Déconnecter les utilisateurs des appareils

Version d‘accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Utilisez la fonctionnalité Déconnexion de l‘appareil pour déconnecter les utilisateurs de leurs appareils.

Cette fonctionnalité est utile dans les situations où les informations d‘identification de l‘utilisateur sont compromises ou en présence de menaces basées sur l‘identité, comme le piratage de session. Vous pouvez également utiliser cette fonctionnalité pour gérer les modifications du cycle de vie des employés, telles que les congés ou les départs. Si un utilisateur est désactivé ou suspendu, Okta déconnecte automatiquement l‘utilisateur de tous les appareils.

Les appareils effectuent une interrogation optimale toutes les 15 minutes pour recevoir la commande de déconnexion d‘Okta. Cette action nécessite une connexion active entre l‘appareil et votre organisation Okta.

Avant de commencer

  • Déployez les certifications d‘accès aux appareils sur les appareils des utilisateur finaux.

  • Les appareils des utilisateur finaux sont protégés par Desktop MFA.

    La Déconnexion de l‘appareil est uniquement prise en charge pour les appareils macOS .

  • Les appareils des utilisateur finaux ont Okta Verify pour macOS version 9.46.1 ou ultérieure.

  • Activez Identity Threat Protection with Okta AI dans votre organisation pour utiliser Universal Logout avec ldentity Threat Protection.

  • Pour les rôles administrateur standard, seuls les super administrateurs peuvent déconnecter les utilisateurs de leurs appareils.

  • Pour les rôles administrateur personnalisés, vous devez activer les autorisations de Déconnexion de l‘appareil pour le rôle administrateur :

    1. Dans l'Admin Console, allez à ParamètresFonctionnalités.

    2. Activez les fonctionnalités suivantes :

      • Activer les rôles administrateur personnalisés pour les autorisations Okta Device Access

      • Activer les rôles administrateur personnalisés pour les autorisations d‘appareils

    3. Lorsque vous créez un rôle, accordez les deux autorisations suivantes :

      • Déconnecter un utilisateur des appareils sous le groupe d‘autorisation Utilisateur

      • Déconnecter des utilisateurs des appareils sous le groupe d‘autorisation Appareil

Déconnecter un utilisateur de tous les appareils

Utilisez la procédure suivante pour déconnecter manuellement un seul utilisateur de tous ses appareils enregistrés. Cette action est gérée par le biais du profil Universal Directory de l‘utilisateur.

  1. Dans l'Admin Console, allez à RépertoirePersonnes.

  2. Recherchez et sélectionnez le nom ou l‘adresse e-mail d‘un utilisateur pour ouvrir son profil.

  3. Facultatif. Utilisez le menu déroulant Statut afin de filtrer les résultats par statut utilisateur.

  4. Cliquez sur le nom de l‘utilisateur pour ouvrir son profil.

  5. Sur la page de profil, sélectionnez Plus d‘actions, puis sélectionnez Déconnexion de l‘appareil.

  6. Cliquez sur Déconnecter tous les appareils dans l‘invite de confirmation.

Déconnecter un utilisateur de ses appareils avec Universal Logout

Configurez l‘action de déconnexion pour les appareils dans l‘application Desktop MFA.

  1. Dans l'Admin Console, allez à ApplicationsApplications.

  2. Sélectionnez l‘application Desktop MFA.

  3. Sélectionnez l‘onglet Authentification.

  4. Dans la section Déconnexion, cliquez sur Modifier.

  5. Sélectionnez Un système Okta ou un administrateur initie la déconnexion.

  6. Cliquez sur Enregistrer.

Universal Logout avec Identity Threat Protection

La fonctionnalité Universal Logout dans Identity Threat Protection with Okta AI (ITP) peut automatiquement déconnecter un utilisateur de tous ses appareils lorsqu‘une Politique de risques pour l‘entité déclenche une condition configurée. Voir Détection des risques.

  1. Assurez-vous qu‘ITP est activé dans votre organisation. Consultez Identity Threat Protection with Okta AI ou contactez l‘assistance Okta.

  2. Lorsque vous configurez les conditions de la règle pour votre Politique de risques pour l‘entité, sélectionnez Déconnecter et révoquer les jetons comme action de règle.

  3. Cliquez sur Enregistrer pour confirmer la règle de politique.

Universal Logout avec effacement des sessions utilisateur

Vous pouvez également déconnecter un utilisateur de tous ses appareils en effaçant sa session sur sa page Profil .

  1. Dans l'Admin Console, allez à RépertoirePersonnes.

  2. Recherchez l‘ utilisateur, puis cliquez sur le nom de l‘utilisateur pour ouvrir son profil Universal Directory .

  3. Dans le menu déroulant Plus d‘actions, sélectionnez Effacer les sessions utilisateur.

  4. Dans la boîte de dialogue Effacer les sessions et révoquer les jetons, sélectionnez Inclure également les applications activées par déconnexion et les jetons API Okta.

  5. Cliquez sur Effacer et révoquer pour effacer la session de l‘utilisateur.

Voir les événements du journal système Déconnexion de l‘appareil

Pour afficher les événements du journal système dans l'Admin Console, allez à Rapportsjournal système et recherchez le nom de l‘événement.

Le journal système enregistre les événements suivants pour les opération de Déconnexion de l‘appareil :

  • device.desktop_mfa.device_logout.started : ajouté lorsque Okta ou un administrateur invoque une opération de Déconnexion de l‘appareil pour un utilisateur.

  • device.desktop_mfa.device_logout.completed : ajouté lorsque l‘appareil termine l‘opération de déconnexion de utilisateur et envoie le résultat à Okta.

  • device.desktop_mfa.configuration.update : ajouté lorsqu‘un administrateur modifie la configuration Universal Logout pour une instance d‘application Desktop MFA. L'entrée comprend l'ID client de l'instance d‘application Desktop MFA.

Consultez Types d‘événements dans la documentation API Okta.

Vous pouvez corréler un événement device.desktop_mfa.device_logout.started avec l‘événement device.desktop_mfa.device_logout.completed à l‘aide de la valeur TraceID. La valeur TraceID se trouve dans le System DebugContext DebugData enregistré pour l‘événement.

Si Universal Logout a déclenché l‘opération de déconnexion de l‘appareil, vous pouvez corréler l‘événement avec un user.authentification.universal_logout utilisant également le TraceID.

Rubriques connexes

Universal Logout

Applications et appareils pris en charge par Universal Logout