Options des règles d'authentification d'Office 365
Cette rubrique explique les conditions et les actions disponibles pour les règles d’authentification aux applications Office 365.
Conditions
Sélectionnez les conditions dans lesquelles cette règle s’applique.
Personnes
Cette section détermine à qui la règle d’authentification s’appliquera. Vous pouvez choisir parmi les options suivantes :
| Option | Ce qu’elle fait |
|---|---|
| Utilisateurs auxquels cette application est affectée | Applique la règle aux utilisateurs affectés à cette application. |
| Les groupes et utilisateurs suivants |
Applique la règle aux groupes et utilisateurs spécifiques affectés à cette application. Pour exclure des groupes et utilisateurs spécifiques de la règle, sélectionnez Exclure les utilisateurs et groupes suivants de cette règle, puis spécifiez les groupes et utilisateurs. |
Envisagez d'étendre la règle à des groupes ou à un sous-ensemble d'utilisateurs si :
- Vous souhaitez activer des exceptions pour l’accès à l’application.
- Vous souhaitez intégrer progressivement les règles d’authentification à une application existante.
Emplacement
Cette section détermine à quel emplacement la règle d’authentification s’applique. Si vous appliquez la règle à des zones spécifiques, vous devez d'abord configurer la zone réseau dans Okta. Consultez la section Zones réseau. Prenez également en compte l'impact des zones réseau lorsque vous limitez l'accès.
Vous pouvez choisir parmi les options suivantes :
| Option | Ce qu’elle fait |
|---|---|
| Partout | Applique la règle à tous les utilisateurs, quelle que soit l’origine de l’accès. |
| Dans la zone |
Applique la règle aux utilisateurs provenant d’un emplacement ou d’une plage d’IP spécifique. Par exemple, une succursale dans un emplacement où la sécurité n’est pas fiable. Vous pouvez faire de l’authentification multifacteur une exigence constante à partir de cet emplacement. |
| Hors de la zone | Applique cette règle à ceux ne provenant PAS d’un emplacement ou d’une plage d’IP spécifique. Par exemple, vous pouvez avoir des bureaux d’entreprise configurés comme un emplacement réseau dans Okta. Vous pouvez exiger que l’authentification multifacteur soit toujours appliquée lorsque les utilisateurs ne proviennent pas de l’un de ces réseaux connus. |
Client
La section Type de client détermine à quels clients la règle d’authentification s’appliquera. Vous pouvez choisir parmi les options suivantes :
| Option | Résultat |
|---|---|
| Navigateur Web | Applique la règle aux navigateurs Web comme Chrome, Safari ou Internet Explorer. |
| Authentification moderne |
Applique la règle aux applications client lourd configurées pour tirer profit de l'authentification moderne. Cela inclut les clients Office 2013 et 2016 avec les correctifs ou mises à jour de configuration nécessaires, comme indiqué dans la documentation du support Microsoft : Authentification moderne Office 365 mise à jour. L'authentification moderne est un paramètre configurable d'un locataire Office 365 pour Exchage Online. Consultez la documentation Microsoft : Enable or disable modern authentication in Exchange Online (Activer ou désactiver l'authentification moderne pour Outlook dans Exchange Online) et Office 365: Enable Modern Authentication (Office 365 : Activer l'authentification moderne). |
| Authentification Exchange ActiveSync/héritée | Applique la règle aux clients de messagerie natifs sur les appareils iOS ou Android, ainsi qu’aux anciens clients de bureau sur macOS et MS Windows qui ne prennent pas en charge l’authentification moderne. Exchange ActiveSync ou le client d’authentification héritée ne prennent pas en charge l’authentification multifacteur. |
|
Personnalisé |
Indique un client auquel l'accès à Office 365 sera autorisé ou refusé. Ce filtre peut être utilisé pour refuser l'accès aux clients non approuvés ou pour autoriser uniquement les clients approuvés. Voir Autoriser ou refuser les clients personnalisés dans la politique d'authentification d'Office 365. |
La section Type de plateforme détermine à quelles plateformes la règle d’authentification s’appliquera. Vous pouvez choisir parmi les options suivantes :
| Option | Ce qu’elle fait |
|---|---|
| iOS | Applique la règle aux utilisateurs provenant d'un appareil iOS. |
| Android |
Applique la règle aux utilisateurs provenant d’un appareil Android. |
| Autre mobile |
Applique la règle aux utilisateurs provenant d'appareils non-iOS et non-Android. Par exemple, BlackBerry. Également utile pour les types de clients pour lesquels Okta ne peut pas déterminer le type de système d’exploitation en inspectant l’en-tête de la requête. Par exemple, lors de l’utilisation d’une application de messagerie Outlook sur un appareil iOS ou Android, l’en-tête de la requête contient à la fois iOS et Android. Le fait de sélectionner Autre mobile permet à la règle d’évaluer les requêtes provenant de ces clients. |
| Windows | Applique la règle aux utilisateurs provenant d’un appareil Windows. |
| macOS | Applique la règle aux utilisateurs provenant d'un appareil macOS. |
| Autre bureau | Applique la règle aux utilisateurs provenant de clients autres que Windows et macOS. Par exemple, Linux. |
Device Trust
Si l’approbation d’appareil est activée pour votre organisation, ces paramètres vous permettent de gérer l’accès aux applications en fonction de la confiance accordée à un appareil. Reportez-vous à Solutions d’approbation d’appareil Okta.
Actions
Sélectionnez les actions à entreprendre lorsque les conditions définies dans une règle sont remplies. Par exemple :
-
Vous pouvez refuser l’accès si un utilisateur provient d’un emplacement réseau risqué ou inconnu.
-
Vous pouvez définir une exigence pour demander à l’utilisateur de se réauthentifier après qu’un certain laps de temps s’est écoulé suite au lancement de l’application.
-
Vous pouvez demander à l’utilisateur d’effectuer une authentification multifacteur lors de la connexion à l’application.
Accès
Cette section détermine les actions qui seront prises une fois toutes les conditions définies dans la règle d’authentification remplies. Si vous demandez à l'utilisateur d'effectuer une authentification multifacteur avant d'accéder à l'application, vous devez d'abord configurer la MFA dans Okta. Consultez Authentification multifacteur. Prenez également en compte l'impact des zones réseau lors de la demande de MFA
Vous pouvez choisir parmi les options suivantes :
| Option | Ce qu’elle fait |
|---|---|
| Autorisé | Autorise l’accès une fois toutes les conditions définies dans la règle d’authentification remplies. |
| Refusé | Refuse l’accès une fois toutes les conditions définies dans la règle d’authentification remplies. |
| Demande de réauthentification | Pour les applications SAML uniquement, spécifie la fréquence à laquelle l’utilisateur sera invité à se réauthentifier. La période que vous spécifiez commence à partir du moment où l’utilisateur s’est authentifié pour la dernière fois dans Okta. |
| Demander le facteur | Nécessite que l'utilisateur réussisse la MFA et spécifie la fréquence à laquelle l'utilisateur sera invité à l'utiliser. |
-
Okta applique les stratégies d'authentification lorsqu'un client est redirigé vers son organisation Okta. Pour les clients basés sur un navigateur, cela se produit généralement lorsque la session est terminée en fermant le navigateur ou en effaçant les cookies.
-
Pour les clients de bureau (c’est-à-dire les clients n’utilisant pas l’authentification moderne) et les clients Exchange ActiveSync, une session authentifiée est mise en cache pendant 24 heures maximum dans le service Microsoft. Après avoir configuré des stratégies d’accès client pour restreindre ces types de clients, il peut s’écouler jusqu’à 24 heures avant que les restrictions ne prennent effet.
-
L’application ou le service individuel détermine la fréquence à laquelle les clients lourds prenant en charge l’authentification multifacteur sont redirigés vers Okta pour l’authentification. Pour en savoir plus sur les intervalles d’actualisation des applications Microsoft Office, reportez-vous à Délais d’expiration de session pour Office 365.