Bon je suis usé des appels concernant des comptes AD verrouillés.
 
Qu'utilisez-vous comme solution permettant à vos utilisateurs de réinitialiser eux-mêmes leurs mots de passe ?
Il faut que soit simple et en français
Et fiable, pas que cela ne génère plus d'appels encore.
 
 
 
Edit : Il faut que l'utilisateur puisse déverrouiller son compte sans changer son mot de passe obligatoirement.

Je ne suis pas certain que ce soit top en terme de sécurité.
Comment comptes-tu controler l'identité de l'utilisateur qui fait une demande de réinitialisation ?

Je suppose qu'il y a des questions personnelles avant d'accéder à la réinit. en elle-même.

Citrix proposait ça il y a quelques années avec son produit Password Manager (c'était évidemment une petite fonctionnalité à côté de l'authentification unique des applis). Mais je ne sais pas si ça existe encore.

"Password Manager" aussi, avec la version anciennement de chez Quest puis de chez Dell, puis bientôt re-Quest (!).

ArthurB tu peux mettre le deveroulliage apres 10mn via GPO.
 
Sinon tu met le même mot de passe partout
a bas la sécurité et les appels téléphonique ! (demain je m'inscrit a pole emploi ça c'est sur

Bon à priori, y a des solutions chez Specops, Netwrix, Quest... Faut que je creuse et voir si ça existe en français (au moins pour l'interface utilisateur).
 
@Wolfman, effectivement ça me parle.
 
@npuel, oui à voir.
 
@skoizer, oui mais mes users sont impatients et appellent bien souvent avant de réfléchir ou de lire ce qui est indiqué à l'écran.
Sinon pour ta seconde proposition, je doute que ça plaise au relais de mail qui fait office de manager...

Nous on utilise ça https://anixis.com/products/apr/default.htm (30 000 comptes)
Je déploie chez pas mal de clients MIM 2016 qui a ce module (mais c'est cher MIM) ou sinon si le client a Azure AD Premium (rare car cher) on peut le faire aussi

Merci Je@nb, dans 99% des cas chez moi, c'est pour utiliser depuis l'écran de logon Windows car je vois qu'il y a beaucoup de possibilité (web (comment faire si l'utilisateur n'a qu'un device et que son compte est verrouillé ?), tablet, smartphone) et cette phase d'enrollment préalable

Tu peux aussi utiliser autre chose que des mots de passe (biométrie, cartes à puce...)

depuis l'écran de login mim le fait mais ouais sinon nous on le fait depuis le pc d'un collegue ou depuis un smartphone

@nebulios, oui mais l'investissement n'est pas le même.
 
Ici, c'est plus pour notre équipe parce que finalement les managers, comme d'habitude, c'est pas eux qui sont emm*rdés.  
Et donc à mon humble avis faudra pas que ça coûte trop cher si je veux que ça se fasse.
Je peux leur vendre que ça fera baisser le nombre d'appels au help desk mais c'est pas leur problème.
Cependant qui dit moins d'appels dit aussi plus de temps pour nous, équipe IT, de faire autre chose.

Le SSRPM de base de Tools4ever semble pas mal aussi... Mais toujours ce petit bout de soft à installer côté client
Finalement non, pas de déverrouillage de compte.

 
Et cet outil libre ?

Merci sticky-fingers, mais il faut aussi que l'outil permette à l'utilisateur de déverrouiller son compte AD.
D'ailleurs je me demande si je ne vais pas positionner le duration lockout à 1 minute

Quand je vois les outils comme LDAP Tool Box (qui prend en charge l'AD, qui est un LDAP à la base ), c'est pas mal mais ça suppose déjà un certain nombre de trucs à mettre en place :

Déjà pour le courriel, si tu as une boîte où c'est un AD qui gère avec le même mot de passe l'ouverture de session et la messagerie, forcément si tu l'as perdu bah  
De nombreux utilisateurs de VPN, où il y a déjà des questions/réponses... oublient purement et simplement les questions qu'ils ont choisis ! D'un pratique
Pour l'envoi d'un SMS, il faut au préalable ajouter un numéro de téléphone. Si tu as un téléphone pro, pas de soucis. Mais un perso... beaucoup d'utilisateurs sont récalcitrants (et c'est normal) de donner leur numéro perso. Néanmoins cette partie est intéressante, je vais le faire remonter aux dévs de la solution interne chez nous.
 
Après il y a un autre moyen, peu utilisé malheureusement : une bête carte à puce.
Tu perds ton MDP ? Tu utilises ta carte pro pour ouvrir ta session, et de là tu peux réinitialiser ton MDP car tu es sur ta session
 
Au niveau interne à ma boîte, on a un truc équivalent, pour pouvoir faire la même chose pour ceux qui n'ont pas de session Windows (de moins en moins de personnes), mais passent quand même par la hotline car leur mot de passe est expiré... et ne peuvent pas en changer !
 
Si vous recevez des appels par contre, vous faîtes comment pour savoir qui vous appelle ? Suivant les hotlines chez nous, c'est un scan de la carte pro (envoyé depuis la BAL d'un collègue), ou le chef de service qui appelle. Ou on déverrouille juste sans changer le MDP.

 
Ben c'est ce que propose cet outil  

sticky-fingers, j'ai peut-être lu en travers mais je n'ai pas vu de possibilité de déverrouiller son compte... Juste changer son mot de passe.

 
Bardiel, oui c'est un AD qui gère le compte Windows/BAL Exchange.
 
Donc nécessité de pouvoir déverrouiller depuis l'écran de logon. Mais je ne sais pas ce qu'il advient avec les mises à jours Windows, peut-être que cette modif de gina peut être écrasée par une quelconque mise à jour ?
La majorité des utilisateurs n'a qu'un device (PC sous Windows). Pour les autres c'est d'ailleurs un beau b*rdel quand ils doivent modifier le mot de passe de leur compte Exchange activesync sur leurs smartphones/tablettes Android/iOS...
 
Les cartes à puces, je ne sais pas comment cela fonctionne, de toute façon ils sont capables de la perdre ou de l'avoir oublié chez eux...
 
Pour les appelants, on les reconnait et le N° d'appel s'affiche sur nos téléphones. Pas encore de cas de reverse engineering. Ils ont de toute façon des droits restreints.

"when password is changed".
 
Je ne veux pas changer le mot de passe nécessairement.

Le postulat de départ c'était "Qu'utilisez-vous comme solution permettant à vos utilisateurs de réinitialiser eux-mêmes leurs mots de passe ? "

C'est vrai, le titre du topic est finalement plus complet...

Si tu n'as pas d'outil maison, celui de sticky-fingers peut servir à ça  
 
Pour le déverrouillage du compte après X essais, passer le lockout à 10 minutes.
Pour le changement du mot du passe, un outil comme celui de stick-fingers.
 
Sachant que de toutes façons :

ça sera ça aussi pour les questions de réinitialisation, pour le SMS il faudra que l'utilisateur pense à renseigner le numéro avant (et le mettre à jour !), Tu ne veux pas mettre en place une solution autre d'authentification (biométrie/carte à puce), à un moment l'utilisateur il t’appellera quand même

 
Je ne pense pas puisque sur ces devices, il faut modifier le mot de passe dans les propriétés du compte Exchange activesync directement sur le device en question. L'outil de sticky-fingers n'y peut rien.
 
Oui, comme dit plus haut, je pense réduire le duration lockout qui est pour le moment à 30 minutes.
 
Pour les méthodes alternatives d'authentification, comme je le disais, je ne sais pas comment cela fonctionne réellement mais il faudra de toute façon un lecteur de carte sur chaque PC si carte à puce ou autre pour de la biométrie.  
Donc un coût financier. Et donc, je ne suis pas certain que cela plaise aux managers, l'idée était ici d'avoir quelque chose de simple, léger pour simplifier et alléger la charge de notre hotline.
Pour le SMS, à oublier, les utilisateurs ne donneront pas tous leur N° perso, et ils auront raison amha.

Bah forcément, t'as déjà vu un Android qui arrivait à suivre ton mot de passe de ta messagerie ?  
Tu changes ton MDP sur ton compte GMail sur PC, il faudra le changer aussi sur ton téléphone/tablette hein, ça ne se propage pas.

Non bien sûr, c'était pour répondre à ta première citation.

Bah s'ils peuvent changer leur MDP via une interface web, c'est quoi le soucis ?

De se connecter avec un compte verrouillé sur ladite interface Web.

D'où mettre le lockout à 10 minutes