’authentifier à chaque fois qu’un code PIN à usage unique est nécessaire. Tableau 3-1 Codes d'erreur 6 Code d'erreur Description 100 Erreur générale. 101 Impossible de lire le code QR json. La chaîne n’est pas un json valide ou les données ne sont pas valides. 102 L’image de code QR numérisée n’est pas valide. Impossible de lire le fichier image du code QR. 103 L’image de code QR numérisée n’est pas valide. Le fichier image n’est pas doté d’une charge utile json. 104 Impossible de lire le code QR json. Soit la chaîne n’est pas un json valide, soit les données de l’image QR ne sont pas valides. 105 Le hachage de la clé publique dans le code QR json ne correspond pas au hachage de la clé publique du package d’inscription (données KeyID). 200 Erreur générale. 201 L’utilisateur connecté n’appartient à aucun groupe AD de votre entreprise. 203 L’utilisateur connecté n’appartient pas au groupe AD attribué pour cette clé. 204 Le fichier de la clé OneTime n’existe pas dans le dossier OneDrive du groupe AD. 205 Le fichier de la clé OneTime dans le dossier OneDrive du groupe AD n’est pas valide. 206 Le fichier de la clé OneTime est existant mais ne peut pas lire la charge utile du fichier. 300 Erreur générale. 301 L’adresse e-mail ne correspond pas au nom de domaine dans l’image de code QR. 302 Erreur lors de l’acquisition d’un jeton d’accès à partir d’Azure AD. L’utilisateur ne peut pas se connecter à l’Azure AD de votre entreprise, ou l’application n’a pas les autorisations nécessaires pour se connecter à l’Azure AD de votre entreprise. 303 L’application BEAM ne parvient pas à acquérir les informations de profil utilisateur depuis l’Azure AD de votre entreprise. 304 L’adresse e-mail ne correspond pas au nom principal de l’utilisateur connecté. 305 L’utilisateur connecté n’appartient pas au Azure AD Group alloué pour cette clé. Chapitre 3 Configuration du téléphone ">
Öffentlicher Link aktualisiert
Der öffentliche Link zu Ihrem Chat wurde aktualisiert.