UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Cas d'utilisation avancés > Comment gérer les connexions hors ligne

Comment gérer les connexions hors ligne

Les connexions hors ligne se produisent au cours de l'un des scénarios suivants:

  • Si le réseau n'est pas disponible côté agent ou service;
  • Si les serveurs principal ou de sauvegarde ne sont pas disponibles;
  • Si les prérequis ne sont pas respectés entre l'agent et le service.

Par défaut, pour ces connexions, UserLock n'appliquera aucune restriction. Tous les événements de session seront enregistrés localement sur les machines et communiqués au serveur une fois la communication rétablie.

Il est possible de gérer les connexions hors ligne en accédant aux propriétés du serveur de la console Userlock afin d'obtenir l'un des paramètres suivants:

  • Toujours autoriser les connexions
  • Demander la MFA
  • Toujours refuser les connexions

Connexions à partir de machines hors ligne

Ce paramètre s'applique si un événement de connexion, de déverrouillage ou de reconnexion interactif se produit sur un ordinateur sur lequel l'agent Desktop UserLock est installé (que le paramètre avancé «ApplyRestrictionsOnUnlock» soit activé ou désactivé).

Toujours autoriser les connexions

Par défaut, cette option est sélectionnée. Les utilisateurs pourront se connecter même lorsque leur machine est hors ligne.

Demander la MFA

La MFA peut être appliquée pour les connexions hors ligne en sélectionnant l'option «Demander une MFA». Cela s'appliquera aux utilisateurs déjà inscrits dans MFA.
La connexion sera autorisée si l'utilisateur est déjà connecté à la machine sur le réseau et avec l'agent (10.2 ou supérieur) installé. MFA sera demandé s'il est configuré.

REMARQUE: Cette option n'est actuellement pas disponible pour les YubiKeys.

Ce tableau explique comment le paramètre «Demander la MFA» dans les propriétés du serveur se comporte dans les scénarios suivants. Ce paramètre est global, donc selon les scénarios répertoriés ci-dessous, l'utilisateur final devra entrer un code MFA, ouvrira une session sans MFA ou sa connexion sera refusée.

Pour que MFA fonctionne hors connexion, l'agent de bureau doit déjà être installé sur l'ordinateur client qui est hors ligne et l'utilisateur doit s'être authentifié au moins une fois sur cet ordinateur avec MFA au sein du réseau d'entreprise.

Si... ...Alors
L'utilisateur s'est connecté une fois sur le réseau Utilisateur authentifié avec MFA sur le réseau Utilisateur avec MFA activée MFA requis Connexion acceptée Connexion refusée
Oui Oui Oui check_circle
Oui Non Oui ou Non check_circle
Non Non Oui ou Non check_circle

Toujours refuser les connexions

Cette option refusera les connexions hors ligne.

Erreur affichée:

Erreur affichée

Information additionnelle

Ce paramètre s'applique uniquement aux sessions interactives. Étant donné que ces sessions sont contrôlées par l'agent Desktop installé localement sur la machine, une défaillance du réseau peut empêcher l'agent de communiquer avec le serveur UserLock et, par conséquent, autoriser une connexion. Les autres types de sessions Wi-Fi, VPN et IIS sont gérés via les agents NPS, IIS et RRAS UserLock, qui sont installés sur les serveurs Windows. Étant donné que ces types de session fonctionnent différemment, ils ne sont pas soumis au même type de comportement.

Une fois UserLock accessible, les événements de session correspondants sont envoyés au service UserLock, qui les écrit dans la base de données avec EventType 4 (connexion refusée par UserLock) et LogonInfo 2048 (nouvelle raison «UserLock inaccessible» pour les connexions refusées par UserLock).

Si le message de bienvenue est activé, les utilisateurs finaux seront informés de ces événements lors de la prochaine connexion réussie. Le texte affiché évite toute mention de la solution "UserLock" :

Prochaine connexion réussie

Les administrateurs UserLock peuvent voir ces événements dans les rapports suivants:

  • Rapport «Historique de session»: ouvertures de session refusées par UserLock pour la raison «UserLock inaccessible».
  • Rapport "Toutes les connexions refusées": "UserLock inaccessible" est disponible dans le champ "raison du refus".
  • Rapport "Connexions refusée par UserLock": "UserLock inaccessible" est disponible dans le champ "raison du refus".

Rappel sur le cache Windows et les connexions interactives

Comme expliqué sur cette page (en anglais), dans le cas où le contrôleur de domaine n'est pas disponible, Windows autorise les connexions interactives si les identifiants utilisées font partie des connexions précédentes mises en cache sur cet ordinateur. La valeur par défaut de ce paramètre est de 10 connexions; les valeurs possibles vont de 0 à 50.

Configuration facultative de ce paramètre via les stratégies de groupe

La configuration de ce paramètre dans les propriétés du serveur l’applique à tous les utilisateurs. Vous pouvez utiliser cette procédure via les stratégies de groupe (remplacement des propriétés du serveur) pour appliquer cette restriction à des unités organisationnelles spécifiques.

Ce paramètre situé dans ces stratégies est «Connexions à partir de machines hors ligne»:

Connexions à partir de machines hors ligne