Utilisez cette méthode d'authentification lorsque vous utilisez un contrôleur de domaine Windows pour authentifier les utilisateurs qui disposent d'un compte sur le serveur d'annuaire. Les utilisateurs ne peuvent pas être authentifiés s'ils ne disposent pas d'un compte sur le serveur d'annuaire. En authentification Windows, vous pouvez définir les restrictions d'accès de chaque groupe enregistré sur le serveur d'annuaire. Le carnet d'adresses enregistré dans le serveur de répertoire peut être enregistré sur l'appareil, permettant l'authentification utilisateur sans devoir d'abord utiliser la machine pour enregistrer des paramètres individuels dans le carnet d'adresses. Le recueil d'informations sur les utilisateurs peut empêcher l'utilisation de fausses identités car l'adresse de l'expéditeur (De :) est déterminée par le système d'authentification lorsque les données numérisées sont envoyées ou lorsqu'une télécopie reçue est transférée par e-mail.
Lors de votre premier accès à l'appareil, vous pouvez utiliser les fonctions disponibles pour votre groupe. Si vous n'êtes pas enregistré dans un groupe, vous pouvez utiliser les fonctions disponibles sous « *Groupe par défaut ». Pour restreindre les fonctions disponibles pour certains utilisateurs, définissez préalablement les paramètres dans le carnet d'adresses.
Pour enregistrer automatiquement des informations utilisateur telles que des numéros de fax et des adresses e-mail sous l'authentification Windows, il est recommandé de crypter la transmission par SSL entre l'appareil et le contrôleur de domaine. Pour cela, vous devez créer un certificat de serveur pour le contrôleur de domaine. Pour plus d'informations sur la création d'un certificat de serveur, voir Création du certificat de serveur.
L'authentification Windows peut être effectuée via l'une des méthodes suivantes : authentification NTLM ou Kerberos. La configuration requise pour chacune des deux méthodes est répertoriée ci-après :
Configuration requise pour l'authentification NTLM
Pour activer l'authentification NTLM, la configuration suivante doit être respectée :
Cet appareil prend en charge l'authentification NTLMv1 et NTLMv2.
Configurez un contrôleur de domaine dans le domaine que vous souhaitez utiliser.
Cette fonction est prise en charge par les systèmes d'exploitation mentionnés ci-après. Pour obtenir des informations utilisateurs dans un environnement Active Directory en cours d'exécution, utilisez LDAP. Si vous utilisez le LDAP, nous vous recommandons d'utiliser le protocole SSL pour crypter les communications entre l'appareil et le serveur LDAP. Le cryptage via SSL n'est possible que si le serveur LDAP prend en charge TLSv1 ou SSLv3.
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012
Configuration requise pour l'authentification Kerberos
Pour définir l'authentification Kerberos, la configuration suivante doit être respectée :
Configurez un contrôleur de domaine dans le domaine que vous souhaitez utiliser.
Le système d'exploitation doit prendre en charge KDC (Key Distribution Center). Pour obtenir des informations utilisateurs dans un environnement Active Directory en cours d'exécution, utilisez LDAP. Si vous utilisez le LDAP, nous vous recommandons d'utiliser le protocole SSL pour crypter les communications entre l'appareil et le serveur LDAP. Le cryptage via SSL n'est possible que si le serveur LDAP prend en charge TLSv1 ou SSLv3. Les systèmes d'exploitation compatibles sont listés ci-après :
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012
Pour utiliser l'authentification Kerberos sous Windows Server 2008, installez le Service Pack 2 ou une version ultérieure.
Lorsque l'authentification Kerberos est activée, la transmission des données entre l'appareil et le serveur KDC est cryptée. Pour plus d'informations concernant la transmission cryptée, voir Paramètre de cryptage de l'authentificaton Kerberos.
Lors de l'authentification Windows, les données enregistrées sur le serveur d'annuaire, comme l'adresse de messagerie de l'utilisateur, sont automatiquement enregistrées sur l'appareil. Si les informations de l'utilisateur sont modifiées sur le serveur, il est possible que les données enregistrées sur l'appareil soient écrasées au moment de l'authentification.
Les utilisateurs appartenant à d'autres domaines sont soumis à l'authentification utilisateur, mais ils ne peuvent pas obtenir de données telles que les adresses e-mail.
Si l'authentification Kerberos et le cryptage SSL sont activés simultanément, il est impossible d'obtenir les adresses e-mail.
Si vous avez créé un nouvel utilisateur dans le contrôleur de domaine et que vous avez sélectionné « L'utilisateur doit modifier le mot de passe lors de la prochaine connexion », connectez-vous tout d'abord à l'ordinateur et modifiez le mot de passe.
Si le serveur d'authentification ne prend en charge que le protocole NTLM alors que l'authentification Kerberos est sélectionnée sur votre appareil, la méthode d'authentification basculera automatiquement sur NTLM.
Quand l'authentification Windows est utilisée, le nom d'utilisateur est sensible à la casse. Un nom de connexion saisi de manière incorrecte sera ajouté au carnet d'adresses. Si c'est le cas, supprimez l'utilisateur ajouté.
Si le compte « Invité » du serveur Windows est activé, les utilisateurs qui ne sont pas enregistrés sur le contrôleur de domaine peuvent être authentifiés. Si ce compte est activé, les utilisateurs sont enregistrés dans le carnet d'adresses et peuvent utiliser les fonctions disponibles sous « *Groupe par défaut ».
Pour connaître les caractères pouvant être utilisés pour les noms d'utilisateur et les mots de passe de connexion, reportez-vous à Caractères utilisables pour les noms d'utilisateur et les mots de passe.
À la connexion suivante à l'appareil, vous pourrez utiliser toutes les fonctions auxquelles vous avez accès en tant qu'utilisateur et en tant que membre de votre groupe.
Les utilisateurs enregistrés sous plusieurs groupes peuvent utiliser toutes les fonctions autorisées pour ces groupes.
Sous l'Authentification Windows, vous n'êtes pas obligé de créer un certificat de serveur à moins que vous ne souhaitiez enregistrer automatiquement des informations utilisateur telles que des numéros de fax et des adresses e-mail à l'aide de SSL.
Si vous ne parvenez pas à obtenir d'informations sur la télécopie pendant l'authentification, voir Si vous ne pouvez pas obtenir le numéro de fax..