Configurer la synchronisation de mot de passe de bureau pour macOS 15

La Synchronisation de mot de passe de bureau prend désormais en charge macOS 15 Sequoia, qui étend l'Authentification unique de plateforme (SSO de plateforme) à FileVault. Elle s'ajoute aux fenêtres Déverrouiller et Connexion qui étaient précédemment prises en charge.

De nouvelles politiques d'authentification Apple sont disponibles pour appliquer des exigences d'authentification plus robustes. Avec ces politiques, les utilisateurs peuvent s'authentifier, synchroniser leur mot de passe local avec leur mot de passe Okta et se connecter de manière sécurisée à FileVault. L'expérience de synchronisation de mot de passe de bureau inclut désormais l'interface FileVault.

Si votre org comprend des ordinateurs macOS exécutant macOS 14 Sonoma ou une version ultérieure, vous pouvez migrer votre solution de synchronisation de mot de passe de bureau pour macOS 15 Sequoia. Vos utilisateurs sont invités à s'enrôler à nouveau pour la synchronisation de mot de passe de bureau après la migration.

SSO de plateforme est pris en charge uniquement par les ordinateurs Mac physiques dotés d'une puce Apple. Consultez Ordinateurs Mac avec une puce Apple pour obtenir une liste des systèmes pris en charge.

Avant de commencer

Pour vous préparer à la synchronisation de mot de passe de bureau pour macOS 15 Sequoia, assurez-vous que vous remplissez les conditions suivantes :

La synchronisation de mot de passe de bureau est configurée correctement. Consultez Créer et configurer l'application Authentification unique de plateforme.
La dernière version d'Okta Verify pour macOS est installée.
- Pour obtenir la dernière version de la Admin Console, accédez aux ParamètresTéléchargements et téléchargez Okta Verify pour macOS.
- Pour confirmer la version d'Okta Verify installée sur un ordinateur Mac, cliquez avec le bouton droit de la souris sur l'icône Okta Verify dans la barre de menu, puis cliquez sur À propos de.
Les certificats d'Accès à l'appareil enrôlés à l'aide de SCEP sont configurés pour le SSO de plateforme. Consultez Certificats d'accès à l'appareil.
Pour effectuer un enregistrement SSO de plateforme pour un utilisateur macOS 15.4 et versions ultérieures, l'utilisateur doit être géré par MDM.
Vos profils de gestion des appareils sont configurés pour SSO de plateforme.
- Vérifiez que PlatformSSO.ProtocolVersion est défini sur 2.0 dans le profil de gestion des appareils pour votre domaine com.okta.mobile.auth-service-extension.
- Vérifiez que Utiliser des clés d'appareil partagées est activé dans le profil de votre extension SSO. Consultez Mettre à jour votre profil d'extension SSO.
Pour appliquer ou tenter une synchronisation de mot de passe dans la fenêtre FileVault, connectez l'ordinateur à un réseau connu. Consultez Exigences relatives au réseau FileVault.

Paramètres de politique pour les fenêtres Déverrouiller, Connexion et FileVault

Avec les nouvelles politiques d'authentification d'Apple, vous pouvez spécifier les exigences d'authentification. Vous pouvez définir chaque politique sur RequireAuthentication, AttemptAuthentication, ou la laisser vide. Sur macOS 14 Sonoma, la valeur par défaut est vide.

Les politiques décrites ici fonctionnent uniquement pour la méthode d'authentification par mot de passe.

Politiques d'authentification

Nom de la politique	Description
RequireAuthentication	Cette politique requiert une authentification Okta réussie avant d'accorder l'accès à l'utilisateur. L'accès est refusé à l'utilisateur si l'authentification Okta n'aboutit pas, pour quelque raison que ce soit. Si le serveur Okta est inaccessible en raison de problèmes de connectivité Internet, l'utilisateur n'a pas accès. Définissez l'indicateur AllowOfflineGracePeriod pour éviter ce problème. Cet indicateur désactive Touch ID sur l'écran Déverrouiller. Si vous souhaitez autoriser l'accès Touch ID pour un ordinateur verrouillé, vous devez activer AllowTouchIDOrWatchForUnlock. Cette politique s'applique aux comptes macOS locaux non enregistrés. À moins que ces comptes ne soient inclus dans le groupe NonPlatformSSOAccounts ou que la politique AuthenticationGracePeriod soit active, les utilisateurs se voient refuser l'accès. La politique prend effet lorsque l'enregistrement commence. Si l'enregistrement échoue et que les utilisateurs se déconnectent ou verrouillent leur appareil, ils sont exclus, sauf si vous configurez une période de grâce.
AttemptAuthentication	Cette politique tente d'appliquer l'authentification par Okta avant d'accorder l'accès à l'utilisateur. Si l'authentification Okta échoue en raison d'un mot de passe incorrect, l'accès est refusé. Si l'authentification Okta échoue pour une autre raison, le mot de passe est vérifié localement. Voici quelques exemples d'échecs d'authentification : Le serveur n'est pas joignable Le mot de passe a expiré Le statut de l'utilisateur ou de l'appareil n'est pas valide L'utilisateur n'a pas été affecté à l'application
Aucun	Si vous n'avez pas défini RequireAuthentication ou AttemptAuthentication, le framework revient au comportement par défaut et le mot de passe est vérifié localement. Si la fonction correspond, l'utilisateur se voit accorder l'accès. Si le mot de passe local ne correspond pas, il est comparé à Okta.

Nom de la politique

Description

RequireAuthentication

Cette politique requiert une authentification Okta réussie avant d'accorder l'accès à l'utilisateur. L'accès est refusé à l'utilisateur si l'authentification Okta n'aboutit pas, pour quelque raison que ce soit.

Si le serveur Okta est inaccessible en raison de problèmes de connectivité Internet, l'utilisateur n'a pas accès. Définissez l'indicateur AllowOfflineGracePeriod pour éviter ce problème.

Cet indicateur désactive Touch ID sur l'écran Déverrouiller. Si vous souhaitez autoriser l'accès Touch ID pour un ordinateur verrouillé, vous devez activer AllowTouchIDOrWatchForUnlock.

Cette politique s'applique aux comptes macOS locaux non enregistrés. À moins que ces comptes ne soient inclus dans le groupe NonPlatformSSOAccounts ou que la politique AuthenticationGracePeriod soit active, les utilisateurs se voient refuser l'accès. La politique prend effet lorsque l'enregistrement commence.

Si l'enregistrement échoue et que les utilisateurs se déconnectent ou verrouillent leur appareil, ils sont exclus, sauf si vous configurez une période de grâce.

AttemptAuthentication

Cette politique tente d'appliquer l'authentification par Okta avant d'accorder l'accès à l'utilisateur. Si l'authentification Okta échoue en raison d'un mot de passe incorrect, l'accès est refusé.

Si l'authentification Okta échoue pour une autre raison, le mot de passe est vérifié localement.

Voici quelques exemples d'échecs d'authentification :

Le serveur n'est pas joignable
Le mot de passe a expiré
Le statut de l'utilisateur ou de l'appareil n'est pas valide
L'utilisateur n'a pas été affecté à l'application

Aucun

Si vous n'avez pas défini RequireAuthentication ou AttemptAuthentication, le framework revient au comportement par défaut et le mot de passe est vérifié localement.

Si la fonction correspond, l'utilisateur se voit accorder l'accès.

Si le mot de passe local ne correspond pas, il est comparé à Okta.

Si le mot de passe local de l'utilisateur est synchronisé au niveau de FileVault ou de la fenêtre de connexion, le système d'exploitation invite l'utilisateur à saisir son ancien mot de passe macOS pour déverrouiller le trousseau de clés. Son mot de passe peut toujours être synchronisé si l'utilisateur l'a oublié. Cependant, toutes les données protégées, le trousseau précédent et toutes les inscriptions précédentes à Okta FastPass deviendront inaccessibles.

Vous ne pouvez pas revenir sur cette action : conseillez à vos utilisateurs de lire attentivement les avertissements et de contacter un administrateur pour obtenir de l'aide.

Politiques de période de grâce

FileVaultPolicy, LoginPolicyet UnlockPolicy vous permettent de spécifier une période de grâce pour les scénarios où les utilisateurs sont hors ligne ou non inscrits. Pour plus d'informations sur la configuration, voir Propriétés de gestion des appareils Apple pour la SSO de plateforme.

NonPlatformSSOAccounts fournit une liste des comptes locaux qui ne sont pas soumis à FileVaultPolicy, LoginPolicy, ou UnlockPolicy. Ces comptes ne sont pas invités à s'inscrire pour la SSO de plateforme.

Nom de la politique	Description
AllowOfflineGracePeriod	Autorise l'authentification hors ligne après validation du mot de passe en local et requiert d'activer OfflineGratePeriod. Si l'appareil est en ligne, alors AllowOfflineGratePeriod est ignorée et le comportement est déterminé par les politiques d'authentification configurées dans la section précédente. Voir Politiques d'authentification. Cette politique est similaire à la politique LoginPeriodWithOfflineFactorde Desktop MFA.
OfflineGracePeriod	Durée pendant laquelle l'utilisateur peut utiliser le mot de passe du compte local hors ligne après une authentification Okta réussie. Cette valeur s'exprime en secondes.
AllowAuthenticationGracePeriod	Permet aux utilisateurs de déverrouiller leur compte macOS local non inscrit en validant le mot de passe localement. Cette politique requiert d'activer AuthenticationGracePeriod. Cette politique est similaire à la politique LoginPeriodWithoutEnrolledFactorde Desktop MFA.
AuthenticationGracePeriod	Durée pendant laquelle les comptes locaux non enregistrés peuvent déverrouiller ou se connecter à l'ordinateur après le déclenchement de FileVaultPolicy, LoginPolicy, ou UnlockPolicy. Le compte à rebours commence lorsque l'utilisateur commence le processus d'enregistrement, qu'il ait ou non réussi. Cette valeur s'exprime en secondes.

Exigences relatives au réseau FileVault

Connectez l'ordinateur à un réseau connu pour appliquer ou tenter une synchronisation de mot de passe dans la fenêtre FileVault.

Pour FileVault, le réseau auquel l'ordinateur se connecte doit déjà être présent. Une nouvelle connexion réseau n'est pas autorisée.

Connexions Wi-Fi

Les seuls types de réseau qui fonctionnent pour FileVault sont Open ou WPA2 Personal.
L'ordinateur doit s'être précédemment connecté au réseau avec succès.
Vous ne pouvez pas utiliser les types de réseau suivants. Les clés secrètes pour ces réseaux sont stockées dans le trousseau du système ou de l'appareil et sont inaccessibles jusqu'à ce que le lecteur soit déchiffré :
- Réseaux à portails captifs de toute forme (tout réseau présentant une page Web avec laquelle il faut interagir avant de fournir la connectivité)
- WEP ou WPA3 Personal
- Toute forme de réseau WPA Enterprise (RADIUS 802.1x)

Connexions Ethernet

Un accès ouvert au réseau est requis. L'authentification RADIUS 802.1x n'est pas prise en charge.
Si l'ordinateur utilise un adaptateur Ethernet USB, l'utilisateur doit configurer l'adaptateur et l'ordinateur de sorte à fonctionner sur un port USB spécifique. Voir Utiliser les ports de votre Mac.
Si un profil MDM qui autorise un accès USB sans restriction est envoyé sur l'ordinateur avant toute tentative de connexion à la fenêtre FileVault, n'importe quel adaptateur Ethernet USB peut se connecter à un réseau accepté.

Étapes suivantes

Aider vos utilisateurs