Activer la récupération Desktop MFA pour macOS

Lorsqu'un utilisateur ne peut pas se connecter à son ordinateur parce qu'il n'a pas accès à son appareil MFA enrôlé à Okta Verify ou à d'autres authentificateurs, il a besoin de l'aide d'un administrateur pour récupérer l'accès. Si la récupération Desktop MFA est activée, les utilisateurs peuvent contacter un administrateur informatique pour recevoir un code PIN de récupération d'appareil limité dans le temps qui accorde un accès temporaire à l'ordinateur.

L'utilisation de cette fonctionnalité peut augmenter votre surface d'attaque si vous ne mettez pas en œuvre de politiques ou de procédures pour authentifier complètement l'appareil, l'utilisateur et la requête.

Une fois que les utilisateurs ont accès à l'ordinateur, ils peuvent réutiliser le code PIN de récupération pendant la durée définie par l'administrateur. Les utilisateurs doivent récupérer l'appareil MFA enrôlé à Okta Verify dès que possible afin de maintenir un accès sécurisé à leur ordinateur, ou enregistrer un nouvel appareil MFA.

Avant de commencer

  • Configurez les certificats d'accès à l'appareil avant de configurer la récupération Desktop MFA.

  • Les utilisateurs doivent se connecter à leur ordinateur macOS en utilisant Desktop MFA dans le délai défini par la politique DeviceRecoveryValidityInDays. Leur appareil doit être en ligne.

  • Les super administrateurs, les administrateurs du support technique et les administrateurs de l'org doivent disposer des autorisations appropriées pour créer ou afficher des codes PIN de récupération. Consultez Rôles et autorisations standard des administrateurs.

  • Si vous utilisez un rôle administrateur personnalisé, cela nécessite l'autorisation Générer un code PIN de récupération de l'appareil. Consultez Autorisations de rôle.

    Pour activer cette autorisation, accédez à Paramètres Fonctionnalités dans l'Admin Console et activez les fonctionnalités suivantes : Activer les rôles d'administrateur personnalisés pour les autorisations Okta Device Access et Activer les rôles d'administrateur personnalisés pour autorisations d'appareil.

Activer la récupération Desktop MFA

Après avoir activé Desktop MFA, les administrateurs disposant des autorisations appropriées peuvent générer un code PIN de récupération qu'ils pourront partager avec l'utilisateur. Si l'utilisateur ne saisit pas le bon code PIN de récupération dans un délai de deux minutes, ce code PIN expire et un nouveau code PIN doit être généré.

  1. Dans l'Admin Console, accédez à SécuritéGéneral.

  2. Faites défiler jusqu'à la section Okta Device Access.

  3. Cliquez sur Modifier. Un accès super administrateur est nécessaire pour activer cette fonctionnalité. Si le bouton Modifier ne s'affiche pas, vérifiez le niveau d'accès de votre compte administrateur.

  4. Pour Activer le code PIN de récupération d'appareil pour la MFA sur les postes de travail, sélectionnez Activé dans le menu déroulant.

  5. Cliquez sur Enregistrer.

Configurer la récupération Desktop MFA

Une fois que la récupération Desktop MFA est activée dans votre org, utilisez votre MDM pour pousser la configuration vers les appareils. Consultez Configurer et déployer des politiques Desktop MFA pour macOS.

  • DeviceRecoveryPINDuration : la période, en minutes, pendant laquelle un code PIN de récupération d'appareil est valide après l'activation. Consultez Nom : DeviceRecoveryPINDuration.

  • DeviceRecoveryValidityInDays : la durée de la fenêtre de récupération de l'appareil pour Desktop MFA. Consultez Nom : DeviceRecoveryValidityInDays.

Créer un code PIN de récupération d'appareil

Si un utilisateur n'a pas accès à son appareil MFA enrôlé à Okta Verify ou à tout autre authentificateur, il doit contacter son administrateur informatique pour recevoir un code PIN de récupération d'appareil. Le code PIN de récupération lui permet d'accéder temporairement à l'ordinateur.

  1. Lorsqu'un utilisateur contacte le service informatique de votre organisation pour obtenir de l'aide, l'administrateur informatique doit vérifier manuellement l'identité de l'utilisateur conformément à la politique de votre entreprise.

  2. Demandez à l'utilisateur de fournir le modèle, la marque et le numéro de série de l'ordinateur auquel il ne peut pas accéder. Ces informations confirment que l'appareil est bien associé au bon compte. Les utilisateurs reçoivent le message Contactez votre administrateur.

  3. Après avoir validé l'identité de l'utilisateur et l'appareil, ouvrez l'Admin Consoleet accédez à Directory Appareils. Vous pouvez également accéder aux informations de l'ordinateur de l'utilisateur depuis Directory Personnes Utilisateur Appareils.

  4. Localisez l'ordinateur de l'utilisateur à l'aide de son numéro de série, du nom de l'ordinateur ou du nom de l'utilisateur, puis cliquez sur l'appareil pour ouvrir les informations détaillées.

  5. Dans la colonne Récupération de l'appareil, cliquez sur Voir le code PIN de récupération. Un message s'affiche, qui indique le nom de l'utilisateur ainsi qu'un avertissement sur les conséquences de générer un code PIN de récupération d'appareil. Après lecture de l'avertissement, cliquez sur Générer un code PIN de récupération de l'appareil. Le code PIN est valide pendant deux minutes.

  6. Partagez ce code PIN avec l'utilisateur et rappelez-lui qu'il dispose de deux minutes pour saisir le code PIN avant son expiration. Confirmez que l'utilisateur est capable de se connecter à son ordinateur avec le code PIN.

    Une fois que l'utilisateur a réussi à accéder à son ordinateur, le code PIN est valide pour la durée configurée dans votre MDM par le paramètre DeviceRecoveryPINDuration Partagez la durée avec le service informatique.

    Si un code PIN ne fonctionne pas, régénérez-le, car il a pu expirer. Consultez Configurer et déployer des politiques Desktop MFA pour macOS

  7. Facultatif. Si l'utilisateur a perdu son appareil MFA enrôlé à Okta Verify, cliquez sur Réinitialiser les authentificateurs pour mettre à jour la configuration de son authentificateur. Cela permet à l'utilisateur d'enrôler un nouvel appareil pour la MFA.

  8. Conseillez à l'utilisateur de récupérer l'appareil inscrit à la MFA Okta Verifyou d'inscrire un nouvel appareil pour la MFA avant l'expiration du code PIN. Si le code PIN expire, l'utilisateur doit contacter le service informatique pour recevoir un nouveau code PIN de récupération d'appareil, qui redémarre le minuteur DeviceRecoveryPINDuration.

Pour voir le processus de récupération de l'appareil du côté de l'utilisateur, consultez les informations dans Demander un code PIN de récupération d'appareil.

Rubriques connexes

Desktop MFA pour macOS

Certificats d'accès à l'appareil

Soutenir vos utilisateurs de Desktop MFA macOS