Configurer la SSO liée à l'appareil pour Windows

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

La fonction Authentification unique liée à l'appareil protège les utilisateurs contre le piratage de session et offre une expérience de connexion simplifiée. Les utilisateurs peuvent accéder aux apps protégées par Okta avec moins d’invites d’authentification.

Avant de commencer

  • Configurez Desktop MFA pour votre org. Consulter la section Desktop MFA pour Windows.
  • Les appareils exécutent Windows 10 (version 1709 ou ultérieure) ou Windows 11 et disposent de matériel Trusted Platform Module (TPM).
  • Les appareils sont joints à Active Directory ou Microsoft Entra ID.
  • Les appareils disposent d'Okta Verify pour Windows 6.6.2 ou version ultérieure, installé et en cours d'exécution.
  • À l'aide du protocole d'enrôlement par simple certificat (SCEP), installez un certificat d'accès à l'appareil sur l'appareil. Consultez Certificats d'accès à l'appareil.
  • Les utilisateurs sont enrôlés à Okta FastPass.

Déployer la SSO liée à l'appareil sur les appareils des utilisateurs

Activez les clés de registre suivantes uniquement après avoir mis à jour vos appareils vers Okta Verify pour Windows 6.6.2 ou version ultérieure.

L'ajout de ces clés de registre aux appareils exécutant Okta Verify 6.5.1 ou une version antérieure peut bloquer l'accès des utilisateurs à leurs appareils Windows.

Utilisez votre MDM (par exemple Microsoft Intune ou Workspace ONE) pour créer et déployer les clés de registre suivantes :

Chemin

Nom

Type

Valeur

Description

HKLM\SOFTWARE\Policies\Okta\Okta Device Access

OktaJoinEnabled

REG_DWORD

1

Désigne l'appareil comme étant joint à Okta.

HKLM\SOFTWARE\Okta\Okta Device Access

UseDirectAuth

REG_DWORD

1

Activez l’authentification directe pour que l'appareil puisse s'authentifier directement avec Okta pendant le flux de connexion Windows. Ceci est nécessaire pour la SSO liée à l'appareil sur Windows.

Configurer des règles de politique d'authentification

Vous n'avez pas à créer de politiques d’authentification pour la SSO liée à l'appareil. Cependant, si vous ajoutez ou modifiez vos règles existantes pour inclure la SSO liée à l'appareil, vous pouvez contrôler la façon dont les appareils joints à Okta interagissent avec vos apps.

Vous pouvez, par exemple, accorder une durée plus longue entre les requêtes d’authentification sur les appareils joints à Okta, car ces appareils liés à la cryptographie ont une plus grande garantie de sécurité de session.

Pour appliquer la SSO liée à l'appareil dans vos politiques d’authentification aux applications, suivez cette procédure.

  1. Dans l'Admin Console, allez à SécuritéPolitiques d'authentification.

  2. Ouvrez les politiques de connexion aux applications.

  3. Si vous disposez d’une politique existante pour les apps que vous souhaitez activer avec la SSO liée à l'appareil, cliquez sur Modifier dans le menu Actions de cette politique. Sinon, cliquez sur Créer une politique.

  4. Créez une règle pour les appareils joints à Okta. Selon cette règle, Okta autorise l'utilisation de la session de l'appareil pour l’authentification de ressources :

    1. Cliquez sur Ajouter une règle.

    2. Donnez à la règle un nom approprié, par exemple, par exemple, Appareils joints à Okta.

    3. Définissez l’état de l'appareil sur Enregistré.

    4. Dans le champ d’expression personnalisée, saisissez l’instruction Okta Expression Language suivante : device.provider.deviceAccess.joined == true.

      Cela permet de cibler tous les appareils joints à Okta et éligibles à la SSO liée à l'appareil.

    5. Définissez l'invite d'authentification sur l’une des options suivantes :

      • Lorsque l'utilisateur n'a pas accédé depuis un certain temps à une ressource protégée par sa session globale Okta active. Sélectionnez cette option pour permettre aux utilisateurs d'accéder aux apps en mode silencieux pendant la période spécifiée.

      • Lorsqu’aucune session globale Okta n’existe. Sélectionnez cette option pour permettre aux utilisateurs d’accéder aux apps de manière silencieuse pendant toute la session d’appareil.

Vérifier l'état de l'appareil

Lors de l’enrôlement Okta FastPass, l’appareil est enregistré en tant qu’objet unique dans Okta Universal Directory.

  1. Dans l'Admin Console, accédez à Répertoire Appareils.

  2. Vérifiez le statut de l'appareil.

    • Si vous suspendez ou désactivez un appareil, les utilisateurs ne peuvent pas s'authentifier avec la SSO liée à l'appareil. Cependant, après avoir réactivé l’appareil (à l’aide de Activé ou Annuler la suspension), la SSO liée à l'appareil peut de nouveau être utilisé.

    • Si vous supprimez un appareil désactivé, vous devez déployer à nouveau les certificats d’accès aux appareils. Les utilisateurs doivent s'enrôler à Okta FastPass avant de pouvoir à nouveau s'authentifier avec la SSO liée à l'appareil.

  3. Vérifiez que le statut de l'appareil indique Actif.

Activez Device-Bound SSO pour les apps de la plateforme Windows universelle

Lorsque les utilisateurs accèdent aux apps de la plateforme Windows universelle (UWP) et Office 365 de Microsoft, vous devez exécuter un script pour activer Device-Bound SSO pour ces apps.

Par défaut, les apps UWP désactivent l'isolation du réseau par défaut les connexions en boucle pour la communication entre les processus (IPC) afin de maintenir l'isolation du réseau. Cependant, Okta a besoin d'une connexion en boucle pour les communications entre l'app d'authentification et Okta Verify afin de maintenir la session liée au matériel.

Pour garantir que Okta Verify fonctionne comme prévu avec les applications UWP, vous devez fournir une exception de bouclage par le biais d'un script PowerShell. Voir Activer l'authentification résistante à l'hameçonnage pour les apps de la plateforme Windows universelle.