Utilisez MFA Okta pour Microsoft Entra ID (anciennement Azure Active Directory)

Vous pouvez utiliser l'authentification multifacteur (MFA) pour répondre aux exigences de MFA de Microsoft Entra ID pour votre instance d'application WS-Federation Office 365. Utilisez la MFA Okta dans les cas suivants :

  • Vous souhaitez qu'Okta gère les exigences de MFA dans le cadre d'une invite d'authentification multifacteur déclenchée par l'accès conditionnel de Microsoft Entra ID pour votre domaine fédéré avec Okta.
  • Vous souhaitez inscrire les utilisateurs finaux à Windows Hello for Business. Les utilisateurs disposent ainsi d'une solution unique pour la MFA Okta et Microsoft.

L'authentification unique (SSO) Okta prend en charge le paramètre WS-Federation wauth , qui définit le niveau d'authentification requis pour les tentatives d'authentification. Cela vous permet d'éviter d'appliquer la MFA à l'ensemble des utilisateurs et de demander une authentification supplémentaire uniquement lorsque cela est nécessaire. S'il y a une requête wauth et que l' utilisateur n'a inscrit qu'un seul authenticator, Okta invite l'utilisateur à inscrire un autre authenticator.

Prise en charge temporaire de la MFA au niveau de l'organisation

Vous pouvez utiliser temporairement la MFA de niveau org dans les situations suivantes :

  • Vous effectuez une migration de votre org depuis Classic Engine vers Identity Engine 
  • La politique de session globale requiert la MFA.

Vous devez configurer une politique de connexion aux app pour Office 365 pour appliquer la MFA dans cette procédure.

Avant de commencer

Vérifiez que les conditions nécessaires suivantes ont été remplies avant de poursuivre :

  1. Vous utilisez une org Identity Engine.
  2. Une application Office 365 est configurée pour votre org Okta. Voir Microsoft Office 365.
  3. Plusieurs authenticators sont configurés pour votre org Okta. Voir authentification multifacteur.
  4. Les utilisateurs sont inscrits à plusieurs authenticators. Voir Politiques d'inscription des authenticators
  5. La MFA est configurée dans votre instance Microsoft Entra ID . Voir Configurer les paramètres d'authentification multifacteur de Microsoft Entra.

Commencer la procédure

Modifier vos paramètres de fédération de domaine Office 365 pour activer la prise en charge de l'authentification multifacteur (MFA) Okta. Effectuez l'une des procédures suivantes :

Domaines fédérés manuellement

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Ouvrez votre application Office 365 fédérée par WS.
  3. Cliquez sur Authentification Méthodes d'authentificationWS-FederationVoir les instructions de configuration. La page Comment configurer WS-Federation pour Office 365 s'affiche.
  4. Accédez à la rubrique Si votre domaine est déjà fédéré.
  5. Exécutez l'une des commandes PowerShell suivantes, en fonction de votre environnement :
    • Domaines fédérés manuellement : vérifiez que la valeur SupportsMfa est True :
      Connect-MsolService
      Get-MsolDomainFederationSettings -DomainName <votreNomdeDomaine>
    • Pour les domaines fédérés manuellement (Microsoft Graph Module) : assurez-vous que la valeur FederatedIdpMfaBehavior est enforceMfaByFederatedIdp:
      Connect-MgGraph -Scopes Directory.AccessAsUser.All
      Get-MgDomainFederationConfiguration -DomainId<votreNomdeDomaine> | Sélectionnez -Property FederatedIdpMfaBehavior
  6. Pour l'option Okta MFA from Microsoft Entra ID, sélectionnez Activer pour cette application .
  7. Cliquez sur Enregistrer.

Exemple de résultat : MSOnline

Copier 
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True

Exemple de résultat : Microsoft Graph

Copier 
ActiveSignInUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : https://issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdp

Domaines fédérés automatiquement

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Ouvrez votre application Office 365 fédérée par WS.
  3. Cliquez sur AuthentificationModifier.
  4. Pour l'option Okta MFA depuis Azure Active Directory, sélectionnez Activer pour cette application.
  5. Cliquez sur Enregistrer.

Exemple de résultat : MSOnline

Copier 
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True

Exemple de résultat : Microsoft Graph

Copier 
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdp

Désactiver cette fonctionnalité

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Ouvrez votre application Office 365 fédérée par WS.
  3. Cliquez sur AuthentificationModifier.
  4. Pour l'option Okta MFA depuis Azure AD , désactivez l'option Activer pour cette application .
  5. Exécutez l'une des commandes PowerShell suivantes, en fonction de votre environnement :
    • Désactiver la MFA Okta pour Azure AD (MSOnline) : assurez-vous que le paramètre SupportsMfa est false pour tous les domaines qui ont été fédérés automatiquement dans Okta avec cette fonctionnalité activée :

      Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false

    • Désactiver MFA Okta pour Azure AD (Microsoft Graph) : assurez-vous que le paramètre FederatedIdpMfaBehavior est enforceMfaByFederatedIdp pour tous les domaines qui ont été fédérés automatiquement dans Okta avec cette fonctionnalité activée :

      Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp

  6. Cliquez sur Enregistrer.

Rubriques liées

Options des règles d'authentification d'Office 365

Planifier un déploiement Windows Hello for Business (documentation Microsoft)