Configurer et déployer les politiques de Desktop MFA pour Windows

Configurez le comportement de Desktop MFA en déployant des clés de registre sur vos points de terminaison Windows.

Configurer les clés de registre

Vous pouvez créer des scripts PowerShell et utiliser votre solution MDM pour le déploiement initial et les mises à jour. Voir Utiliser des scripts PowerShell sur les appareils Windows 10/11 dans Intune dans la documentation Microsoft.

Une autre solution consiste à utiliser des modèles d'administration (ADMX) pour le déploiement. Voir Déploiement de Desktop MFA pour Windows à l'aide de modèles de politiques de groupe.

Notes de configuration

Okta stocke toutes les clés de registre sous : HKLM\Software\Policies\Okta\Okta Device Access, sauf indication contraire dans le tableau Clés de registre.
L'exécution du programme d'installation Okta Verify une deuxième fois avec des paramètres de ligne de commande ne modifie pas les paramètres de clé de registre existants.

Remarque :

Pour réduire la charge sur un contrôleur de domaine, les modifications apportées aux valeurs MFARequiredList et MFABypassList peuvent prendre jusqu'à 10 minutes.

Clés de registre

Clé de registre	Description
Nom : `AdminContactInfo` Type : `REG_SZ` Par défaut : aucun	Chaîne configurable qui fournit aux utilisateurs des informations sur la façon de contacter les administrateurs s'ils n'ont plus accès à leur ordinateur. Par exemple, `Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx`.
Nom : `AllowedFactors` Type : `REG_MULTI_SZ` Par défaut : `*`	Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier. La liste `AllowedFactors` exige que vous activiez également `UseDirectAuth`. Valeurs possibles pour ce paramètre : `*`tous les facteurs sont autorisés. Ce paramètre équivaut à utiliser une valeur vide. `OV_Push` `OV_TOTP` `Offline_TOTP` `Offline_Security_key` `FIDO2_USB_key` `RSA_Token` Assurez-vous que les facteurs sont bien écrits. Remarque : Un utilisateur peut se retrouvé exclus de son poste de travail si les facteurs inclus dans la liste `AllowedFactors` ne correspondent pas aux facteurs présentés à l'utilisateur par les paramètres de registre `OfflineLoginAllowed` et `OnlineLoginAllowed`.
Nom : `CredProvidersToExclude` Type : `REG_MULTI_SZ` Par défaut : Vide	Masquez tout fournisseur d'informations d'identification personnalisé pour les utilisateurs en indiquant le GUID du fournisseur. Remarque : Cette clé ne permet pas de masquer le fournisseur d'informations d'identification Okta Desktop MFA.
Nom : `DeviceRecoveryPINDuration` Type : `REG_DWORD` Par défaut : `60`	Période de temps valide pour un code PIN de récupération d'appareil après activation. Cette période commence une fois que l'utilisateur a réussi à se connecter à l'aide du code PIN. La valeur est exprimée en minutes. La valeur maximale est `7200` (cinq jours). Voir Activer la récupération Desktop MFA pour Windows.
Nom : `DeviceRecoveryValidityInDays` Type : `REG_DWORD` Par défaut : `90`	Spécifie la fréquence de rotation de la clé secrète de récupération de l'appareil utilisée pour générer des codes PIN de récupération. Après l'expiration de la période, cette clé secrète ne peut plus générer de nouveaux codes PIN pour l'appareil. La clé secrète est automatiquement renouvelée lorsque l'appareil de l'utilisateur se connecte à votre org Okta. Si l'appareil ne peut pas se connecter à votre org Okta, la clé secrète n'est pas renouvelée. Vous ne pouvez pas générer de nouveaux codes PIN de récupération jusqu'à ce que l'appareil de l'utilisateur se connecte et renouvelle la clé secrète. La valeur est exprimée en jours.
Nom : `ExcludePasswordCredProvider` Type : `REG_DWORD` Par défaut : Vide	Par défaut, le fournisseur standard d'informations d'identification du mot de passe Windows est désactivé. Pour restaurer et afficher le fournisseur d'informations d'identification du mot de passe Windows pour les utilisateurs, définissez cette valeur sur `0`.
Nom : `MaxLoginsWithOfflineFactor` Type : `REG_DWORD` Par défaut : `50`	Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows avec des méthodes de MFA hors ligne (sans accès à Internet). Ce paramètre de politique s'applique également lorsque les ordinateurs sont en ligne et que l'utilisateur s'authentifie avec des méthodes de MFA hors ligne. Si un utilisateur dépasse le seuil de tentatives de connexion, l'accès est refusé. L'utilisateur sera alors invité à se connecter à Internet pour s'authentifier à l'aide d'une méthode de connexion en ligne.
Nom : `MaxLoginsWithoutEnrolledFactors` Type : `REG_DWORD` Par défaut : `50`	Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows sans MFA. Ce paramètre de politique permet aux nouveaux utilisateurs de repousser la configuration des méthodes MFA un certain nombre de fois. Si Okta détecte un facteur de MFA en ligne ou hors ligne valide, Okta Verify demande à l'utilisateur de renseigner ce facteur. Lorsque l'utilisateur se connecte avec un facteur de MFA, cette limite de politique expire. Si un utilisateur dépasse la limite de tentatives de connexion, l'accès est refusé.
Nom : `MFABypassList` Type : `REG_MULTI_SZ` Par défaut : Vide	Liste des utilisateurs ou des groupes Active Directory qui ne sont pas tenus de s'authentifier avec MFA. Si un utilisateur est répertorié à la fois dans `MFARequiredList` et `MFABypassList`, alors la clé `MFABypassList` est prioritaire. Valeurs possibles pour ce paramètre : Vide : la MFA s'applique à tous les utilisateurs. `username@domain.com` : séparez les utilisateurs par un point-virgule `;` `GroupName`: séparez les noms de groupes par un point-virgule `;` Par exemple, `john.doe@company.com;IT_Admins;Finance_Team`
Nom : `MFAGracePeriodInMinutes` Type : `REG_DWORD` Par défaut : `60`	Période de grâce pendant laquelle un utilisateur peut se dispenser d'utiliser la MFA après avoir verrouillé l'ordinateur. Si vous définissez `MFAGracePeriodInMinutes` sur `0`, l'utilisateur sera invité à vérifier son identité à l'aide de la MFA à chaque connexion. La période de grâce s'applique uniquement au verrouillage de l'ordinateur. Un changement de compte utilisateur ou un redémarrage de l'ordinateur oblige l'utilisateur à vérifier son identité à l'aide de la MFA. La période de grâce ne s'applique pas lorsque vous avez activé la saisie automatique du mot de passe.
Nom : `MFARequiredList` Type : `REG_MULTI_SZ` Par défaut : `*`	Liste des utilisateurs ou des groupes Active Directory qui doivent s'authentifier avec la MFA en plus de leur mot de passe. Les utilisateurs doivent se connecter à Windows au moins une fois lorsque l'ordinateur est en ligne et connecté au réseau de l'organisation (directement ou via un VPN). Cette connexion résout l'appartenance des utilisateurs aux groupes Active Directory. Si des utilisateurs ne sont pas inclus dans cette liste, ils n‘auront pas besoin de s‘authentifier avec la MFA. Les utilisateurs de cette liste peuvent également se connecter en utilisant la saisie automatique du mot de passe. Si des utilisateurs ne sont pas inclus dans cette liste, ils devront saisir un mot de passe pour accéder à leur poste de travail. Valeurs possibles pour ce paramètre : `*`: la MFA s'applique à tous les utilisateurs. `username@domain.com` : séparez les utilisateurs par un point-virgule `;` `GroupName`: séparez les noms de groupes par un point-virgule `;` Vide : les utilisateurs n'ont pas besoin d'utiliser la MFA pour se connecter à Windows Par exemple, `john.doe@company.com;IT_Admins;Finance_Team`
Nom : `NetworkAdapterMaxWaitInSeconds` Type : `REG_DWORD` Par défaut : `0`	Cette option définit le nombre maximum de secondes pendant lesquelles Okta attend l'interface de l'adaptateur réseau. La valeur par défaut est `0` secondes. Cela correspond à une tentative unique sans nouvelles tentatives. Les administrateurs peuvent utiliser ce paramètre pour définir pendant combien de temps l'app de Desktop MFA doit réessayer de se connecter à une carte réseau avant de basculer vers les facteurs hors ligne. Cette option est utile pour les appareils qui démarrent après l'hybridation et ont besoin d'un certain temps pour se connecter à Internet. La cartre réseau peut être désactivée en raison d'autres logiciels exécutés sur la machine, par exemple des utilitaires de sécurité tels que CrowdStrike. Le client vérifie l'adaptateur réseau toutes les 200 ms lorsque la valeur est supérieure à `0`. Par exemple, si la valeur est définie sur `1`, l'app Desktop MFA vérifie l'adaptateur réseau 5 fois (200 ms * 5 = 1 seconde).
Nom : `NetworkTimeoutInSeconds` Type : `REG_DWORD` Par défaut : `15`	Cette valeur définit le délai d'attente réseau pour récupérer une liste de facteurs de MFA en ligne à des fins de validation. Ce délai concerne uniquement les opérations réseau et ne s'applique pas aux interactions utilisateur. Ce paramètre est utile pour les utilisateurs ayant des interruptions de service intermittentes ou d'autres problèmes de connectivité. La valeur par défaut est `15` secondes. La valeur minimale est de `5`et la valeur maximale est de `60`.
Nom : `OfflineLoginAllowed` Type : `REG_DWORD` Par défaut : `1`	Cette valeur indique si un utilisateur peut se connecter en utilisant un facteur hors ligne. Par défaut, la valeur est définie sur `1` (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs hors ligne disponibles. Si vous définissez cette valeur sur `1` et que vous définissez `OnlineLoginAllowed` sur `0` (faux), les utilisateurs peuvent uniquement voir les facteurs hors ligne et se connecter avec ces derniers. Ce paramètre est idéal pour les orgs qui souhaitent utiliser des clés de sécurité hors ligne pour les flux d'authentification et de connexion.
Nom : `OktaJoinEnabled` Type : `REG_DWORD` Par défaut : `0`	Lorsque cette valeur est définie sur `1`, l'appareil est désigné comme joint à Okta. Ce paramètre est nécessaire pour inscrire l'appareil dans l'Authentification unique liée à l'appareil.
Nom : `OnlineLoginAllowed` Type : `REG_DWORD` Par défaut : `1`	Cette valeur indique si un utilisateur peut se connecter à l'aide d'un facteur en ligne. Par défaut, la politique est définie sur `1` (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs en ligne disponibles. Si vous définissez cette politique sur `1` et que vous définissez `OfflineLoginAllowed` sur `0` (faux), les utilisateurs peuvent uniquement voir les facteurs en ligne et se connecter avec ces derniers. Les facteurs hors ligne ne sont pas disponibles.
Nom : `PasswordlessAccessEnabled` Type : `REG_DWORD` Par défaut : `0`	Cette valeur active la saisie automatique du mot de passe, ce qui permet aux utilisateurs de se connecter à leur appareil en toute sécurité en utilisant des facteurs autres que le mot de passe. Par défaut, la saisie automatique du mot de passe est désactivée (`0`). La saisie automatique du mot de passe prend en charge les clés Okta Verify Push et FIDO2 lorsque vous les autorisez à l'aide de `AllowedFactors`. Desktop MFA tente toujours d'imposer la vérification de l'utilisateur via le code PIN de la clé FIDO2. Si aucun code PIN n'est associé à la clé, Desktop MFA revient à l'authentification par mot de passe.
Nom : `SelfServicePasswordResetEnabled` Type : `REG_DWORD` Par défaut : `0`	Cette valeur permet aux utilisateurs de réinitialiser leur mot de passe en libre-service en cas d'oubli. Par défaut, la réinitialisation du mot de passe en libre-service est désactivée (`0`). Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.
Nom : `SelfServicePasswordResetErrorMessage` Type : `REG_SZ` Par défaut : `Unable to update the password. The value provided doesn't meet the domain's length, complexity, or history requirements.`	Chaîne configurable permettant d'afficher un message d'erreur personnalisé en cas d'échec de la réinitialisation du mot de passe en libre-service.
Nom : `UseDirectAuth` Type : `REG_DWORD` Par défaut : `0`	Desktop MFA : les utilisateurs peuvent s'authentifier et accéder à leurs systèmes FIDO2 grâce à une expérience sans mot de passe. ATTENTION : Stockez la clé `UseDirectAuth` dans `HKLM\Software\Okta\Okta Device Access`. Par défaut, ce paramètre est désactivé (`0`). Cette valeur est requise pour l'Authentification unique liée à l'appareil. Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.

Clé de registre

Description

Nom : AdminContactInfo

Type : REG_SZ

Par défaut : aucun

Chaîne configurable qui fournit aux utilisateurs des informations sur la façon de contacter les administrateurs s'ils n'ont plus accès à leur ordinateur.

Par exemple, Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx.

Nom : AllowedFactors

Type : REG_MULTI_SZ

Par défaut : *

Liste des facteurs avec lesquels les utilisateurs peuvent s'authentifier.

La liste AllowedFactors exige que vous activiez également UseDirectAuth.

Valeurs possibles pour ce paramètre :

*tous les facteurs sont autorisés. Ce paramètre équivaut à utiliser une valeur vide.
OV_Push
OV_TOTP
Offline_TOTP
Offline_Security_key
FIDO2_USB_key
RSA_Token

Assurez-vous que les facteurs sont bien écrits.

Remarque :

Un utilisateur peut se retrouvé exclus de son poste de travail si les facteurs inclus dans la liste AllowedFactors ne correspondent pas aux facteurs présentés à l'utilisateur par les paramètres de registre OfflineLoginAllowed et OnlineLoginAllowed.

Nom : CredProvidersToExclude

Type : REG_MULTI_SZ

Par défaut : Vide

Masquez tout fournisseur d'informations d'identification personnalisé pour les utilisateurs en indiquant le GUID du fournisseur.

Remarque :

Cette clé ne permet pas de masquer le fournisseur d'informations d'identification Okta Desktop MFA.

Nom : DeviceRecoveryPINDuration

Type : REG_DWORD

Par défaut : 60

Période de temps valide pour un code PIN de récupération d'appareil après activation. Cette période commence une fois que l'utilisateur a réussi à se connecter à l'aide du code PIN.

La valeur est exprimée en minutes. La valeur maximale est 7200 (cinq jours).

Voir Activer la récupération Desktop MFA pour Windows.

Nom : DeviceRecoveryValidityInDays

Type : REG_DWORD

Par défaut : 90

Spécifie la fréquence de rotation de la clé secrète de récupération de l'appareil utilisée pour générer des codes PIN de récupération.

Après l'expiration de la période, cette clé secrète ne peut plus générer de nouveaux codes PIN pour l'appareil. La clé secrète est automatiquement renouvelée lorsque l'appareil de l'utilisateur se connecte à votre org Okta.

Si l'appareil ne peut pas se connecter à votre org Okta, la clé secrète n'est pas renouvelée. Vous ne pouvez pas générer de nouveaux codes PIN de récupération jusqu'à ce que l'appareil de l'utilisateur se connecte et renouvelle la clé secrète.

La valeur est exprimée en jours.

Nom : ExcludePasswordCredProvider

Type : REG_DWORD

Par défaut : Vide

Par défaut, le fournisseur standard d'informations d'identification du mot de passe Windows est désactivé.

Pour restaurer et afficher le fournisseur d'informations d'identification du mot de passe Windows pour les utilisateurs, définissez cette valeur sur 0.

Nom : MaxLoginsWithOfflineFactor

Type : REG_DWORD

Par défaut : 50

Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows avec des méthodes de MFA hors ligne (sans accès à Internet).

Ce paramètre de politique s'applique également lorsque les ordinateurs sont en ligne et que l'utilisateur s'authentifie avec des méthodes de MFA hors ligne.

Si un utilisateur dépasse le seuil de tentatives de connexion, l'accès est refusé. L'utilisateur sera alors invité à se connecter à Internet pour s'authentifier à l'aide d'une méthode de connexion en ligne.

Nom : MaxLoginsWithoutEnrolledFactors

Type : REG_DWORD

Par défaut : 50

Définit le nombre de fois où les utilisateurs peuvent se connecter à Windows sans MFA.

Ce paramètre de politique permet aux nouveaux utilisateurs de repousser la configuration des méthodes MFA un certain nombre de fois.

Si Okta détecte un facteur de MFA en ligne ou hors ligne valide, Okta Verify demande à l'utilisateur de renseigner ce facteur. Lorsque l'utilisateur se connecte avec un facteur de MFA, cette limite de politique expire.

Si un utilisateur dépasse la limite de tentatives de connexion, l'accès est refusé.

Nom : MFABypassList

Type : REG_MULTI_SZ

Par défaut : Vide

Liste des utilisateurs ou des groupes Active Directory qui ne sont pas tenus de s'authentifier avec MFA.

Si un utilisateur est répertorié à la fois dans MFARequiredList et MFABypassList, alors la clé MFABypassList est prioritaire.

Valeurs possibles pour ce paramètre :

Vide : la MFA s'applique à tous les utilisateurs.
username@domain.com : séparez les utilisateurs par un point-virgule ;
GroupName: séparez les noms de groupes par un point-virgule ;

Par exemple, john.doe@company.com;IT_Admins;Finance_Team

Nom : MFAGracePeriodInMinutes

Type : REG_DWORD

Par défaut : 60

Période de grâce pendant laquelle un utilisateur peut se dispenser d'utiliser la MFA après avoir verrouillé l'ordinateur.

Si vous définissez MFAGracePeriodInMinutes sur 0, l'utilisateur sera invité à vérifier son identité à l'aide de la MFA à chaque connexion.

La période de grâce s'applique uniquement au verrouillage de l'ordinateur. Un changement de compte utilisateur ou un redémarrage de l'ordinateur oblige l'utilisateur à vérifier son identité à l'aide de la MFA.

La période de grâce ne s'applique pas lorsque vous avez activé la saisie automatique du mot de passe.

Nom : MFARequiredList

Type : REG_MULTI_SZ

Par défaut : *

Liste des utilisateurs ou des groupes Active Directory qui doivent s'authentifier avec la MFA en plus de leur mot de passe.

Les utilisateurs doivent se connecter à Windows au moins une fois lorsque l'ordinateur est en ligne et connecté au réseau de l'organisation (directement ou via un VPN). Cette connexion résout l'appartenance des utilisateurs aux groupes Active Directory.

Si des utilisateurs ne sont pas inclus dans cette liste, ils n‘auront pas besoin de s‘authentifier avec la MFA.

Les utilisateurs de cette liste peuvent également se connecter en utilisant la saisie automatique du mot de passe. Si des utilisateurs ne sont pas inclus dans cette liste, ils devront saisir un mot de passe pour accéder à leur poste de travail.

Valeurs possibles pour ce paramètre :

*: la MFA s'applique à tous les utilisateurs.
username@domain.com : séparez les utilisateurs par un point-virgule ;
GroupName: séparez les noms de groupes par un point-virgule ;
Vide : les utilisateurs n'ont pas besoin d'utiliser la MFA pour se connecter à Windows

Par exemple, john.doe@company.com;IT_Admins;Finance_Team

Nom : NetworkAdapterMaxWaitInSeconds

Type : REG_DWORD

Par défaut : 0

Cette option définit le nombre maximum de secondes pendant lesquelles Okta attend l'interface de l'adaptateur réseau.

La valeur par défaut est 0 secondes. Cela correspond à une tentative unique sans nouvelles tentatives.

Les administrateurs peuvent utiliser ce paramètre pour définir pendant combien de temps l'app de Desktop MFA doit réessayer de se connecter à une carte réseau avant de basculer vers les facteurs hors ligne.

Cette option est utile pour les appareils qui démarrent après l'hybridation et ont besoin d'un certain temps pour se connecter à Internet. La cartre réseau peut être désactivée en raison d'autres logiciels exécutés sur la machine, par exemple des utilitaires de sécurité tels que CrowdStrike.

Le client vérifie l'adaptateur réseau toutes les 200 ms lorsque la valeur est supérieure à 0.

Par exemple, si la valeur est définie sur 1, l'app Desktop MFA vérifie l'adaptateur réseau 5 fois (200 ms * 5 = 1 seconde).

Nom : NetworkTimeoutInSeconds

Type : REG_DWORD

Par défaut : 15

Cette valeur définit le délai d'attente réseau pour récupérer une liste de facteurs de MFA en ligne à des fins de validation.

Ce délai concerne uniquement les opérations réseau et ne s'applique pas aux interactions utilisateur. Ce paramètre est utile pour les utilisateurs ayant des interruptions de service intermittentes ou d'autres problèmes de connectivité.

La valeur par défaut est 15 secondes. La valeur minimale est de 5et la valeur maximale est de 60.

Nom : OfflineLoginAllowed

Type : REG_DWORD

Par défaut : 1

Cette valeur indique si un utilisateur peut se connecter en utilisant un facteur hors ligne.

Par défaut, la valeur est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs hors ligne disponibles.

Si vous définissez cette valeur sur 1 et que vous définissez OnlineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs hors ligne et se connecter avec ces derniers. Ce paramètre est idéal pour les orgs qui souhaitent utiliser des clés de sécurité hors ligne pour les flux d'authentification et de connexion.

Nom : OktaJoinEnabled

Type : REG_DWORD

Par défaut : 0

Lorsque cette valeur est définie sur 1, l'appareil est désigné comme joint à Okta.

Ce paramètre est nécessaire pour inscrire l'appareil dans l'Authentification unique liée à l'appareil.

Nom : OnlineLoginAllowed

Type : REG_DWORD

Par défaut : 1

Cette valeur indique si un utilisateur peut se connecter à l'aide d'un facteur en ligne.

Par défaut, la politique est définie sur 1 (vrai), ce qui signifie que les utilisateurs peuvent voir les facteurs en ligne disponibles.

Si vous définissez cette politique sur 1 et que vous définissez OfflineLoginAllowed sur 0 (faux), les utilisateurs peuvent uniquement voir les facteurs en ligne et se connecter avec ces derniers. Les facteurs hors ligne ne sont pas disponibles.

Nom : PasswordlessAccessEnabled

Type : REG_DWORD

Par défaut : 0

Cette valeur active la saisie automatique du mot de passe, ce qui permet aux utilisateurs de se connecter à leur appareil en toute sécurité en utilisant des facteurs autres que le mot de passe.

Par défaut, la saisie automatique du mot de passe est désactivée (0).

La saisie automatique du mot de passe prend en charge les clés Okta Verify Push et FIDO2 lorsque vous les autorisez à l'aide de AllowedFactors.

Desktop MFA tente toujours d'imposer la vérification de l'utilisateur via le code PIN de la clé FIDO2. Si aucun code PIN n'est associé à la clé, Desktop MFA revient à l'authentification par mot de passe.

Nom : SelfServicePasswordResetEnabled

Type : REG_DWORD

Par défaut : 0

Cette valeur permet aux utilisateurs de réinitialiser leur mot de passe en libre-service en cas d'oubli.

Par défaut, la réinitialisation du mot de passe en libre-service est désactivée (0).

Si le nom d'utilisateur Okta ne correspond pas au nom principal de l'utilisateur (UPN) Microsoft, vous pouvez configurer plusieurs identificateurs dans les politiques de profil utilisateur. Les utilisateurs peuvent ainsi être identifiés à l'aide de leur attribut UPN. Les étapes pour implémenter cette solution de contournement sont disponibles dans cet article de la base de connaissances.

Nom : SelfServicePasswordResetErrorMessage

Type : REG_SZ

Par défaut : Unable to update the password. The value provided doesn't meet the domain's length, complexity, or history requirements.

Chaîne configurable permettant d'afficher un message d'erreur personnalisé en cas d'échec de la réinitialisation du mot de passe en libre-service.

Nom : UseDirectAuth

Type : REG_DWORD

Par défaut : 0

Desktop MFA : les utilisateurs peuvent s'authentifier et accéder à leurs systèmes FIDO2 grâce à une expérience sans mot de passe.

ATTENTION :

Stockez la clé UseDirectAuth dans HKLM\Software\Okta\Okta Device Access.

Par défaut, ce paramètre est désactivé (0).

Cette valeur est requise pour l'Authentification unique liée à l'appareil.

GUID pour les fournisseurs d'informations d'identification populaires

Utilisez les GUID ci-dessous pour masquer les fournisseurs d'informations d'identification les plus courants :

Fournisseur	GUID	Description
Fournisseur de mots de passe	`{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}`	Nom d'utilisateur et mot de passe
Identifiants NGC	`{D6886603-9D2F-4EB2-B667-1971041FA96B}`	Code PIN Windows Hello for Business
Identifiants FIDO	`{F8A1793B-7873-4046-B2A7-1F318747F427}`	Clés de sécurité FIDO2

Étapes suivantes

Les étapes suivantes sont facultatives, et dépendent de vos besoins organisationnels vis-à-vis de Desktop MFA.

Activer la réinitialisation du mot de passe en libre-service pour Windows

Appliquer la vérification par nombre pour Desktop MFA

Configurer Desktop MFA pour Windows pour utiliser les clés FIDO2

Configurer la saisie automatique du mot de passe de bureau pour Windows

Activer la récupération de Desktop MFA pour Windows

Expérience utilisateur de Desktop MFA pour Windows

Soutenir vos utilisateurs de Desktop MFA sous Windows