Passer l'en-tête
 

Authentification Windows

Utilisez cette méthode d'authentification lorsque vous utilisez un contrôleur de domaine Windows pour authentifier les utilisateurs qui disposent d'un compte sur le serveur d'annuaire. Les utilisateurs ne peuvent pas être authentifiés s'ils ne disposent pas d'un compte sur le serveur d'annuaire. En authentification Windows, vous pouvez définir les restrictions d'accès de chaque groupe enregistré sur le serveur d'annuaire. Le carnet d'adresses enregistré dans le serveur de répertoire peut être enregistré sur l'appareil, permettant l'authentification utilisateur sans devoir d'abord utiliser l'appareil pour enregistrer des paramètres individuels dans le carnet d'adresses. Le recueil d'informations sur les utilisateurs peut empêcher l'utilisation de fausses identités car l'adresse de l'expéditeur (De :) est déterminée par le système d'authentification lorsque les données numérisées sont envoyées.

Lors de votre premier accès à l'appareil, vous pouvez utiliser les fonctions disponibles pour votre groupe. Si vous n'êtes pas enregistré dans un groupe, vous pouvez utiliser les fonctions disponibles sous « *Groupe par défaut ». Pour restreindre les fonctions disponibles pour certains utilisateurs, définissez préalablement les paramètres dans le carnet d'adresses.

Pour enregistrer automatiquement des informations utilisateur dans le cadre d'une authentification Windows, il est recommandé de crypter par SSL la communication entre l'appareil et le contrôleur de domaine. Pour cela, vous devez créer un certificat de serveur pour le contrôleur de domaine. Pour plus d'informations sur la création d'un certificat de serveur, voir Création du certificat de serveur.

Important

  • Si vous utilisez l'authentification Windows, les informations utilisateurs enregistrées dans le serveur d'annuaire, comme l'adresse e-mail de l'utilisateur, sont enregistrées automatiquement dans le carnet d'adresses de l'appareil. Même si les informations utilisateur enregistrées automatiquement dans le carnet d'adresses de l'appareil sont modifiées sur ce dernier, elles sont écrasées par les données présentes sur le serveur d'annuaire au moment de l'authentification.

  • Les utilisateurs appartenant à d'autres domaines sont soumis à l'authentification utilisateur, mais ils ne peuvent pas obtenir de données telles que les adresses e-mail.

  • Si l'authentification Kerberos et le cryptage SSL sont activés simultanément, il est impossible d'obtenir les adresses e-mail.

  • Si vous avez créé un nouvel utilisateur dans le contrôleur de domaine et que vous avez sélectionné « L'utilisateur doit modifier le mot de passe lors de la prochaine connexion », connectez-vous tout d'abord à l'ordinateur et modifiez le mot de passe.

  • Si le serveur d'authentification ne prend en charge que le protocole NTLM alors que l'authentification Kerberos est sélectionnée sur votre appareil, la méthode d'authentification basculera automatiquement sur NTLM.

  • Si le compte « Invité » du serveur Windows est activé, les utilisateurs qui ne sont pas enregistrés sur le contrôleur de domaine peuvent être authentifiés. Si ce compte est activé, les utilisateurs sont enregistrés dans le carnet d'adresses et peuvent utiliser les fonctions disponibles sous « *Groupe par défaut ».

L'authentification Windows peut être effectuée via l'une des méthodes suivantes : authentification NTLM ou Kerberos. La configuration requise pour chacune des deux méthodes est répertoriée ci-après :

Configuration requise pour l'authentification NTLM

Pour activer l'authentification NTLM, la configuration suivante doit être respectée :

  • Cet appareil prend en charge l'authentification NTLMv1 et NTLMv2.

  • Configurez un contrôleur de domaine dans le domaine que vous souhaitez utiliser.

  • Cette fonction est prise en charge par les systèmes d'exploitation mentionnés ci-après. Pour obtenir des informations utilisateurs dans un environnement Active Directory en cours d'exécution, utilisez LDAP. Si vous utilisez le LDAP, nous vous recommandons d'utiliser le protocole SSL pour crypter les communications entre l'appareil et le serveur LDAP. Le cryptage via SSL n'est possible que si le serveur LDAP prend en charge TLSv1 ou SSLv3.

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

Configuration requise pour l'authentification Kerberos

Pour définir l'authentification Kerberos, la configuration suivante doit être respectée :

  • Configurez un contrôleur de domaine dans le domaine que vous souhaitez utiliser.

  • Le système d'exploitation doit prendre en charge KDC (Key Distribution Center). Pour obtenir des informations utilisateurs dans un environnement Active Directory en cours d'exécution, utilisez LDAP. Si vous utilisez le LDAP, nous vous recommandons d'utiliser le protocole SSL pour crypter les communications entre l'appareil et le serveur LDAP. Le cryptage via SSL n'est possible que si le serveur LDAP prend en charge TLSv1 ou SSLv3. Les systèmes d'exploitation compatibles sont listés ci-après :

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    Pour utiliser l'authentification Kerberos sous Windows Server 2008, installez le Service Pack 2 ou une version ultérieure.

  • Lorsque l'authentification Kerberos est activée, la transmission des données entre l'appareil et le serveur KDC est cryptée. Pour de plus amples informations concernant la transmission cryptée, voir Paramètre de cryptage de l'authentificaton Kerberos.

Remarque

  • Pour connaître les caractères pouvant être utilisés avec les noms d'utilisateur et les mots de passe de connexion, voir Caractères utilisables pour les noms d'utilisateur et les mots de passe.

  • À la connexion suivante à l'appareil, vous pourrez utiliser toutes les fonctions auxquelles vous avez accès en tant qu'utilisateur et en tant que membre de votre groupe.

  • Les utilisateurs enregistrés sous plusieurs groupes peuvent utiliser toutes les fonctions autorisées pour ces groupes.

  • Sous l'authentification Windows, vous n'avez pas besoin de créer un certificat de serveur à moins que vous ne souhaitiez enregistrer automatiquement des informations utilisateur telles que le nom d'utilisateur via SSL.