Activer la récupération de Desktop MFA pour Windows

Lorsqu'un utilisateur ne peut pas se connecter à son ordinateur parce qu'il n'a accès ni à son appareil inscrit pour la MFA Okta Verify, ni à un autre authentificateur, il doit contacter un administrateur pour récupérer son accès. Si la récupération de Desktop MFA est activée, les utilisateurs peuvent contacter un administrateur afin d'obtenir un code PIN de récupération d'appareil limité dans le temps, qui accorde un accès temporaire à leur ordinateur.

L'utilisation de cette fonctionnalité peut augmenter votre surface d'attaque si vous ne mettez pas en œuvre de politiques ou de procédures destinées à authentifier entièrement l'appareil, l'utilisateur et la requête.

Une fois que l'utilisateur a récupéré l'accès à son ordinateur, il peut utiliser le code PIN de récupération pendant la durée définie par l'administrateur. Les utilisateurs doivent récupérer l'appareil MFA enrôlé à Okta Verify dès que possible afin de maintenir un accès sécurisé à leur ordinateur, ou enregistrer un nouvel appareil MFA.

Avant de commencer

  • Configurez les certificats d'accès à l'appareil avant de configurer la récupération de Desktop MFA.

  • L'ordinateur de l'utilisateur doit avoir été en ligne au moins une fois après avoir installé l'application Okta Verify et les certificats Device Access sur le système.

  • Définissez le paramètre de politiqueUseDirectAuth sur 1 (activé).

  • L'utilisateur doit s'être connecté au système au moins une fois après que l'appareil a été en ligne, qu'il a été inscrit et que la politique UseDirectAuth a été activée.

  • Si l'utilisateur ne se connecte pas dans le délai défini par le paramètre de politique DeviceRecoveryValidityInDays, le système régénère automatiquement la clé secrète de récupération.

  • Les super administrateurs, les administrateurs de l'assistance technique et les administrateurs de l'org doivent disposer des autorisations appropriées pour créer ou afficher un code PIN de récupération. Consultez la section Rôles et autorisations standard des administrateurs.

  • Si vous utilisez un rôle administrateur personnalisé, attribuez-lui les autorisations Générer un code PIN de récupération de l'appareil et Voir les appareils. Consultez Autorisations de rôle.

    Pour activer ces autorisations, accédez à Paramètres Fonctionnalités dans l'Admin Console, puis activez les fonctionnalités suivantes :

    • Activer les rôles administrateur personnalisés pour les autorisations Okta Device Access

    • Activer les rôles administrateur personnalisés pour les autorisations d‘appareils.

Activer la récupération Desktop MFA

Après avoir activé Desktop MFA, les administrateurs disposant des autorisations appropriées peuvent générer un code PIN de récupération qu'ils pourront partager avec l'utilisateur. Si l'utilisateur ne saisit pas le bon code PIN de récupération dans un délai de deux minutes, ce code PIN expire et un nouveau code PIN doit être généré.

  1. Dans l'Admin Console, accédez à SécuritéGéneral.

  2. Faites défiler jusqu'à la section Okta Device Access.

  3. Cliquez sur Modifier.

    Un accès super administrateur est nécessaire pour activer cette fonctionnalité. Si le bouton Modifier ne s'affiche pas, vérifiez le niveau d'accès de votre compte administrateur.

  4. Pour Activer le code PIN de récupération d'appareil pour la MFA sur les postes de travail, sélectionnez Activé dans le menu déroulant.

  5. Cliquez sur Enregistrer.

Configurer les paramètres de la politique de récupération de Desktop MFA

Ajoutez les paramètres suivants à votre politique de connexion :

  • DeviceRecoveryPINDuration : période, en minutes, pendant laquelle un code PIN de récupération d'appareil est valide après son activation. Voir Nom : DeviceRecoveryPINDuration.

  • DeviceRecoveryValidityInDays : fréquence de renouvellement de la clé secrète de récupération de l'appareil utilisée pour générer des codes PIN de récupération. Voir Nom : DeviceRecoveryValidityInDays

Une fois que Desktop MFA est activée dans votre org, utilisez votre MDM pour propager la configuration aux appareils.

Utiliser le code PIN de récupération de l'appareil

Si Desktop MFA est activée sur leur appareil, les utilisateurs peuvent contacter leur administrateur afin d'obtenir le code PIN de récupération de l'appareil.

  1. Lorsque l'utilisateur contacte le service informatique de votre organisation, l'administrateur IT doit vérifier manuellement l'identité de l'utilisateur, conformément aux politiques de votre entreprise.

  2. Demandez à l'utilisateur de fournir le modèle, la marque et le numéro de série de l'ordinateur auquel il ne peut plus accéder. Ces informations confirment que l'appareil est bien associé au bon compte. Les utilisateurs reçoivent le message Contactez votre administrateur.

  3. Après avoir validé l'identité de l'utilisateur et l'appareil, ouvrez l'Admin Consoleet accédez à Directory Appareils. Vous pouvez également accéder aux informations de l'ordinateur de l'utilisateur depuis Directory Personnes Utilisateur Appareils.

  4. Localisez l'ordinateur de l'utilisateur à l'aide de son numéro de série, du nom de l'ordinateur ou du nom de l'utilisateur, puis cliquez sur l'appareil pour ouvrir les informations détaillées.

  5. Dans la colonne Récupération de l'appareil, cliquez sur Voir le code PIN de récupération. Un message s'affiche, qui indique le nom de l'utilisateur ainsi qu'un avertissement sur les conséquences de générer un code PIN de récupération d'appareil. Après lecture de l'avertissement, cliquez sur Générer un code PIN de récupération de l'appareil. Le code PIN est valide pendant deux minutes.

  6. Partagez ce code PIN avec l'utilisateur et rappelez-lui qu'il dispose de deux minutes pour saisir le code PIN avant son expiration. Confirmez que l'utilisateur est capable de se connecter à son ordinateur avec le code PIN.

    Une fois que l'utilisateur a réussi à accéder à son ordinateur, le code PIN est valide pour la durée configurée dans votre MDM par le paramètre DeviceRecoveryPINDuration Partagez cette durée avec le service informatique.

    Si le code PIN ne fonctionne pas, régénérez-le : il pourrait avoir expiré. Voir Configurer et déployer les politiques de Desktop MFA pour Windows

  7. Facultatif. Si l'utilisateur ne dispose plus de son appareil inscrit à la MFA Okta Verify, cliquez sur Réinitialiser les authentificateurs pour mettre à jour la configuration de son authentificateur. Cela permet à l'utilisateur d'inscrire un nouvel appareil pour la MFA.

  8. Conseillez à l'utilisateur de récupérer l'appareil inscrit à la MFA Okta Verifyou d'inscrire un nouvel appareil pour la MFA avant l'expiration du code PIN. Si le code PIN expire, l'utilisateur doit contacter le service informatique pour recevoir un nouveau code PIN de récupération d'appareil, ce qui réinitialise la durée DeviceRecoveryPINDuration.

Limitations connues

  • Si vous supprimez un ordinateur Windows inscrit à l'enregistrement d'appareil de l'inventaire des appareils de votre org, vous ne pourrez pas activer la récupération Desktop MFA sur ce système. Ce scénario vous oblige à réinstaller Okta Verify sur l'ordinateur Windows afin de le réenregistrer dans l'inventaire des appareils, après quoi vous pourrez l'inscrire dans Destktop MFA.

  • Si un utilisateur est exclus de son système parce qu'il n'a pas inscrit de facteur hors ligne, le bouton de récupération Desktop MFA ne s'affiche pas sur l'écran de connexion. Pour accorder temporairement l'accès à utilisateur, augmentez la clé de registre MaxLoginsWithOfflineFactor et redéployez la politique.

Rubriques connexes

Activer la récupération de Desktop MFA pour macOS

Desktop MFA pour Windows

Soutenir vos utilisateurs de Desktop MFA sous Windows

Expérience utilisateur de Desktop MFA pour Windows