Configurer et déployer des politiques Desktop MFA pour macOS

Configurez le comportement de Desktop MFA et déployez les profils gérés sur vos ordinateurs macOS.

Vous pouvez utiliser n‘importe quelle solution de gestion des appareils (MDM) qui prend en charge le déploiement de packages d‘installation et de profils de configuration macOS . Ces instructions supposent l‘utilisation de Jamf Pro pour la gestion des appareils.

Lorsque vous déployez les profils Desktop MFA MDM, assurez-vous qu‘ils ont été envoyés avec succès vers les appareils avant de déployer le package macOS Okta Verify . Si le profil MDM n‘existe pas sur l‘appareil de l‘utilisateur lorsque le programme d‘installation du package s‘exécute, Desktop MFA n‘est pas installée.

Tâches

Charger le package Okta Verify pour macOS
Configurer l‘installation de Desktop MFA pour macOS
Ajouter des politiques Desktop MFA

Charger le package Okta Verify pour macOS

Prenez le package Okta Verify pour macOS que vous avez téléchargé depuis Okta Admin Console et charger le sur votre solution MDM.
Dans Jamf Pro, allez à Paramètres > Gestion des ordinateurs > Packages.
Cliquez sur + Nouveau pour configurer les détails du package.

Configurer l‘installation de Desktop MFA pour macOS

Dans Jamf Pro, cliquez sur Ordinateurs > Politiques et cliquez sur + Nouveau.
Saisissez un Nom d‘affichage et sélectionnez Connexion pour la politique Déclenchement.
Cliquez sur Packages, et cliquez ensuite sur Configurer.
Localisez le package Okta Verify que vous avez chargé lors de l‘étape précédente et cliquez sur Ajouter à côté du package.
Configurez le point de distribution.
À l‘aide du menu déroulant, sélectionnez Installer en tant qu‘Action.
Cliquez sur Enregistrer.

Assurez-vous que le profil MDM a été déployé avec succès sur les appareils des utilisateur finaux avant de déployer le package macOS Okta Verify .

Ajouter des politiques Desktop MFA

Dans Jamf Pro, cliquez sur Configuration de profils, puis cliquez sur + Nouveau.
Saisissez un nom pour le profil.
Cliquez sur Application et Paramètres personnalisés pour configurer la charge utile. Cliquez sur Charger.
Cliquez sur + Ajouter
Saisissez com.okta.deviceaccess.servicedaemon en tant que Domaine de préférence.

Ajoutez les valeurs correspondant à votre organisation dans un fichier plist . Voici un exemple de fichier plist :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>DMFAClientID</key>
    <string>add-your-client-ID-here</string>
    <key>DMFAClientSecret</key>
    <string>add-your-client-secret-here</string>
    <key>DMFAOrgURL</key>
    <string>https://add-your-org-URL-with-prefix-here</string>
    <key>AccountLinkingMFAFactor</key>
    <string>OV_Push</string>
    <key>AdminEmail</key>
    <string>admin@yourorg.com</string>
    <key>AdminPhone</key>
    <string>111-222-3333</string>
    <key>AllowedFactors</key>
    <array>
        <string>*</string>
    </array>
    <key>DeviceRecoveryPINDuration</key>
    <real>60</real>
    <key>DeviceRecoveryValidityInDays</key>
    <real>90</real>
    <key>LoginPeriodWithoutEnrolledFactor</key>
    <real>48</real>
    <key>LoginPeriodWithOfflineFactor</key>
    <real>168</real>
    <key>MFANotRequiredList</key>
    <array/>
    <key>MFARequiredList</key>
    <array>
        <string>*</string>
    </array>
    <key>OfflineLoginAllowed</key>
    <true/>
</dict>
</plist>

Paramètres de la politique

Utilisez le tableau suivant pour configurer les paramètres appropriés pour vos politiques Desktop MFA.

Paramètre	Description
Nom : `AccountLinkingMFAFactor` Type : `String` Par défaut : `OV_Push`	La méthode de vérification que vous souhaitez utiliser pour associer un Compte Okta au Compte macOS local. Valeurs possibles pour ce paramètre : `OV_Push`: notification push Okta Verify. `OV_TOTP` : mot de passe unique basé sur le temps Okta Verify. `FIDO2_USB_key`: utilise un authentificateur FIDO2.
Nom :`AdminEmail` Type : `String` Par défaut : Vide	Saisissez une adresse e-mail pour que les utilisateurs finaux puissent obtenir de l‘aide. Par défaut, cette valeur est vide.
Nom : `AdminPhone` Type : `String` Par défaut : Vide	Saisissez un numéro de téléphone pour les utilisateurs finaux afin d‘obtenir de l‘aide. Par défaut, cette valeur est vide.
Nom : `AllowedFactors` Type : `String array`	Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier. Les facteurs autorisés apparaissent dans l‘ordre dans lequel ils sont répertoriés dans vos configurations. Valeurs possibles pour ce paramètre : `*`tous les facteurs sont autorisés. `OV_Push` `OV_TOTP` `Offline_TOTP` `FIDO2_USB_key` Si vous ne spécifiez aucun facteur, alors tous les facteurs sont autorisés. Assurez-vous que les facteurs sont bien écrits.
Nom : `DeviceRecoveryPINDuration` Type : `Real` Par défaut : `60`	Période de temps valide pour un code PIN de récupération d'appareil après activation. La valeur est exprimée en minutes. La valeur maximale est `7200` (cinq jours). Voir Activer la récupération Desktop MFA pour macOS.
Nom : `DeviceRecoveryValidityInDays` Type : `Real` Par défaut : `90`	Durée de la fenêtre de récupération de l‘appareil pour Desktop MFA. Pour réussir à s‘authentifier avec un code PIN de récupération, l‘utilisateur doit connexion à l‘appareil avec Desktop MFA en ligne au moins une fois pendant la période spécifiée. Par exemple, cette valeur est définie sur `120`. Un utilisateur n‘a pas été en ligne et ne s‘est pas connecté avec Desktop MFA depuis plus de 120 jours. Cela signifie qu‘ils ne peuvent pas utiliser de code PIN de récupération même si le code PIN est toujours valide. L‘ utilisateur est verrouillé et vous ne pouvez pas générer de code PIN de récupération. Lorsque l‘appareil revient en ligne, vous pouvez générer un code PIN de récupération avec lequel l‘utilisateur pourra se connecter. La valeur est exprimée en jours.
Nom : `LoginPeriodWithoutEnrolledFactor` Type : `Real` Par défaut : `48`	Spécifie une période de grâce lorsqu‘un utilisateur peut connexion avec uniquement un mot de passe et sans inscrire aucun facteur. Après l‘expiration de cette période de grâce, l‘utilisateur doit lier son Compte et inscrire un facteur authentification hors ligne pour accéder à l‘ordinateur. La valeur est en heures.
Nom : `LoginPeriodWithOfflineFactor` Type : `Real` Par défaut : `168`	Si cette valeur est définie sur `0`, un utilisateur ne peut pas connexion avec des facteurs hors ligne. Si la valeur de `LoginPeriodWithoutEnrolledFactor` est supérieure à `0`, les utilisateurs doivent alors se connecter avec un facteur en ligne toutes les `X` heures. La valeur est en heures.
Nom : `MFANotRequiredList` Type : `String array` Par défaut : Vide	Les utilisateurs répertoriés dans ce tableau ne sont pas soumis à Desktop MFA. Cette liste est prioritaire par rapport au tableau `MFARequiredList` . Les Comptes répertoriés ici sont sensibles à la casse.
Nom : `MFARequiredList` Type : `String array` Par défaut : `*`	Si un utilisateur figure sur cette liste et que Desktop MFA est installée, l‘utilisateur est invité à utiliser MFA. Cependant, certains utilisateurs avec Desktop MFA installée peuvent ne pas être tenus d‘utiliser MFA. Si un utilisateur ne figure pas dans cette liste et que Desktop MFA est installée, l‘utilisateur est uniquement invité à saisir un mot de passe. La valeur par défaut est `*`, ce qui signifie que MFA s‘applique à tous les utilisateurs. Les Comptes répertoriés ici sont sensibles à la casse. Par exemple, si l‘utilisateur local `john-smith` est nommé dans le tableau `MFARequiredList`, il doit utiliser MFA.
Nom : `OfflineLoginAllowed` Type : `Boolean` Par défaut : `true`	Lorsque cette option est définie sur `true`, les facteurs hors ligne sont présentés à l‘utilisateur. Cela permet à l‘utilisateur d‘inscrire un facteur d‘authentification hors ligne. Lorsque cette option est définie sur `false`, les facteurs hors ligne ne sont pas affichés et il n‘y a pas d‘application de facteurs hors ligne. Si vous définissez cette politique sur `true` et que la période `LoginPeriodWithoutEnrolledFactor` a expiré, les utilisateurs sont obligés d‘enrôler un facteur hors ligne.

Paramètre

Description

Nom : AccountLinkingMFAFactor

Type : String

Par défaut : OV_Push

La méthode de vérification que vous souhaitez utiliser pour associer un Compte Okta au Compte macOS local.

Valeurs possibles pour ce paramètre :

OV_Push: notification push Okta Verify.
OV_TOTP : mot de passe unique basé sur le temps Okta Verify.
FIDO2_USB_key: utilise un authentificateur FIDO2.

Nom :AdminEmail

Type : String

Par défaut : Vide

Saisissez une adresse e-mail pour que les utilisateurs finaux puissent obtenir de l‘aide.

Par défaut, cette valeur est vide.

Nom : AdminPhone

Type : String

Par défaut : Vide

Saisissez un numéro de téléphone pour les utilisateurs finaux afin d‘obtenir de l‘aide.

Par défaut, cette valeur est vide.

Nom : AllowedFactors

Type : String array

Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier.

Les facteurs autorisés apparaissent dans l‘ordre dans lequel ils sont répertoriés dans vos configurations.

Valeurs possibles pour ce paramètre :

*tous les facteurs sont autorisés.
OV_Push
OV_TOTP
Offline_TOTP
FIDO2_USB_key
Si vous ne spécifiez aucun facteur, alors tous les facteurs sont autorisés.

Assurez-vous que les facteurs sont bien écrits.

Nom : DeviceRecoveryPINDuration

Type : Real

Par défaut : 60

Période de temps valide pour un code PIN de récupération d'appareil après activation.

La valeur est exprimée en minutes. La valeur maximale est 7200 (cinq jours).

Voir Activer la récupération Desktop MFA pour macOS.

Nom : DeviceRecoveryValidityInDays

Type : Real

Par défaut : 90

Durée de la fenêtre de récupération de l‘appareil pour Desktop MFA.

Pour réussir à s‘authentifier avec un code PIN de récupération, l‘utilisateur doit connexion à l‘appareil avec Desktop MFA en ligne au moins une fois pendant la période spécifiée.

Par exemple, cette valeur est définie sur 120. Un utilisateur n‘a pas été en ligne et ne s‘est pas connecté avec Desktop MFA depuis plus de 120 jours. Cela signifie qu‘ils ne peuvent pas utiliser de code PIN de récupération même si le code PIN est toujours valide. L‘ utilisateur est verrouillé et vous ne pouvez pas générer de code PIN de récupération. Lorsque l‘appareil revient en ligne, vous pouvez générer un code PIN de récupération avec lequel l‘utilisateur pourra se connecter.

La valeur est exprimée en jours.

Nom : LoginPeriodWithoutEnrolledFactor

Type : Real

Par défaut : 48

Spécifie une période de grâce lorsqu‘un utilisateur peut connexion avec uniquement un mot de passe et sans inscrire aucun facteur.

Après l‘expiration de cette période de grâce, l‘utilisateur doit lier son Compte et inscrire un facteur authentification hors ligne pour accéder à l‘ordinateur.

La valeur est en heures.

Nom : LoginPeriodWithOfflineFactor

Type : Real

Par défaut : 168

Si cette valeur est définie sur 0, un utilisateur ne peut pas connexion avec des facteurs hors ligne.

Si la valeur de LoginPeriodWithoutEnrolledFactor est supérieure à 0, les utilisateurs doivent alors se connecter avec un facteur en ligne toutes les X heures.

La valeur est en heures.

Nom : MFANotRequiredList

Type : String array

Par défaut : Vide

Les utilisateurs répertoriés dans ce tableau ne sont pas soumis à Desktop MFA.

Cette liste est prioritaire par rapport au tableau MFARequiredList . Les Comptes répertoriés ici sont sensibles à la casse.

Nom : MFARequiredList

Type : String array

Par défaut : *

Si un utilisateur figure sur cette liste et que Desktop MFA est installée, l‘utilisateur est invité à utiliser MFA.

Cependant, certains utilisateurs avec Desktop MFA installée peuvent ne pas être tenus d‘utiliser MFA. Si un utilisateur ne figure pas dans cette liste et que Desktop MFA est installée, l‘utilisateur est uniquement invité à saisir un mot de passe.

La valeur par défaut est *, ce qui signifie que MFA s‘applique à tous les utilisateurs.

Les Comptes répertoriés ici sont sensibles à la casse.

Par exemple, si l‘utilisateur local john-smith est nommé dans le tableau MFARequiredList, il doit utiliser MFA.

Nom : OfflineLoginAllowed

Type : Boolean

Par défaut : true

Lorsque cette option est définie sur true, les facteurs hors ligne sont présentés à l‘utilisateur. Cela permet à l‘utilisateur d‘inscrire un facteur d‘authentification hors ligne.

Lorsque cette option est définie sur false, les facteurs hors ligne ne sont pas affichés et il n‘y a pas d‘application de facteurs hors ligne.

Si vous définissez cette politique sur true et que la période LoginPeriodWithoutEnrolledFactor a expiré, les utilisateurs sont obligés d‘enrôler un facteur hors ligne.

Étapes suivantes

Appliquer la vérification par nombre pour Desktop MFA pour macOS

Configurer Desktop MFA pour macOS afin d'utiliser les clés FIDO2

Activer la récupération de Desktop MFA pour macOS

Soutenir vos utilisateurs de Desktop MFA macOS