Разблокировка устройств реализована в двух режимах.
- Режим Online подразумевает, что рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером Indeed CM. Соединение с сервером необходимо для проведения аутентификации пользователя при помощи ответов на секретные вопросы. Для связи рабочих станций пользователей с сервером Indeed CM при online-разблокировке рекомендуется использовать защищенное соединение (https).
Разблокировка в Offline режиме осуществляется оператором Indeed CM по принципу аутентификации вида запрос-ответ (англ. challenge-response authentication mechanism).
При исчерпании заданного числа попыток ввода PIN-кода, пользователь получает сообщение о том, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный 16-ти символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону) и подтвердить свою личность.
Для включения возможности online-разблокировки устройств настройте соответствующую групповую политику. Эта политика должна распространяться на рабочие станции пользователей Indeed CM.
Для добавления административных шаблонов Indeed-Id выполните следующие действия:
Скопируйте содержимое каталога IndeedCM.Client.Tools\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.
Откройте консоль Управление групповой политикой (Group Policy Management).
В дереве окна консоли создайте новый объект групповой политики, или выберите существующий.
Вызовите контекстное меню и выберите пункт Изменить (Edit).
В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration) > Политики (Policies)> Административные шаблоны (Administrative Templates) > Indeed CM > Client (см. Рисунок 3).
Включите политику Сервер разблокировки смарт-карт и укажите её значения:
- в параметре URL сервиса укажите ссылку на компонент credprovapi, размещенный на сервере Indeed CM. Например: https://server.demo.local/credprovapi
- в параметре Проверять сертификат сервера установите значение Да (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера. Установите Нет, если проверку подлинности проводить не требуется.
Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Indeed CM.
Нажмите Применить (Apply) и выполните обновление политик.