Soutenir vos utilisateurs de Desktop MFA macOS

Une fois que Desktop MFA est configuré et déployé, Okta invite les utilisateurs à enrôler un ou plusieurs facteurs d'authentification hors ligne. Ces facteurs permettent un accès sécurisé aux applications et aux données de l'ordinateur, même si l'ordinateur ou l'utilisateur est hors ligne.

Pour renforcer la sécurité, Desktop MFA expire après cinq minutes d'inactivité pendant le processus d'enrôlement. Ce délai n'est pas configurable. L'affichage de l'appareil est verrouillé, et l'utilisateur doit redémarrer le processus d'enregistrement.

Pour préparer les utilisateurs aux changements de leur flux de connexion, Okta fournit une série de modèles pour communiquer les plans Desktop MFA. Téléchargez les modèles du Kit de lancement pour les administrateurs Okta, puis copiez le libellé approprié pour aider à expliquer le nouveau processus d'authentification aux utilisateurs.

Établir un canal de signalement de bogues

Demandez aux utilisateurs de signaler les problèmes ou les bugs d'Okta Verify depuis leur appareil mobile. La barre de Menu de leur application mobile Okta Verify contient un lien Envoyer un commentaire.

Les utilisateurs doivent appuyer sur Signaler un bogue et remplir le formulaire. Les journaux système sont automatiquement joints et le rapport est envoyé à Okta.

Les utilisateurs doivent ensuite contacter une personne au sein de votre organisation pour obtenir de l'aide afin de se connecter à l'ordinateur.

Récupération Desktop MFA

Demander un code PIN de récupération d'appareil

Si les utilisateurs n'ont pas accès à leur appareil MFA enrôlé à Okta Verify et ne peuvent pas se connecter à leur ordinateur en utilisant un autre authentificateur, ils doivent contacter l'administrateur informatique. L'administrateur peut fournir un code PIN de récupération d'appareil temporaire, qui accorde à l'utilisateur accès à l'ordinateur pour une durée limitée.

  1. Contactez l'administrateur informatique. L'utilisateur doit enregistrer le nom, le modèle et le numéro de série de l'ordinateur. Ces informations sont nécessaires pour vérifier l'identité de l'utilisateur et son ordinateur. Le nom de l'ordinateur est disponible sur la page de connexion macOS lorsque l'utilisateur clique sur Contacter un administrateur.

  2. Une fois que l'administrateur informatique a authentifié l'identité et l'appareil de l'utilisateur, il peut fournir un code PIN de récupération valide pendant deux minutes. Si la période de deux minutes s'écoule sans que l'utilisateur réussisse à accéder à son ordinateur, il doit demander un nouveau code PIN de récupération à l'administrateur informatique.

  3. L'utilisateur saisit le code PIN fourni et confirme qu'il peut accéder à l'ordinateur. Le code PIN lui permet de se connecter à l'ordinateur tant que le code PIN est valide. L'administrateur informatique doit lui indiquer lorsque le code PIN expire. Après l'expiration du code PIN, l'utilisateur a besoin d'un nouveau code PIN de récupération d'appareil s'il n'a pas localisé son appareil MFA enrôlé à Okta Verify ou enrôlé un autre authentificateur.

  4. L'utilisateur doit récupérer l'appareil MFA enrôlé à Okta Verify dès que possible ou obtenir un nouvel appareil MFA pour l'enrôler à Okta Verify.

Journaux système

Les journaux système sont disponibles ici : /var/log/com.okta.deviceaccess/OktaDeviceAccess.log.

Vous pouvez également exécuter la commande suivante depuis un compte avec un accès racine ou sudo : sudo log collect --start "2023-09-18 12:00:00" --output /tmp && tar cvf system_logs.logarchive.tar /tmp/system_logs.logarchive.

La sortie est stockée ici : /tmp/system_logs.logarchive.tar.

Résoudre les problèmes de connexion

Assurez-vous de respecter les exigences décrites dans la section Avant de commencer avant de tenter de résoudre les problèmes liés à Desktop MFA.

Réinitialiser Desktop MFA pour tous les utilisateurs

Copiez et exécutez les commandes suivantes depuis une session de terminal pour réinitialiser Desktop MFA pour tous les utilisateurs de l'ordinateur.

Copier 
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from enrollment"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from loginhistory"

Supprimer un facteur hors ligne

Vous pouvez supprimer un facteur d'authentification hors ligne pour un utilisateur avec la commande sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors".

Envoyez la commande vers l'ordinateur de l'utilisateur macOS via votre MDM pour supprimer le facteur hors ligne.

Desktop MFA invite l'utilisateur à enrôler une nouvelle méthode d'authentification hors ligne lors de sa prochaine connexion à macOS. Si la politique LoginPeriodWithoutEnrolledFactor a expiré, l'utilisateur ne peut pas ignorer le processus de ré-enrôlement.

Désactiver le plug-in d'authentification

Si la machine est inaccessible et que l'utilisateur final a accès à un compte administrateur, il peut se connecter au système en utilisant le mode de récupération. Lorsque vous êtes en mode de récupération en tant qu'administrateur, vous n'avez pas besoin d'utiliser la commande sudo.

  1. Pour déverrouiller le disque, cliquez sur Utilitaires Partager un disque, puis cliquez sur l'icône du disque dur.

  2. Sélectionnez Déverrouiller, puis saisissez le mot de passe administrateur.

  3. Cliquez sur Partager un disque, puis sélectionnez Quitter Partager un disque.

  4. Ouvrez une session de terminal et exécutez la commande suivante : rm -rf /Library/Security/SecurityAgentPlugins/Okta DAAuthPlugin.bundle/.

Cette commande supprime le plug-in d'autorisation de l'appareil, et l'utilisateur doit pouvoir s'y connecter.

Supprimer Desktop MFA d'un appareil

Exécutez les commandes suivantes pour supprimer complètement Desktop MFA d'un appareil macOS :

  1. Supprimez le lien symbolique vers le plug-in d'autorisation Okta Verify : sudo rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle

  2. Arrêtez le daemon de service Okta Verify : sudo launchctl unload /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  3. Supprimez le lien symbolique vers la plist du daemon de service Okta Verify : sudo rm -f /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  4. Supprimez le lien symbolique vers le fichier exécutable du daemon de service Okta Verify : sudo rm -f /usr/local/bin/OktaDAServiceDaemon

  5. Supprimez le répertoire Desktop MFA : sudo rm -rf /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/

  6. Supprimez l'application Okta Verify pour macOS. Cela supprime le plug-in d'autorisation, le daemon de service et les plists : sudo rm -rf "/Applications/Okta Verify.app"

Rubriques liées

Desktop MFA pour macOS

Centre d'assistance Okta Device Access