Configurer Desktop MFA pour Windows pour utiliser les clés FIDO2
La configuration d'un authentificateur FIDO2 (WebAuthn) permet aux utilisateurs de se connecter en toute sécurité à leur appareil en utilisant une clé de sécurité.
Ces clés peuvent être enregistrées via l'Admin Console, ou l'utilisateur peut enregistrer sa clé dans l'Okta End-User Dashboard.
Sinon, Yubico peut livrer la YubiKey directement aux nouveaux utilisateurs, en la préinscrivant avec les données de l'utilisateur et la configuration de votre org.
Prise en charge des codes PIN
Desktop MFA pour Windows prend en charge les clés de sécurité FIDO2 avec ou sans code PIN.
Si vous activez la vérification de l'utilisateur dans votre politique de connexion aux applications, les utilisateurs peuvent vérifier leur identité avec la clé FIDO2 tant que vous activez également la vérification de l'utilisateur dans les paramètres FIDO2 (WebAuthn).
Pour utiliser une clé de sécurité avec un code PIN, définissez la vérification de l'utilisateur sur Obligatoire dans les paramètres authentificateur FIDO2 (WebAuthn) et dans votre politique de connexion aux applications. Voir Politiques d'authentification
Limites
Lorsque vous configurez des clés de sécurité FIDO2 pour une utilisation avec Desktop MFA pour Windows, tenez compte des limites suivantes :
-
Les clés de sécurité FIDO2 ne peuvent pas être utilisées pour l'authentification hors ligne.
-
Les clés d'accès FIDO2 et les clés uniquement biométriques ne sont pas prises en charge.
-
Les authentificateurs de plateforme FIDO2 ne sont pas pris en charge.
Tâches
Configurer l'authentificateur FIDO2 (WebAuthn)
Pour permettre aux utilisateurs de s'authentifier avec une clé FIDO2, configurez l'authentificateur FIDO2 (WebAuthn) dans l'Admin Console.
-
Dans l'Admin Console, accédez à .
Si vous avez déjà ajouté l'authentificateur FIDO2 (WebAuthn), vous ne pouvez pas en rajouter un autre. Assurez-vous que les paramètres de l'authentificateur FIDO2 (WebAuthn) existant sont appropriés pour votre org.
-
Cliquez sur Ajouter un authentificateur.
-
Dans la liste des authentificateurs, cliquez sur Ajouter sous FIDO2 (WebAuthn).
-
Sur la page Paramètres généraux, cliquez sur Modifier.
-
Dans Paramètres, utilisez le menu déroulant pour sélectionner une méthode de vérification de l'utilisateur. Vérifiez le contenu du paramètre pour en savoir plus la fonction de chaque type de vérification de l'utilisateur.
Desktop MFA exige toujours que l'utilisateur utilise un code PIN. Si aucun code PIN n'est associé à la clé et que vous définissez la méthode vérification de l'utilisateur sur Privilégiée ou Déconseillée, alors la saisie automatique du mot de passe de bureau demande le mot de passe système.
-
Cliquez sur Enregistrer.
Après avoir configuré FIDO2 (WebAuthn), configurez individuellement vos comptes utilisateurs pour qu'ils utilisent les clés. Les utilisateurs peuvent également finaliser l'enregistrement eux-mêmes. Voir Un utilisateur enregistre sa propre clé FIDO2
Activer FIDO2 pour le client Desktop MFA
Créez un script PowerShell et utilisez votre MDM pour déployer les clés de registre sur vos points de terminaison. Notez l'emplacement de stockage de chaque clé de registre.
| Clé de registre | Description |
|---|---|
|
Nom : AllowedFactors Type : REG_Multi_SZ Par défaut : * |
Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier. Stockez la clé AllowedFactors dans HKLM\Software\Policies\Okta\ Okta Device Access. La liste AllowedFactors exige que vous activiez également UseDirectAuth. Valeurs possibles pour ce paramètre :
Assurez-vous que les facteurs sont bien écrits. Un utilisateur peut être exclus de son poste de travail si les facteurs inclus dans la liste AllowedFactors ne correspondent pas aux facteurs présentés à l'utilisateur par les paramètres de registre OfflineLoginAllowed et OnlineLoginAllowed. |
|
Nom : PasswordlessAccessEnabled Type : REG_DWORD Par défaut : 0 |
Cette valeur active la saisie automatique du mot de passe, ce qui permet aux utilisateurs de se connecter à leur appareil en toute sécurité en utilisant des facteurs autres que le mot de passe. Stockez la clé PasswordlessAccessEnabled dans HKLM\Software\Policies\Okta\ Okta Device Access. Par défaut, la saisie automatique du mot de passe est désactivée (0). La saisie automatique du mot de passe prend en charge les clés Okta Verify Push et FIDO2 lorsque vous les autorisez à l'aide de AllowedFactors. Desktop MFA tente toujours d'imposer la vérification de l'utilisateur via le code PIN de la clé FIDO2. Si aucun code PIN n'est associé à la clé, Desktop MFA revient à l'authentification par mot de passe. |
|
Nom : UseDirectAuth Type : REG_DWORD Par défaut : 0 |
Cette valeur permet aux utilisateurs de Desktop MFA de s'authentifier avec des authenticators FIDO2 ou RSA. Stockez la clé UseDirectAuth dans HKLM\Software\Okta\ Okta Device Access. Par défaut, ce paramètre est désactivé (0). Cette valeur est requise pour l'Authentification unique liée à l'appareil. Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances. |
Configurer les clés FIDO2
Il existe plusieurs façons de préparer une clé FIDO2 pour vos utilisateurs :
-
Enregistrez une clé FIDO2 au nom d'un utilisateur.
-
L'utilisateur inscrit sa propre clé FIDO2.
-
Utiliser une clé YubiKeypréinscrite.
Choisissez la méthode d'inscription qui correspond le mieux à votre org.
Inscrire une clé FIDO2 pour le compte d'un utilisateur
- Dans l'Admin Console, accédez à .
- Cliquez sur un utilisateur pour ouvrir son profil.
- Cliquez sur Plus d'actions et choisissez Inscrire une clé de sécurité FIDO2 dans la liste.
- Insérez la clé FIDO2 dans un port de votre ordinateur et cliquez sur S'inscrire.
- Suivez les instructions jusqu'à ce que vous receviez la confirmation que la clé FIDO2 a bien été inscrite pour l'utilisateur.
- Donnez la clé FIDO2 inscrite à l'utilisateur concerné.
L'utilisateur inscrit sa propre clé FIDO2
Si un utilisateur reçoit une clé de sécurité FIDO2, il peut l'inscrire en utilisant l'Okta End-User Dashboard. Encouragez vos utilisateurs à configurer leur clé de sécurité en utilisant des paramètres appropriés pour votre org.
- Connectez-vous à l'Okta End-User Dashboard.
- Cliquez sur votre nom dans le coin supérieur droit et sélectionnez Paramètres.
- Sous Méthodes de sécurité, localisez l'option Clé de sécurité ou authentificateur biométrique et cliquez sur Configuration supplémentaire.
- Vérifiez votre identité à l'aide de l'une des options présentées, puis cliquez sur Configurer.
- Suivez les instructions pour inscrire la clé FIDO2 dans votre compte Okta.
Une fois que l'utilisateur a réussi à inscrire la clé de sécurité, il peut vérifier son identité en insérant la clé FIDO2 dans la machine Windows et en suivant les invites à l'écran.
Lorsque les utilisateurs inscrivent le facteur FIDO2, ils sont limités à l'URL de l'organisation. Par exemple, si les utilisateurs inscrivent le facteur FIDO2 sur votre URL nomd'org.okta.com, ce facteur ne permet d'accéder à votre org qu'avec la même URL nomd'org.okta.com. Si les utilisateurs inscrivent le facteur FIDO2 en utilisant l'URL personnalisée pour votre org, le facteur ne permet d'accéder à votre org qu'avec l'URL personnalisée.
Les administrateurs doivent configurer Desktop MFA pour utiliser le même domaine que celui dans lequel les utilisateurs ont inscrit le facteur d'authentification FIDO2.
Étapes suivantes
Facultatif. Activer la réinitialisation du mot de passe en libre-service pour Windows
Facultatif. Appliquer la vérification par nombre pour Desktop MFA pour Windows
Facultatif. Configurer la saisie automatique du mot de passe de bureau pour Windows