EliteBook 745 G6 Notebook PC | EliteBook 735 G6 Notebook PC | ZHAN 66 Pro A 14 G3 Notebook PC | ZHAN 66 Pro 15 G3 Notebook PC | Elite Dragonfly Notebook PC | ProBook 650 G5 Notebook PC | ZHAN 66 Pro 14 G3 Notebook PC | HP EliteBook 850 G6 Notebook PC Manuel utilisateur

Manuel de l'utilisateur
HP Sure Admin
© Copyright 2019 HP Development Company,
L.P.
Apple est une marque de commerce d’Apple
Computer, Inc., déposée aux États-Unis et dans
d’autres pays.
Google Play est une marque commerciale de
Google LLC.
Logiciel d'ordinateur confidentiel. Une licence
HP est requise pour la possession, l'utilisation
ou la copie. En accord avec les articles FAR
12.211 et 12.212, les logiciels informatiques,
la documentation des logiciels et les
informations techniques commerciales sont
concédés au gouvernement américain sous
licence commerciale du distributeur.
Les informations contenues dans ce document
peuvent être modifiées sans préavis. Les
garanties relatives aux produits et aux services
HP sont décrites dans les déclarations de
garantie limitée expresse qui les
accompagnent. Aucun élément du présent
document ne peut être interprété comme
constituant une garantie supplémentaire. HP
ne saurait être tenu pour responsable des
erreurs ou omissions de nature technique ou
rédactionnelle qui pourraient subsister dans le
présent document.
Première édition : décembre 2019
Référence du document : L83995-051
Sommaire
1 Mise en route ................................................................................................................................................ 1
Utilisation de HP Sure Admin ................................................................................................................................. 1
Désactivation de HP Sure Admin ........................................................................................................................... 1
2 Création et gestion des clés ............................................................................................................................ 2
Création et exportation de clés ............................................................................................................................. 2
3 Configuration du téléphone ............................................................................................................................ 5
Utilisation de l’application mobile HP Sure Admin pour déverrouiller le BIOS ..................................................... 5
iii
iv
1
Mise en route
HP Sure Admin permet aux administrateurs informatiques de gérer de manière sécurisée les paramètres de
microprogrammes de périphériques sensibles à l’aide de certificats et de cryptographie à clé publique pour
une gestion locale et à distance des paramètres plutôt qu’avec un mot de passe.
HP Sure Admin se compose des éléments suivants :
●
PC cible : Les plates-formes à gérer qui prennent en charge le mode d’authentification BIOS amélioré.
●
HP Manageability Integration Kit (MIK) : Le plug-in pour System Center Configuration Manager (SCCM)
ou l’utilitaire HP BIOS Configuration Utility (BCU) pour la gestion à distance des paramètres du BIOS.
●
HP Sure Admin Local Access Authenticator : Une application mobile qui remplace le mot de passe afin
d’activer l’accès local à la configuration du BIOS en numérisant un code QR pour obtenir un code PIN à
usage unique.
Utilisation de HP Sure Admin
Le processus d’utilisation de HP Sure Admin est le suivant :
1.
Ouvrez le plug-in HP Sure Admin à l’intérieur du plug-in HP Manageability Integration Kit (MIK) pour
System Configuration Manager (SCCM) ou l’utilitaire Enhanced BIOS Configuration Utility (BCU).
2.
Téléchargez l’application mobile HP Sure Admin à partir de la boutique Google PlayTM ou de l’App Store®
d’Apple.
3.
Créez une paire de clés utilisée par le périphérique cible et l’application mobile HP Sure Admin pour
obtenir un code PIN à usage unique pour déverrouiller le BIOS.
Désactivation de HP Sure Admin
Voici les options pour désactiver HP Sure Admin :
●
Dans les paramètres F10 BIOS, sélectionnez Restaurer les paramètres de sécurité aux paramètres
d’usine par défaut.
REMARQUE : Cela nécessite une présence physique en fournissant un code PIN d’authentification via
l’application mobile HP Sure Admin pour accéder aux paramètres F10.
●
Utilisez la commande BCU pour appeler à distance WMI de Restaurer les paramètres de sécurité aux
paramètres d’usine par défaut.
REMARQUE : Pour plus d’informations, reportez-vous au manuel de l’utilisateur de l’utilitaire HP BIOS
Configuration Utility (BCU).
●
Dans la page Configuration de sécurité MIK, sélectionnez Dé-configurer.
Utilisation de HP Sure Admin
1
2
Création et gestion des clés
Achevez la Configuration de sécurité dans MIK avant d’activer le mode d’authentification du BIOS amélioré.
Le mode d’authentification du BIOS amélioré doit être activé pour créer et exporter des clés. Pour activer le
mode d’authentification du BIOS :
▲
Ouvrez le plug-in HP Sure Admin et sélectionnez le Mode d’authentification du BIOS amélioré pour
créer et exporter des clés.
Création et exportation de clés
Sélectionnez l’un des modèles suivants pour créer des paires de clés d’accès local et activer l’application
mobile HP Sure Admin pour accéder à la clé :
●
Créer et exporter une clé — Utilisez cette option pour exporter la clé d’autorisation d’accès local, puis
distribuez-la manuellement à l’application mobile HP Sure Admin via e-mail ou une autre méthode.
REMARQUE : Cette option n’exige pas l’accès au réseau de l’application mobile HP Sure Admin pour
obtenir un code PIN à usage unique.
●
Créer et exporter une clé avec révocation Azure AD — Utilisez cette option pour connecter la clé
d’accès local à un groupe Azure Active Directory spécifié et exiger de l’application mobile HP Sure Admin
qu’elle exige l’authentification de l’utilisateur sur Azure Active Directory et pour confirmer que
l’utilisateur est un membre du groupe spécifié avant de fournir un code PIN d’accès local. Cette méthode
nécessite également une distribution manuelle de la clé d’autorisation d’accès local à l’application
mobile via e-mail ou une autre méthode.
REMARQUE : Cette option nécessite que l’application mobile HP Sure Admin ait accès au réseau afin
d’obtenir un code PIN à usage unique.
●
Créer et envoyer la clé sur OneDrive du Azure AD Group — (Recommandé) Utilisez cette option pour
éviter de stocker la clé d’autorisation d’accès local sur le téléphone. Lorsque vous choisissez cette
option, MIK stocke la clé d’autorisation d’accès local dans le dossier OneDrive spécifié et qui est
uniquement accessible au groupe agréé. L’utilisateur de l’application mobile HP Sure Admin devra
s’authentifier sur Azure AD à chaque fois qu’un code PIN est requis.
REMARQUE : Cette option nécessite que l’application mobile HP Sure Admin ait accès au réseau afin
d’obtenir un code PIN à usage unique.
Pour créer et exporter une clé :
1.
Nommez votre clé dans la zone de saisie du Nom de la clé.
2.
Saisissez la phrase passe dans la zone de saisie de la Phrase passe.
REMARQUE : La phrase passe est utilisée pour protéger la clé exportée et doit être fournie afin que
l’utilisateur de l’application mobile HP Sure Admin puisse importer la clé.
2
3.
Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le
système.
4.
Sélectionnez Créer une clé.
Chapitre 2 Création et gestion des clés
REMARQUE : Votre clé a été correctement créée lorsqu’une icône de notification s’affiche à côté du
bouton Créer une clé avec le message Clé créée avec succès.
5.
Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis.
6.
Sélectionnez Enregistrer la stratégie.
REMARQUE : La stratégie s’enregistre lorsqu’un message « Enregistré avec succès » s’affiche.
7.
Accédez au dossier où vous avez enregistré la clé et distribuez-la à l’utilisateur de l’application mobile
HP Sure Admin à l’aide d’une méthode disponible pour cet utilisateur sur cet appareil, telle que l’e-mail.
Cet utilisateur aura également besoin de la phrase passe pour importer la clé. HP recommande d’utiliser
différents mécanismes de distribution pour la clé et la phrase passe.
REMARQUE : Lors de l’envoi du code QR, envoyez-le dans sa taille d’origine. L’application ne peut pas
lire correctement l’image si sa taille est inférieure à 800 × 600.
Pour créer et exporter une clé avec Azure AD Revocation :
1.
Nommez votre clé dans la zone de saisie du Nom de la clé.
2.
Saisissez la phrase passe dans la zone de saisie de la Phrase passe.
REMARQUE : La phrase passe est utilisée pour protéger la clé exportée et doit être fournie afin que
l’utilisateur de l’application mobile HP Sure Admin puisse importer la clé.
3.
Sélectionnez Azure AD Login et connectez-vous.
4.
Sélectionnez le nom de votre groupe dans la liste déroulante Nom Azure AD Group.
REMARQUE : Vous devez être un membre du groupe pour accéder à la clé.
5.
Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le
système.
6.
Sélectionnez Créer une clé.
REMARQUE : Votre clé est créée avec succès lorsqu’une icône de notification s’affiche à côté du bouton
Créer une clé avec le message « Clé créée avec succès ».
7.
Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis.
8.
Sélectionnez Enregistrer la stratégie.
REMARQUE : La stratégie est sauvegardée lorsque le message apparaît.
9.
Accédez au dossier où vous avez enregistré la clé et distribuez-la à l’utilisateur de l’application mobile
HP Sure Admin à l’aide d’un mécanisme disponible pour cet utilisateur sur cet appareil, tel que l’e-mail.
Cet utilisateur aura également besoin de la phrase passe pour importer la clé. Il est recommandé
d’utiliser différents mécanismes de distribution pour la clé et la phrase passe.
REMARQUE : Lors de l’envoi du code QR, envoyez-le dans sa taille d’origine. L’application ne peut pas
lire correctement l’image si sa taille est inférieure à 800 × 600.
Pour créer et envoyer une clé sur OneDrive du Azure AD Group :
1.
Nommez votre clé dans la zone de saisie du Nom de la clé.
2.
Saisissez la phrase passe dans la zone de saisie de la Phrase passe.
3.
Sélectionnez Azure AD Login et connectez-vous.
Création et exportation de clés
3
4.
Sélectionnez le nom de votre groupe dans la liste déroulante Nom Azure AD Group.
REMARQUE : Vous devez être un membre du groupe pour accéder à la clé.
5.
Entrez le nom du dossier OneDrive à l’endroit où vous souhaitez enregistrer la clé dans la zone de saisie
OneDrive.
6.
Sélectionnez Parcourir, puis sélectionnez l’emplacement d’exportation du chemin d’accès dans le
système.
7.
Sélectionnez Créer une clé.
REMARQUE : Votre clé est correctement ajoutée au dossier OneDrive spécifié et exportée vers le
dossier local spécifié lorsqu’une icône de notification s’affiche à côté du bouton Créer une clé avec le
message Clé créée avec succès.
8.
Sélectionnez Suivant. La page récapitulative affiche les paramètres HP Sure Admin que vous avez saisis.
9.
Sélectionnez Enregistrer la stratégie.
REMARQUE : La stratégie s’enregistre lorsqu’un message Enregistré avec succès s’affiche.
Dans ce scénario, il n’est pas nécessaire d’envoyer quoi que ce soit à l’application mobile HP Sure Admin
pour la préconfigurer. Les ordinateurs cibles sont configurés pour pointer vers l’emplacement OneDrive
qui est inclus dans le code QR. L’application mobile HP Sure Admin utilise ce pointeur pour accéder à
l’emplacement OneDrive si l’utilisateur fait partie du groupe autorisé et s’authentifie correctement.
4
Chapitre 2 Création et gestion des clés
3
Configuration du téléphone
Téléchargez l’application mobile HP Sure Admin à partir de Google Play ou Apple Store.
●
Téléchargez HP Sure Admin à partir de Google Store pour les téléphones Android.
●
Téléchargez HP Sure Admin à partir de l’Apple Store pour les téléphones iOS.
Utilisation de l’application mobile HP Sure Admin pour
déverrouiller le BIOS
L’application mobile HP Sure Admin remplace l’utilisation du mot de passe BIOS pour l’accès local à la
configuration du BIOS en fournissant un code PIN à usage unique obtenu en numérisant le code QR présenté
par la machine cible.
Pour inscrire les clés sur l’application mobile HP Sure Admin :
Procédez comme suit pour enregistrer la clé localement sur le téléphone dans un scénario où la clé est
envoyée à l’utilisateur de l’application mobile. Dans l’exemple suivant, la clé est envoyée par e-mail à
l’utilisateur de l’application mobile HP Sure Admin, et l’utilisateur ouvre l’e-mail sur le téléphone.
1.
Ouvrez l’e-mail qui contient la clé.
2.
Une fois la page Inscription affichée, entrez la phrase passe dans la zone de saisie Entrer la phrase
passe et votre adresse e-mail dans la zone de saisie Entrez votre adresse e-mail pour décrypter la clé
et l’ajouter à l’application HP Sure Admin.
REMARQUE : Cette étape permet d’enregistrer la clé sur l’appareil mobile et d’achever l’inscription. À ce
stade, vous pouvez utiliser l’application mobile HP Sure Admin pour accéder à n’importe quel
périphérique qui a été configuré pour être accessible via cette clé. Une adresse e-mail est requise
uniquement si l’administrateur l’exige.
Le numéro de code PIN de déverrouillage s’affiche sur la page Votre code PIN.
3.
Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS.
Pour obtenir l’accès à la configuration du BIOS sur une machine cible après l’inscription :
1.
Entrez dans la configuration du BIOS au démarrage sur la machine cible.
2.
Sélectionnez Numériser le code QR dans l’application mobile et numérisez le code QR sur la machine
cible.
3.
Si vous êtes invité à une authentification de l’utilisateur, présentez vos informations d’authentification.
4.
Le numéro de code PIN de déverrouillage s’affiche sur la page Votre code PIN.
5.
Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS sur la machine cible.
Pour utiliser HP Sure Admin pour déverrouiller le BIOS avec Azure AD Group sur OneDrive :
1.
Sélectionnez Numériser le code QR, puis numérisez le code QR du BIOS.
Utilisation de l’application mobile HP Sure Admin pour déverrouiller le BIOS
5
REMARQUE : L’application HP Sure Admin affiche la page d’ouverture de session Azure AD.
2.
Connectez-vous à votre compte Azure.
3.
Entrez le code PIN dans la zone de saisie Entrer le code de réponse du BIOS.
REMARQUE : L’application HP Sure Admin n’enregistre pas la clé localement dans ce scénario.
L’application mobile HP Sure Admin doit disposer d’un accès au réseau et l’utilisateur doit s’authentifier à
chaque fois qu’un code PIN à usage unique est nécessaire.
Tableau 3-1 Codes d'erreur
6
Code d'erreur
Description
100
Erreur générale.
101
Impossible de lire le code QR json. La chaîne n’est pas un json valide ou les données ne
sont pas valides.
102
L’image de code QR numérisée n’est pas valide. Impossible de lire le fichier image du
code QR.
103
L’image de code QR numérisée n’est pas valide. Le fichier image n’est pas doté d’une
charge utile json.
104
Impossible de lire le code QR json. Soit la chaîne n’est pas un json valide, soit les
données de l’image QR ne sont pas valides.
105
Le hachage de la clé publique dans le code QR json ne correspond pas au hachage de
la clé publique du package d’inscription (données KeyID).
200
Erreur générale.
201
L’utilisateur connecté n’appartient à aucun groupe AD de votre entreprise.
203
L’utilisateur connecté n’appartient pas au groupe AD attribué pour cette clé.
204
Le fichier de la clé OneTime n’existe pas dans le dossier OneDrive du groupe AD.
205
Le fichier de la clé OneTime dans le dossier OneDrive du groupe AD n’est pas valide.
206
Le fichier de la clé OneTime est existant mais ne peut pas lire la charge utile du fichier.
300
Erreur générale.
301
L’adresse e-mail ne correspond pas au nom de domaine dans l’image de code QR.
302
Erreur lors de l’acquisition d’un jeton d’accès à partir d’Azure AD. L’utilisateur ne peut
pas se connecter à l’Azure AD de votre entreprise, ou l’application n’a pas les
autorisations nécessaires pour se connecter à l’Azure AD de votre entreprise.
303
L’application BEAM ne parvient pas à acquérir les informations de profil utilisateur
depuis l’Azure AD de votre entreprise.
304
L’adresse e-mail ne correspond pas au nom principal de l’utilisateur connecté.
305
L’utilisateur connecté n’appartient pas au Azure AD Group alloué pour cette clé.
Chapitre 3 Configuration du téléphone