Configurer et déployer des politiques Desktop MFA pour macOS
Configurez le comportement de Desktop MFA et déployez les profils gérés sur vos ordinateurs macOS.
Vous pouvez utiliser n‘importe quelle solution de gestion des appareils (MDM) qui prend en charge le déploiement de packages d‘installation et de profils de configuration macOS . Ces instructions supposent l‘utilisation de Jamf Pro pour la gestion des appareils.
Lorsque vous déployez les profils Desktop MFA MDM, assurez-vous qu‘ils ont été envoyés avec succès vers les appareils avant de déployer le package macOS Okta Verify . Si le profil MDM n‘existe pas sur l‘appareil de l‘utilisateur lorsque le programme d‘installation du package s‘exécute, Desktop MFA n‘est pas installée.
Tâches
- Charger le package Okta Verify pour macOS
- Configurer l‘installation de Desktop MFA pour macOS
- Ajouter des politiques Desktop MFA
Charger le package Okta Verify pour macOS
-
Prenez le package Okta Verify pour macOS que vous avez téléchargé depuis Okta Admin Console et charger le sur votre solution MDM.
-
Dans Jamf Pro, allez à .
-
Cliquez sur + Nouveau pour configurer les détails du package.
Configurer l‘installation de Desktop MFA pour macOS
- Dans Jamf Pro, cliquez sur et cliquez sur + Nouveau.
- Saisissez un Nom d‘affichage et sélectionnez Connexion pour la politique Déclenchement.
- Cliquez sur Packages, et cliquez ensuite sur Configurer.
- Localisez le package Okta Verify que vous avez chargé lors de l‘étape précédente et cliquez sur Ajouter à côté du package.
- Configurez le point de distribution.
- À l‘aide du menu déroulant, sélectionnez Installer en tant qu‘Action.
-
Cliquez sur Enregistrer.
Assurez-vous que le profil MDM a été déployé avec succès sur les appareils des utilisateur finaux avant de déployer le package macOS Okta Verify .
Ajouter des politiques Desktop MFA
-
Dans Jamf Pro, cliquez sur Configuration de profils, puis cliquez sur + Nouveau.
-
Saisissez un nom pour le profil.
-
Cliquez sur Application et Paramètres personnalisés pour configurer la charge utile. Cliquez sur Charger.
-
Cliquez sur + Ajouter
-
Saisissez com.okta.deviceaccess.servicedaemon en tant que Domaine de préférence.
-
Ajoutez les valeurs correspondant à votre organisation dans un fichier plist . Voici un exemple de fichier plist :
Copier<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist [] version <a id="x6"> ="1.0" >
<dict>
<key> DMFAClientID </key>
<string> add-your-client- ID-here </string>
DMFAClientSecret </key>
add-your-client-secret-here </string>
DMFAOrgURL </key>
https://add-your-org- URL-with-prefix-here </string>
AccountLinkingMFAFactor </key>
OV_Push </string>
AdminEmail </key>
administrateur@votreorganisation.com </string>
AdminPhone </key>
111-222-3333 </string>
AllowedFactors </key>
<array>
* </string>
</array>
DeviceRecoveryPINDuration </key>
<real> 60 </real>
DeviceRecoveryValidityInDays </key>
90 </real>
LoginPeriodWithoutEnrolledFactor </key>
48 </real>
LoginPeriodWithOfflineFactor </key>
168 </real>
MFANotRequiredList </key>
<array/>
MFARequiredList </key>
* </string>
</array>
OfflineLoginAllowed </key>
<true/>
</dict>
</plist>
Paramètres de la politique
Utilisez le tableau suivant pour configurer les paramètres appropriés pour vos politiques Desktop MFA.
|
Paramètre |
Description |
|---|---|
|
Nom : AccountLinkingMFAFactor Type : String Défault : OV_Push |
La méthode de vérification que vous souhaitez utiliser pour associer un Compte Okta au Compte macOS local. Valeurs possibles pour ce paramètre :
|
|
Name:AdminEmail Type : String Par défaut : Vide |
Saisissez une adresse e-mail pour que les utilisateurs finaux puissent obtenir de l‘aide. Par défaut, cette valeur est vide. |
|
Name: AdminPhone Type : String Par défaut : vide |
Saisissez un numéro de téléphone pour les utilisateurs finaux afin d‘obtenir de l‘aide. Par défaut, cette valeur est vide. |
|
Nom : AllowedFactors Type de données : tableau de chaînes |
Liste des facteurs avec lesquels les utilisateurs peuvent s‘authentifier. Les facteurs autorisés apparaissent dans l‘ordre dans lequel ils sont répertoriés dans vos configurations. Valeurs possibles pour ce paramètre :
Assurez-vous que les facteurs sont correctement écrits. |
|
Nom : DeviceRecoveryPINDuration Type : Real Par défaut : 60 |
Période de temps valide pour un code PIN de récupération d‘appareil après l‘activation. La valeur est en minutes. La valeur maximale est 7200 (cinq jours). Consultez Activer la récupération de Desktop MFA pour macOS. |
|
Nom : DeviceRecoveryValidityInDays Type : Real Par défaut : 90 |
Durée de la fenêtre de récupération de l‘appareil pour Desktop MFA. Pour réussir à s‘authentifier avec un code PIN de récupération, l‘utilisateur doit connexion à l‘appareil avec Desktop MFA en ligne au moins une fois pendant la période spécifiée. Par exemple, cette valeur est définie sur 120. Un utilisateur n‘a pas été en ligne et ne s‘est pas connecté avec Desktop MFA depuis plus de 120 jours. Cela signifie qu‘ils ne peuvent pas utiliser de code PIN de récupération même si le code PIN est toujours valide. L‘ utilisateur est verrouillé et vous ne pouvez pas générer de code PIN de récupération. Lorsque l‘appareil revient en ligne, vous pouvez générer un code PIN de récupération avec lequel l‘utilisateur pourra se connecter. La valeur est en jours. |
|
Nom : LoginPeriodWithoutEnrolledFactor Type : Real Par défaut : 48 |
Spécifie une période de grâce lorsqu‘un utilisateur peut connexion avec uniquement un mot de passe et sans inscrire aucun facteur. Après l‘expiration de cette période de grâce, l‘utilisateur doit lier son Compte et inscrire un facteur authentification hors ligne pour accéder à l‘ordinateur. La valeur est en heures. |
|
Nom : LoginPeriodWithOfflineFactor Type : Real Par défaut : 168 |
Si cette valeur est définie sur 0, un utilisateur ne peut pas connexion avec des facteurs hors ligne. Si la valeur de LoginPeriodWithoutEnrolledFactor est supérieure à 0, les utilisateurs doivent alors se connecter avec un facteur en ligne toutes les X heures. La valeur est en heures. |
|
Nom : MFANotRequiredList Type de données : tableau de chaînes Par défaut : vide |
Les utilisateurs répertoriés dans ce tableau ne sont pas soumis à Desktop MFA. Cette liste est prioritaire par rapport au tableau MFARequiredList . Les Comptes répertoriés ici sont sensibles à la casse. |
|
Nom : MFARequiredList Type de données : tableau de chaînes Par défaut : * |
Si un utilisateur figure sur cette liste et que Desktop MFA est installée, l‘utilisateur est invité à utiliser MFA. Cependant, certains utilisateurs avec Desktop MFA installée peuvent ne pas être tenus d‘utiliser MFA. Si un utilisateur ne figure pas dans cette liste et que Desktop MFA est installée, l‘utilisateur est uniquement invité à saisir un mot de passe. La valeur par défaut est *, ce qui signifie que MFA s‘applique à tous les utilisateurs. Les Comptes répertoriés ici sont sensibles à la casse. Par exemple, si l‘utilisateur local john-smith est nommé dans le tableau MFARequiredList, il doit utiliser MFA. |
|
Nom : OfflineLoginAllowed Type : Booléen Par défault : true |
Lorsque cette option est définie sur true, les facteurs hors ligne sont présentés à l‘utilisateur. Cela permet à l‘utilisateur d‘inscrire un facteur d‘authentification hors ligne. Lorsque cette option est définie sur false, les facteurs hors ligne ne sont pas affichés et il n‘y a pas d‘application de facteurs hors ligne. Si vous définissez cette politique sur true et que la période LoginPeriodWithoutEnrolledFactor a expiré, les utilisateurs sont obligés d‘inscrire un facteur hors ligne. |
Étapes suivantes
Appliquer la vérification par nombre pour Desktop MFA pour macOS
Configurer Desktop MFA pour macOS afin d‘utiliser les clés FIDO2