Installer et configurer UserLock Anywhere IIS

UserLock Anywhere étend la protection UserLock aux utilisateurs distants sans nécessiter de connexion VPN. Il permet à l’Agent Station de contacter le serveur UserLock via Internet lors de l’ouverture de session, afin d’appliquer l’authentification multifacteur (MFA) et les restrictions contextuelles d’accès.

Publié le 9 octobre 2024

Vue d’ensemble

Lorsque les employés se connectent en dehors du réseau de l’entreprise, l’Agent Station UserLock ne peut pas toujours atteindre le service UserLock via le VPN.

UserLock Anywhere résout ce problème en permettant à l’agent de contacter le serveur UserLock via Internet lors de l’ouverture de session.

  • Les connexions non autorisées peuvent ainsi être refusées dès la connexion.

  • Grâce à un paramètre avancé, les administrateurs peuvent également déconnecter à distance des utilisateurs en fonction des heures de connexion autorisées ou des quotas.

Prérequis

Avant d’installer UserLock Anywhere, assurez-vous que :

  • Un serveur IIS est disponible avec une adresse IP publique enregistrée dans le DNS.

  • Les rôles suivants sont installés dans Server Manager :

    • Web Server (IIS) → Security → Windows Authentication

    • Web Server (IIS) → Application Development → .ASP.NET 4.5

  • Le serveur IIS est membre du domaine.

  • (Mode délégué uniquement) Une configuration supplémentaire de la délégation est effectuée dans Active Directory.

  • Pour de meilleures performances, utilisez un serveur IIS dédié avec un certificat SSL valide.

Étape 1. Installer la fonctionnalité

La fonctionnalité UserLock Anywhere est désormais incluse dans l'installation par défaut de UserLock.

Si UserLock n'est pas déjà installé sur le serveur :

  1. Exécutez l’installateur UserLock et sélectionnez Installation personnalisée.

  2. Dans Modules, sélectionnez UserLock Anywhere.

Si UserLock est déjà installé :

  1. Ouvrez Panneau de configuration → Programmes → UserLock → Modifier.

  2. Ajoutez la fonctionnalité UserLock Anywhere.

Étape 2. Ajouter l’application dans IIS

Vous pouvez ajouter l’application à l’aide de l’Assistant de configuration :

  1. Lancez l’assistant de configuration.

  2. Sélectionnez Configurer à côté de UserLock Anywhere.

  3. L’assistant vérifie les composants Windows et propose d’installer ceux qui manquent.

  4. Choisissez le site Web cible.

Note

Pour accélérer le basculement vers UserLock Anywhere, déployez le FQDN du serveur UserLock via une stratégie de groupe. Cela permet à l’agent d’ignorer plus rapidement les connexions indisponibles et de basculer vers le lien Internet.

Étape 3. Configurer l’URL publique dans les propriétés du serveur

Dans la console UserLock :

  1. Allez dans ⚙️ Propriétés du serveur → Général → UserLock Anywhere.

  2. Activez l'option Solution on-premise.

  3. Mettez à jour l’URL de l’application avec l’adresse externe IIS.

Étape 4. Déployer l’Agent Station et l’URL

Pour que UserLock Anywhere fonctionne, chaque ordinateur cible doit :

  • Avoir l’agent Desktop UserLock installé.

  • Contenir l’URL UserLock Anywhere enregistrée dans le système.

👉️ Une fois UserLock Anywhere configuré, UserLock déploie automatiquement cette URL sur tous les ordinateurs gérés du site.

Si un ordinateur n’est pas connecté au réseau lors du déploiement, l’URL doit être ajoutée manuellement ou via une stratégie de groupe (GPO).

Déploiement manuel

  1. Ouvrez l’éditeur du Registre sur l’ordinateur cible.

  2. Accédez à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Créez une valeur chaîne (REG_SZ) nommée UserLockInternetUrl.

  4. Renseignez l’URL UserLock Anywhere comme contenu de cette valeur.

Déploiement par stratégie de groupe (GPO)

Pour les environnements étendus ou les machines hors ligne, vous pouvez distribuer cette clé de registre via une stratégie de groupe. Consultez le guide de déploiement de l’agent pour plus de détails.

Étape 5. Tester la connexion IIS

Sur un poste client, ouvrez un navigateur et saisissez l’URL publique configurée à l’étape 3.

  • Si la connexion réussit, une page de confirmation s’affiche avec les informations suivantes :

  • Si ce n’est pas le cas, vérifiez la configuration IIS et DNS.

Mode délégué

Si IIS n’est pas installé sur le même serveur que UserLock :

  1. Installez uniquement la fonctionnalité UserLock Anywhere sur le serveur IIS délégué.

  2. Dans Utilisateurs et ordinateurs Active Directory → Propriétés de l’ordinateur → Onglet Délégation :

    • Sélectionnez Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement.

    • Choisissez Utiliser n’importe quel protocole d’authentification.

    • Ajoutez le serveur UserLock avec le type de service cifs.

Forcer la déconnexion et appliquer les heures de connexion (optionnel)

Depuis la version 11.0.1, UserLock Anywhere peut appliquer des restrictions à distance.

  1. Dans la console, allez dans ⚙️ Propriétés du serveur → Paramètres avancés.

  2. Dans la section Agents, configurez Fermeture ou verrouillage via Internet de sessions hors réseau:

    • Valeur = intervalle en minutes entre chaque requête de l’agent.

    • Par défaut : -1 (désactivé).

    • Recommandé : ≥ 10 minutes.

Cela permet à UserLock d’appliquer les heures de connexion et quotas, même si l’appareil est hors du réseau de l’entreprise.

Ce paramètre peut également être déployé par stratégie de groupe.

Dépannage

Connexions lentes lors de l’ouverture de session

Symptôme : délai au moment de la connexion (avant ou après la MFA) lors de l’utilisation de UserLock Anywhere.
Cause : problème de mise en cache DNS avec les serveurs DNS du fournisseur d’accès Internet.
Solution : modifier la configuration DNS du routeur domestique pour utiliser des serveurs publics (par exemple Google DNS : 8.8.8.8 et 8.8.4.4).