Utiliser la MFA Okta pour Microsoft Entra ID (anciennement Azure Active Directory)
Vous pouvez utiliser l'authentification multifacteur (MFA) pour répondre aux exigences de MFA de Microsoft Entra ID pour votre instance d'application WS-Federation Office 365. Utilisez la MFA Okta dans les cas suivants :
- Vous souhaitez qu'Okta gère les exigences de MFA dans le cadre d'une invite d'authentification multifacteur déclenchée par l'accès conditionnel de Microsoft Entra ID pour votre domaine fédéré avec Okta.
- Vous souhaitez inscrire les utilisateurs finaux à Windows Hello for Business. Les utilisateurs disposent ainsi d'une solution unique pour la MFA Okta et Microsoft.
L'authentification unique (SSO) Okta prend en charge le paramètre WS-Federation wauth , qui définit le niveau d'authentification requis pour les tentatives d'authentification. Cela vous permet d'éviter d'appliquer la MFA à l'ensemble des utilisateurs et de demander une authentification supplémentaire uniquement lorsque cela est nécessaire. S'il y a une requête wauth et que l' utilisateur n'a inscrit qu'un seul authenticator, Okta invite l'utilisateur à inscrire un autre authenticator.
Avant de commencer
Vérifiez que les conditions nécessaires suivantes ont été remplies avant de poursuivre :
- Configurez une politique d'authentification au niveau de l'org. Consultez Politiques d'authentification Okta.
- Configurez une politique d'authentification à l'application pour votre instance d'application WS-Federation Office 365.
- La MFA est configurée dans votre instance Microsoft Entra ID . Voir Configurer les paramètres d'authentification multifacteur de Microsoft Entra.
Commencer la procédure
Modifier vos paramètres de fédération de domaine Office 365 pour activer la prise en charge de l'authentification multifacteur (MFA) Okta. Effectuez l'une des procédures suivantes :
Domaines fédérés manuellement
-
Dans Admin Console, accédez à .
- Ouvrez votre application Office 365 fédérée par WS.
- Cliquez sur . La page Comment configurer WS-Federation pour Office 365 s'affiche.
- Accédez à la rubrique Si votre domaine est déjà fédéré.
- Exécutez l'une des commandes PowerShell suivantes, en fonction de votre environnement :
- Domaines fédérés manuellement : vérifiez que la valeur SupportsMfa est True :
Connect-MsolService
Get-MsolDomainFederationSettings -DomainName <votreNomdeDomaine> - Pour les domaines fédérés manuellement (Microsoft Graph Module) : assurez-vous que la valeur FederatedIdpMfaBehavior est enforceMfaByFederatedIdp:
Connect-MgGraph -Scopes Directory.AccessAsUser.All
Get-MgDomainFederationConfiguration -DomainId<votreNomdeDomaine> | Sélectionnez -Property FederatedIdpMfaBehavior
- Domaines fédérés manuellement : vérifiez que la valeur SupportsMfa est True :
- Pour l'option Okta MFA from Microsoft Entra ID, sélectionnez Activer pour cette application .
- Cliquez sur Enregistrer.
Exemple de résultat : MSOnline
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : TrueExemple de résultat : Microsoft Graph
ActiveSignInUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : https://issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdpDomaines fédérés automatiquement
-
Dans Admin Console, accédez à .
- Ouvrez votre application Office 365 fédérée par WS.
- Cliquez sur l'onglet Authentification, puis sur Modifier.
- Pour l'option Okta MFA depuis Azure Active Directory, sélectionnez Activer pour cette application.
- Cliquez sur Enregistrer.
Exemple de résultat : MSOnline
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : TrueExemple de résultat : Microsoft Graph
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdpDésactiver cette fonctionnalité
-
Dans Admin Console, accédez à .
- Ouvrez votre application Office 365 fédérée par WS.
- Cliquez sur l'onglet Authentification, puis sur Modifier.
- Pour l'option Okta MFA depuis Azure AD , désactivez l'option Activer pour cette application .
- Exécutez l'une des commandes PowerShell suivantes, en fonction de votre environnement :
- Désactiver la MFA Okta pour Azure AD (MSOnline) : assurez-vous que le paramètre SupportsMfa est false pour tous les domaines qui ont été fédérés automatiquement dans Okta avec cette fonctionnalité activée :
Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false
- Désactiver MFA Okta pour Azure AD (Microsoft Graph) : assurez-vous que le paramètre FederatedIdpMfaBehavior est enforceMfaByFederatedIdp pour tous les domaines qui ont été fédérés automatiquement dans Okta avec cette fonctionnalité activée :
Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp
- Désactiver la MFA Okta pour Azure AD (MSOnline) : assurez-vous que le paramètre SupportsMfa est false pour tous les domaines qui ont été fédérés automatiquement dans Okta avec cette fonctionnalité activée :
- Cliquez sur Enregistrer.
Fonctionnement de la fonctionnalité
La MFA Okta satisfait à l'exigence de MFA d'Azure AD
Okta transmet une demande MFA de la manière décrite dans ce tableau :
| MFA au niveau de l'org Okta | MFA au niveau de l'application Okta | Authentification multifacteur (MFA) Azure AD | Résultat |
|---|---|---|---|
| Désactivé | Désactivé | Activé | Les utilisateurs rejoignent une boucle de connexion infinie. Pour éviter cela, configurez la MFA Okta de sorte qu'elle satisfasse à l'exigence de MFA d'Azure AD. |
| Activé | Désactivé | Activé | Les utilisateurs remplissent une invite de MFA dans Okta. Okta transmet la demande d'authentification multifacteur (MFA) remplie à Azure AD. Azure AD accepte la MFA Okta et n'invite pas les utilisateurs à utiliser une autre MFA. L’utilisateur est autorisé à accéder à Office 365. |
| Désactivé | Activé | Activé | |
| Activé | Activé | Activé |
Okta inscrit les utilisateurs à Windows Hello
Comme condition préalable, l'appareil doit se connecter à Azure AD directement ou via une jonction hybride. Si votre org nécessite Windows Hello Entreprise, Okta invite les utilisateurs qui ne sont pas déjà inscrits à Windows Hello à procéder à une authentification renforcée. Les utilisateurs peuvent se connecter une fois qu'ils sont inscrits à Windows Hello.
Okta aide les utilisateurs à s'inscrire de la manière suivante :
| MFA au niveau de l'org Okta | MFA au niveau de l'application Okta | Résultat |
|---|---|---|
| Désactivé | Désactivé | Les utilisateurs rejoignent une boucle de connexion infinie. Pour éviter cela, configurez la MFA Okta de sorte qu'elle satisfasse à l'exigence de MFA d'Azure AD. |
| Activé | Désactivé | Les utilisateurs procèdent à une MFA renforcée dans Okta. Une fois inscrits avec succès à Windows Hello Entreprise, les utilisateurs peuvent l'utiliser comme facteur d'authentification pour répondre à l'exigence de MFA d'Azure AD. |
| Désactivé | Activé | |
| Activé | Activé |
Rubriques liées
Options des règles d'authentification d'Office 365
Initiation à l'approvisionnement et à l'annulation de l'approvisionnement Office 365
Planifier un déploiement Windows Hello for Business (documentation Microsoft)