Configurer et déployer les politiques de Desktop MFA pour Windows

Configurez le comportement de Desktop MFA en déployant des clés de registre sur vos points de terminaison Windows.

Configurer les clés de registre

Vous pouvez créer des scripts PowerShell et utiliser votre solution MDM pour le déploiement initial et les mises à jour. Voir Utiliser des scripts PowerShell sur les appareils Windows 10/11 dans Intune dans la documentation Microsoft.

Une autre solution consiste à utiliser des modèles d'administration (ADMX) pour le déploiement. Consultez Déploiement de Desktop MFA pour Windows à l'aide de modèles de politiques de groupe.

Notes de configuration

Okta stocke toutes les clés de registre sous : HKLM\Software\Policies\Okta\ Okta Device Access, sauf indication contraire dans le tableau Clés de registre.
L'exécution du programme d'installation Okta Verify une deuxième fois avec des paramètres de ligne de commande ne modifie pas les paramètres de clé de registre existants.

Pour réduire la charge sur un contrôleur de domaine, les modifications apportées aux valeurs MFARequiredList et MFABypassList peuvent prendre jusqu'à 10 minutes.

Clés de registre

Clé de registre	Description
Nom : AdminContactInfo Type : REG_SZ Par défaut : aucun	Chaîne configurable qui fournit aux utilisateurs des informations sur la façon de contacter les administrateurs s'ils n'ont plus accès à leur ordinateur. Par exemple, Pour contacter votre support technique : help@ org.com ou appelez le 1-800-xxx-xxxx.
Nom : AllowedFactors Type : REG_Multi_SZ Par défaut : *	Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier. La liste AllowedFactors exige que vous activiez également UseDirectAuth. Valeurs possibles pour ce paramètre : *: tous les facteurs sont autorisés. Ce paramètre équivaut à utiliser une valeur vide. OV_Push OV_TOTP Offline_TOTP Offline_Security_key FIDO2_ USB_key RSA_Token Assurez-vous que les facteurs sont bien écrits. Un utilisateur peut se retrouvé exclus de son poste de travail si les facteurs inclus dans la liste AllowedFactors ne correspondent pas aux facteurs présentés à l'utilisateur par les paramètres de registre OfflineLoginAllowed et OnlineLoginAllowed.
Nom : CredProvidersToExclure Type : REG_Multi_SZ Par défaut : Vide	Masquez tout fournisseur d'informations d'identification personnalisé pour les utilisateurs en indiquant le GUID du fournisseur. Cette clé ne permet pas de masquer le fournisseur d'informations d'identification Okta Desktop MFA.
Nom : DeviceRecoveryPINDuration Type : REG_DWORD Par défaut : 60	Période de temps valide pour un code PIN de récupération d'appareil après activation. Cette période commence une fois que l'utilisateur a réussi à se connecter à l'aide du code PIN. La valeur est exprimée en minutes. La valeur maximale est 7200 (cinq jours). Consultez Activer la récupération de Desktop MFA pour Windows.
Nom : DeviceRecoveryValidityInDays Type : REG_DWORD Par défaut : 90	Spécifie la fréquence de rotation de la clé secrète de récupération de l'appareil utilisée pour générer des codes PIN de récupération. Après l'expiration de la période, cette clé secrète ne peut plus générer de nouveaux codes PIN pour l'appareil. La clé secrète est automatiquement renouvelée lorsque l'appareil de l'utilisateur se connecte à votre org Okta. Si l'appareil ne peut pas se connecter à votre org Okta, la clé secrète n'est pas renouvelée. Vous ne pouvez pas générer de nouveaux codes PIN de récupération jusqu'à ce que l'appareil de l'utilisateur se connecte et renouvelle la clé secrète. La valeur est exprimée en jours.
Nom : ExcludePasswordCredProvider Type : REG_DWORD Par défaut : Vide	Par défaut, le fournisseur standard d'informations d'identification du mot de passe Windows est désactivé. Pour restaurer et afficher le fournisseur d'informations d'identification du mot de passe Windows pour les utilisateurs, définissez cette valeur sur 0.
Nom : MaxLoginsWithOfflineFactor Type : REG_DWORD Par défaut : 50	Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows avec des méthodes de MFA hors ligne (sans accès à Internet). Ce paramètre de politique s'applique également lorsque les ordinateurs sont en ligne et que l'utilisateur s'authentifie avec des méthodes de MFA hors ligne. Si un utilisateur dépasse le seuil de tentatives de connexion, l'accès est refusé. L'utilisateur sera alors invité à se connecter à Internet pour s'authentifier à l'aide d'une méthode de connexion en ligne.
Nom : MaxLoginsWithoutEnrolledFactors Type : REG_DWORD Par défaut : 50	Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows sans MFA. Ce paramètre de politique permet aux nouveaux utilisateurs de repousser la configuration des méthodes MFA un certain nombre de fois. Si Okta détecte un facteur de MFA en ligne ou hors ligne valide, Okta Verify demande à l'utilisateur de renseigner ce facteur. Lorsque l'utilisateur se connecte avec un facteur de MFA, cette limite de politique expire. Si un utilisateur dépasse la limite de tentatives de connexion, l'accès est refusé.
Nom : MFABypassList Type : REG_Multi_SZ Par défaut : Vide	Liste des utilisateurs ou des groupes Active Directory qui ne sont pas tenus de s'authentifier avec MFA. Si un utilisateur est répertorié à la fois dans MFARequiredList et MFABypassList, alors la clé MFABypassList est prioritaire. Valeurs possibles pour ce paramètre : Vide : la MFA s'applique à tous les utilisateurs. username@domaine.com : séparez les utilisateurs par un point-virgule ; GroupName: Séparez les noms de groupes par un point-virgule ; Par exemple, john.doe@company.com;IT_Admins;Finance_Team
Nom : MFAGratePeriodInMinutes Type : REG_DWORD Par défaut : 60	Période de grâce pendant laquelle un utilisateur peut se dispenser d'utiliser la MFA après avoir verrouillé l'ordinateur. Si vous définissez MFAGratePeriodInMinutes sur 0, l'utilisateur sera invité à vérifier son identité à l'aide de la MFA à chaque connexion. La période de grâce s'applique uniquement au verrouillage de l'ordinateur. Un changement de compte utilisateur ou un redémarrage de l'ordinateur oblige l'utilisateur à vérifier son identité à l'aide de la MFA. La période de grâce ne s'applique pas lorsque vous avez activé la saisie automatique du mot de passe.
Nom : MFARequiredList Type : REG_Multi_SZ Par défaut : *	Liste des utilisateurs ou des groupes Active Directory qui doivent s'authentifier avec la MFA en plus de leur mot de passe. Les utilisateurs doivent se connecter à Windows au moins une fois lorsque l'ordinateur est en ligne et connecté au réseau de l'organisation (directement ou via un VPN). Cette connexion résout l'appartenance des utilisateurs aux groupes Active Directory. Si des utilisateurs (y compris locaux) ne sont pas inclus dans cette liste, ils n'auront pas besoin de s'authentifier avec la MFA. Les utilisateurs de cette liste peuvent également se connecter en utilisant la saisie automatique du mot de passe. Si des utilisateurs ne sont pas inclus dans cette liste, ils devront saisir un mot de passe pour accéder à leur poste de travail. Valeurs possibles pour ce paramètre : * : la MFA s'applique à tous les utilisateurs. username@domaine.com : séparez les utilisateurs par un point-virgule ; GroupName : séparez les noms de groupes par un point-virgule ; Vide : les utilisateurs n'ont pas besoin d'utiliser la MFA pour se connecter à Windows Par exemple, john.doe@company.com;IT_Admins;Finance_Team
Nom : NetworkAdapterMaxWaitInSeconds Type : REG_DWORD Par défaut : 0	Cette option définit le nombre maximum de secondes pendant lesquelles Okta attend l'interface de l'adaptateur réseau. La valeur par défaut est 0 secondes. Cela correspond à une tentative unique sans nouvelles tentatives. Les administrateurs peuvent utiliser ce paramètre pour définir pendant combien de temps l'app de Desktop MFA doit réessayer de se connecter à une carte réseau avant de basculer vers les facteurs hors ligne. Cette option est utile pour les appareils qui démarrent après l'hybridation et ont besoin d'un certain temps pour se connecter à Internet. La cartre réseau peut être désactivée en raison d'autres logiciels exécutés sur la machine, par exemple des utilitaires de sécurité tels que CrowdStrike. Le client vérifie l'adaptateur réseau toutes les 200 ms lorsque la valeur est supérieure à 0. Par exemple, si la valeur est définie sur 1, l'app Desktop MFA vérifie l'adaptateur réseau 5 fois (200 ms * 5 = 1 seconde).
Nom : NetworkTimeoutInSeconds Type : REG_DWORD Par défaut : 15	Cette valeur définit le délai d'attente réseau pour récupérer une liste de facteurs de MFA en ligne à des fins de validation. Ce délai concerne uniquement les opérations réseau et ne s'applique pas aux interactions utilisateur. Ce paramètre est utile pour les utilisateurs ayant des interruptions de service intermittentes ou d'autres problèmes de connectivité. La valeur par défaut est 15 secondes. La valeur minimale est de 5et la valeur maximale est de 60.
Nom : OfflineLoginAllowed Type : REG_DWORD Par défaut : 1	Cette valeur indique si un utilisateur peut se connecter en utilisant un facteur hors ligne. Par défaut, la valeur est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs hors ligne disponibles. Si vous définissez cette valeur sur 1 et que vous définissez OnlineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs hors ligne et se connecter avec ces derniers. Ce paramètre est idéal pour les orgs qui souhaitent utiliser des clés de sécurité hors ligne pour les flux d'authentification et de connexion.
Nom : OktaJoinEnabled Type : REG_DWORD Par défaut : 0	Lorsque cette valeur est définie sur 1, l'appareil est désigné comme joint à Okta. Ce paramètre est nécessaire pour inscrire l'appareil dans l'Authentification unique liée à l'appareil.
Nom : OnlineLoginAllowed Type : REG_DWORD Par défaut : 1	Cette valeur indique si un utilisateur peut se connecter à l'aide d'un facteur en ligne. Par défaut, la politique est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs en ligne disponibles. Si vous définissez cette politique sur 1 et que vous définissez OfflineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs en ligne et se connecter avec ces derniers. Les facteurs hors ligne ne sont pas disponibles.
Nom : PasswordlessAccessEnabled Type : REG_DWORD Par défaut : 0	Cette valeur active la saisie automatique du mot de passe, ce qui permet aux utilisateurs de se connecter à leur appareil en toute sécurité en utilisant des facteurs autres que le mot de passe. Par défaut, la saisie automatique du mot de passe est désactivée (0). La saisie automatique du mot de passe prend en charge les clés Okta Verify Push et FIDO2 lorsque vous les autorisez à l'aide de AllowedFactors. Desktop MFA tente toujours d'imposer la vérification de l'utilisateur via le code PIN de la clé FIDO2. Si aucun code PIN n'est attribué à la clé, Desktop MFA revient à l'authentification par mot de passe.
Nom : SelfServicePasswordResetEnabled Type : REG_DWORD Par défaut : 0	Cette valeur permet aux utilisateurs de réinitialiser leur mot de passe en libre-service en cas d'oubli. Par défaut, la réinitialisation du mot de passe en libre-service est désactivée (0). Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.
Nom : SelfServicePasswordResetErrorMessage Type : REG_SZ Par défaut : mise à jour du mot de passe impossible. La valeur saisie ne correspond pas aux critères du domaine en matière de longueur, de complexité ou d'historique.	Chaîne configurable permettant d'afficher un message d'erreur personnalisé en cas d'échec de la réinitialisation du mot de passe en libre-service.
Nom : UseDirectAuth Type : REG_DWORD Par défaut : 0	Cette valeur permet aux utilisateurs de Desktop MFA de s'authentifier avec des authenticators FIDO2 ou RSA. Stockez la clé UseDirectAuth dans HKLM\Software\Okta\ Okta Device Access. Par défaut, ce paramètre est désactivé (0). Cette valeur est requise pour l'Authentification unique liée à l'appareil. Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.

Clé de registre

Description

Nom : AdminContactInfo

Type : REG_SZ

Par défaut : aucun

Chaîne configurable qui fournit aux utilisateurs des informations sur la façon de contacter les administrateurs s'ils n'ont plus accès à leur ordinateur.

Par exemple, Pour contacter votre support technique : help@ org.com ou appelez le 1-800-xxx-xxxx.

Nom : AllowedFactors

Type : REG_Multi_SZ

Par défaut : *

Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier.

La liste AllowedFactors exige que vous activiez également UseDirectAuth.

Valeurs possibles pour ce paramètre :

*: tous les facteurs sont autorisés. Ce paramètre équivaut à utiliser une valeur vide.
OV_Push
OV_TOTP
Offline_TOTP
Offline_Security_key
FIDO2_ USB_key
RSA_Token

Assurez-vous que les facteurs sont bien écrits.

Un utilisateur peut se retrouvé exclus de son poste de travail si les facteurs inclus dans la liste AllowedFactors ne correspondent pas aux facteurs présentés à l'utilisateur par les paramètres de registre OfflineLoginAllowed et OnlineLoginAllowed.

Nom : CredProvidersToExclure

Type : REG_Multi_SZ

Par défaut : Vide

Masquez tout fournisseur d'informations d'identification personnalisé pour les utilisateurs en indiquant le GUID du fournisseur.

Cette clé ne permet pas de masquer le fournisseur d'informations d'identification Okta Desktop MFA.

Nom : DeviceRecoveryPINDuration

Type : REG_DWORD

Par défaut : 60

Période de temps valide pour un code PIN de récupération d'appareil après activation. Cette période commence une fois que l'utilisateur a réussi à se connecter à l'aide du code PIN.

La valeur est exprimée en minutes. La valeur maximale est 7200 (cinq jours).

Consultez Activer la récupération de Desktop MFA pour Windows.

Nom : DeviceRecoveryValidityInDays

Type : REG_DWORD

Par défaut : 90

Spécifie la fréquence de rotation de la clé secrète de récupération de l'appareil utilisée pour générer des codes PIN de récupération.

Après l'expiration de la période, cette clé secrète ne peut plus générer de nouveaux codes PIN pour l'appareil. La clé secrète est automatiquement renouvelée lorsque l'appareil de l'utilisateur se connecte à votre org Okta.

Si l'appareil ne peut pas se connecter à votre org Okta, la clé secrète n'est pas renouvelée. Vous ne pouvez pas générer de nouveaux codes PIN de récupération jusqu'à ce que l'appareil de l'utilisateur se connecte et renouvelle la clé secrète.

La valeur est exprimée en jours.

Nom : ExcludePasswordCredProvider

Type : REG_DWORD

Par défaut : Vide

Par défaut, le fournisseur standard d'informations d'identification du mot de passe Windows est désactivé.

Pour restaurer et afficher le fournisseur d'informations d'identification du mot de passe Windows pour les utilisateurs, définissez cette valeur sur 0.

Nom : MaxLoginsWithOfflineFactor

Type : REG_DWORD

Par défaut : 50

Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows avec des méthodes de MFA hors ligne (sans accès à Internet).

Ce paramètre de politique s'applique également lorsque les ordinateurs sont en ligne et que l'utilisateur s'authentifie avec des méthodes de MFA hors ligne.

Si un utilisateur dépasse le seuil de tentatives de connexion, l'accès est refusé. L'utilisateur sera alors invité à se connecter à Internet pour s'authentifier à l'aide d'une méthode de connexion en ligne.

Nom : MaxLoginsWithoutEnrolledFactors

Type : REG_DWORD

Par défaut : 50

Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows sans MFA.

Ce paramètre de politique permet aux nouveaux utilisateurs de repousser la configuration des méthodes MFA un certain nombre de fois.

Si Okta détecte un facteur de MFA en ligne ou hors ligne valide, Okta Verify demande à l'utilisateur de renseigner ce facteur. Lorsque l'utilisateur se connecte avec un facteur de MFA, cette limite de politique expire.

Si un utilisateur dépasse la limite de tentatives de connexion, l'accès est refusé.

Nom : MFABypassList

Type : REG_Multi_SZ

Par défaut : Vide

Liste des utilisateurs ou des groupes Active Directory qui ne sont pas tenus de s'authentifier avec MFA.

Si un utilisateur est répertorié à la fois dans MFARequiredList et MFABypassList, alors la clé MFABypassList est prioritaire.

Valeurs possibles pour ce paramètre :

Vide : la MFA s'applique à tous les utilisateurs.
username@domaine.com : séparez les utilisateurs par un point-virgule ;
GroupName: Séparez les noms de groupes par un point-virgule ;

Par exemple, john.doe@company.com;IT_Admins;Finance_Team

Nom : MFAGratePeriodInMinutes

Type : REG_DWORD

Par défaut : 60

Période de grâce pendant laquelle un utilisateur peut se dispenser d'utiliser la MFA après avoir verrouillé l'ordinateur.

Si vous définissez MFAGratePeriodInMinutes sur 0, l'utilisateur sera invité à vérifier son identité à l'aide de la MFA à chaque connexion.

La période de grâce s'applique uniquement au verrouillage de l'ordinateur. Un changement de compte utilisateur ou un redémarrage de l'ordinateur oblige l'utilisateur à vérifier son identité à l'aide de la MFA.

La période de grâce ne s'applique pas lorsque vous avez activé la saisie automatique du mot de passe.

Nom : MFARequiredList

Type : REG_Multi_SZ

Par défaut : *

Liste des utilisateurs ou des groupes Active Directory qui doivent s'authentifier avec la MFA en plus de leur mot de passe.

Les utilisateurs doivent se connecter à Windows au moins une fois lorsque l'ordinateur est en ligne et connecté au réseau de l'organisation (directement ou via un VPN). Cette connexion résout l'appartenance des utilisateurs aux groupes Active Directory.

Si des utilisateurs (y compris locaux) ne sont pas inclus dans cette liste, ils n'auront pas besoin de s'authentifier avec la MFA.

Les utilisateurs de cette liste peuvent également se connecter en utilisant la saisie automatique du mot de passe. Si des utilisateurs ne sont pas inclus dans cette liste, ils devront saisir un mot de passe pour accéder à leur poste de travail.

Valeurs possibles pour ce paramètre :

* : la MFA s'applique à tous les utilisateurs.
username@domaine.com : séparez les utilisateurs par un point-virgule ;
GroupName : séparez les noms de groupes par un point-virgule ;
Vide : les utilisateurs n'ont pas besoin d'utiliser la MFA pour se connecter à Windows

Par exemple, john.doe@company.com;IT_Admins;Finance_Team

Nom : NetworkAdapterMaxWaitInSeconds

Type : REG_DWORD

Par défaut : 0

Cette option définit le nombre maximum de secondes pendant lesquelles Okta attend l'interface de l'adaptateur réseau.

La valeur par défaut est 0 secondes. Cela correspond à une tentative unique sans nouvelles tentatives.

Les administrateurs peuvent utiliser ce paramètre pour définir pendant combien de temps l'app de Desktop MFA doit réessayer de se connecter à une carte réseau avant de basculer vers les facteurs hors ligne.

Cette option est utile pour les appareils qui démarrent après l'hybridation et ont besoin d'un certain temps pour se connecter à Internet. La cartre réseau peut être désactivée en raison d'autres logiciels exécutés sur la machine, par exemple des utilitaires de sécurité tels que CrowdStrike.

Le client vérifie l'adaptateur réseau toutes les 200 ms lorsque la valeur est supérieure à 0.

Par exemple, si la valeur est définie sur 1, l'app Desktop MFA vérifie l'adaptateur réseau 5 fois (200 ms * 5 = 1 seconde).

Nom : NetworkTimeoutInSeconds

Type : REG_DWORD

Par défaut : 15

Cette valeur définit le délai d'attente réseau pour récupérer une liste de facteurs de MFA en ligne à des fins de validation.

Ce délai concerne uniquement les opérations réseau et ne s'applique pas aux interactions utilisateur. Ce paramètre est utile pour les utilisateurs ayant des interruptions de service intermittentes ou d'autres problèmes de connectivité.

La valeur par défaut est 15 secondes. La valeur minimale est de 5et la valeur maximale est de 60.

Nom : OfflineLoginAllowed

Type : REG_DWORD

Par défaut : 1

Cette valeur indique si un utilisateur peut se connecter en utilisant un facteur hors ligne.

Par défaut, la valeur est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs hors ligne disponibles.

Si vous définissez cette valeur sur 1 et que vous définissez OnlineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs hors ligne et se connecter avec ces derniers. Ce paramètre est idéal pour les orgs qui souhaitent utiliser des clés de sécurité hors ligne pour les flux d'authentification et de connexion.

Nom : OktaJoinEnabled

Type : REG_DWORD

Par défaut : 0

Lorsque cette valeur est définie sur 1, l'appareil est désigné comme joint à Okta.

Ce paramètre est nécessaire pour inscrire l'appareil dans l'Authentification unique liée à l'appareil.

Nom : OnlineLoginAllowed

Type : REG_DWORD

Par défaut : 1

Cette valeur indique si un utilisateur peut se connecter à l'aide d'un facteur en ligne.

Par défaut, la politique est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs en ligne disponibles.

Si vous définissez cette politique sur 1 et que vous définissez OfflineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs en ligne et se connecter avec ces derniers. Les facteurs hors ligne ne sont pas disponibles.

Nom : PasswordlessAccessEnabled

Type : REG_DWORD

Par défaut : 0

Cette valeur active la saisie automatique du mot de passe, ce qui permet aux utilisateurs de se connecter à leur appareil en toute sécurité en utilisant des facteurs autres que le mot de passe.

Par défaut, la saisie automatique du mot de passe est désactivée (0).

La saisie automatique du mot de passe prend en charge les clés Okta Verify Push et FIDO2 lorsque vous les autorisez à l'aide de AllowedFactors.

Desktop MFA tente toujours d'imposer la vérification de l'utilisateur via le code PIN de la clé FIDO2. Si aucun code PIN n'est attribué à la clé, Desktop MFA revient à l'authentification par mot de passe.

Nom : SelfServicePasswordResetEnabled

Type : REG_DWORD

Par défaut : 0

Cette valeur permet aux utilisateurs de réinitialiser leur mot de passe en libre-service en cas d'oubli.

Par défaut, la réinitialisation du mot de passe en libre-service est désactivée (0).

Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.

Nom : SelfServicePasswordResetErrorMessage

Type : REG_SZ

Par défaut : mise à jour du mot de passe impossible. La valeur saisie ne correspond pas aux critères du domaine en matière de longueur, de complexité ou d'historique.

Chaîne configurable permettant d'afficher un message d'erreur personnalisé en cas d'échec de la réinitialisation du mot de passe en libre-service.

Nom : UseDirectAuth

Type : REG_DWORD

Par défaut : 0

Cette valeur permet aux utilisateurs de Desktop MFA de s'authentifier avec des authenticators FIDO2 ou RSA.

Stockez la clé UseDirectAuth dans HKLM\Software\Okta\ Okta Device Access.

Par défaut, ce paramètre est désactivé (0).

Cette valeur est requise pour l'Authentification unique liée à l'appareil.

GUID pour les fournisseurs d'informations d'identification populaires

Utilisez les GUID ci-dessous pour masquer les fournisseurs d'informations d'identification les plus courants :

Fournisseur	GUID	Description
Fournisseur de mots de passe	{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}	Nom d'utilisateur et mot de passe
Identifiants NGC	{D6886603-9D2F-4EB2-B667-1971041FA96B}	Code PIN Windows Hello for Business
Identifiants FIDO	{F8A1793B-7873-4046-B2A7-1F318747F427}	Clés de sécurité FIDO2

Étapes suivantes

Les étapes suivantes sont facultatives, et dépendent de vos besoins organisationnels vis-à-vis de Desktop MFA.

Activer la réinitialisation du mot de passe en libre-service pour Windows

Appliquer la vérification par nombre pour Desktop MFA

Configurer Desktop MFA pour Windows pour utiliser les clés FIDO2

Configurer la saisie automatique du mot de passe de bureau pour Windows

Activer la récupération de Desktop MFA pour Windows

Expérience utilisateur de Desktop MFA pour Windows

Soutenir vos utilisateurs de Desktop MFA sous Windows