Expérience utilisateur de Desktop MFA pour Windows

Desktop MFA renforce la posture de sécurité des ordinateurs de bureau Windows en invitant les utilisateurs à vérifier leur identité à l'aide de l'authentification multifacteur (MFA).

Les utilisateurs doivent configurer une méthode de vérification hors ligne avant d'accéder aux applications et aux données. Cette méthode de vérification hors ligne permet d'accéder en de façon sécurisée à l'ordinateur lorsque l'utilisateur ne dipose pas d'une connexion à Internet.

Si les stratégies Windows de votre org ont le flux de connexion hors ligne désactivé (Name: OfflineLoginAllowed est défini sur 0), vos utilisateurs ne peuvent pas enregistrer une méthode hors ligne. Toutefois, les utilisateurs peuvent toujours se connecter s'ils enregistrent une méthode d'authentification en ligne.

Avant la configuration, les utilisateurs doivent remplir les exigences suivantes :

  • Les utilisateurs ont installé Okta Verify sur un appareil mobile. Ils peuvent avoir installé Okta Verify à l'avance ou l'installer dans le cadre de la configuration de Desktop MFA.

  • Les notifications push Okta Verify sont activées sur leur appareil mobile.

Après avoir configuré et déployé Desktop MFA, passez en revue vos processus de configuration et flux de connexion des utilisateurs flux, puis préparez les communications pour le déploiement et consultez les détails de support.

Configuration de l'utilisateur

  1. Après le démarrage de l'ordinateur, l'utilisateur est invité à se connecter à Windows. À ce moment, Desktop MFA vérifie si l'utilisateur a inscrit une méthode d'authentification hors ligne pour se connecter. Si aucune inscription hors ligne n'est trouvée, Desktop MFA invite l'utilisateur à ajouter une méthode de vérification. La solution affiche également les tentatives de connexion restant à l'utilisateur avant qu'il n'ait plus accès à l'ordinateur.

  2. L'utilisateur sélectionne une méthode de vérification hors ligne pour s'inscrire : mot de passe à usage unique hors ligne ou clé de sécurité hors ligne.

  3. Lorsque l'utilisateur clique sur Configurer, un message l'invite à s'assurer qu'Okta Verify est installé. Si l'utilisateur n'a pas installé Okta Verify, il peut sélectionner le lien App Store approprié pour installer le logiciel.

    • Mot de passe à usage unique hors ligne : une fois que l'utilisateur a confirmé qu'Okta Verify était installé, le système affiche un code QR à scanner à l'aide de l'application Okta Verify. Il est ensuite invité à saisir le mot de passe à usage unique hors ligne qui s'affiche dans Okta Verify. Un compte Hors ligne avec mot de passe à usage unique avec le nom de l'appareil Windows est ajouté à Okta Verify. Ce compte peut être utilisé pour authentifier l'utilisateur lorsqu'il est hors ligne. L'utilisateur voit apparaître un message qui confirme l'ajout de la méthode authentification.

    • Clé de sécurité hors ligne : après avoir confirmé que Okta Verify était installé, l'utilisateur clique sur Suivant. L'utilisateur est invité à insérer la clé, puis à la toucher pour valider l'appareil et l'utilisateur. Cette opération ajoute un compte Clé de sécurité hors ligne avec le nom de l'appareil Windows à Okta Verify. Ce compte peut être utilisé pour authentifier l'utilisateur lorsqu'il est hors ligne. L'utilisateur voit apparaître un message qui confirme l'ajout de la méthode d'authentification.

Authentification de l'utilisateur

Après le démarrage de l'ordinateur, le système demande à l'utilisateur de saisir un nom d'utilisateur ou de sélectionner un utilisateur, puis de saisir un mot de passe. L'utilisateur doit ensuite choisir une méthode d'authentification pour valider son identité.

Si l'utilisateur a configuré plusieurs méthodes d'authentification, il peut choisir une de celles qui sont disponibles.

Les options de MFA sont les suivantes :

  • Notification Push Okta Verify

  • Code d'accès à usage unique Okta Verify

  • Jeton RSA

  • Clé de sécurité (USB)

  • Mot de passe à usage unique hors ligne

  • Clé de sécurité hors ligne avec prise en charge OAuth.

Les notifications Push Okta Verify, le code d'accès à usage unique, le jeton RSA et les clés FIDO2 Okta Verify peuvent uniquement être utilisés avec une connexion Internet.

Lorsque l'utilisateur sélectionne une méthode d'authentification, il doit compléter la demande de validation :

  • Pour une notification Okta Verify Push, cliquez sur Envoyer une notification Push. Vérifiez l'appareil mobile et confirmez la tentative de connexion dans l'application Okta Verify.

  • Pour un code d'accès à usage unique Okta Verify, ouvrez Okta Verify sur un appareil mobile et identifiez le code d'accès à usage. Saisissez le numéro dans le champ de connexion, puis cliquez sur la flèche pour continuer.

    Si vous avez activé la vérification par nombre, toutes les notifications Push envoyées aux utilisateurs pour validation sont des vérifications par nombre, quelle que soit la politique de connexion à votre application. Voir Appliquer la vérification par nombre pour Desktop MFA pour Windows.

  • Pour un jeton RSA SecurID, saisissez le code de jeton qui figure sur votre jeton matériel ou logiciel. Si votre org exige un code PIN défini par l'utilisateur, incluez le code PIN avant le code de jeton, sans espace entre les deux.

  • Un code PIN est requis pour l'authentification par clé de sécurité (USB). Insérez la clé de sécurité dans un port USB, puis saisissez le code PIN de la clé. Une fois le code validé, l'utilisateur est invité à appuyer sur la clé de sécurité pour accéder à l'appareil.

  • Pour un mot de passe à usage unique hors ligne, ouvrez Okta Verify sur un appareil mobile et identifiez le code d'accès à usage. Saisissez le nombre dans le champ de connexion Windows et cliquez sur la flèche pour continuer.

  • Pour la clé de sécurité hors ligne, insérez ou appuyez sur la clé de sécurité comme demandé.

Si l'authentification réussit, l'utilisateur obtient l'accès à l'ordinateur Windows. À la prochaine connexion de l'utilisateur à Windows, la dernière méthode MFA utilisée sera automatiquement sélectionnée. Pour choisir une autre méthode d'authentification, l'utilisateur doit cliquer sur Veuillez essayer une autre méthode et sélectionner une autre méthode pour vérifier son identité.

Saisie automatique du mot de passe de bureau

Si vous avez activé l'option Saisie automatique du mot de passe de bureau, les utilisateurs peuvent répondre à une notification Push ou utiliser une clé FIDO2 pour se connecter à Windows sans saisir de mot de passe.

Exigences des utilisateurs

  • L'ordinateur Windows doit être en ligne pour que la saisie automatique du mot de passe de bureau fonctionne. Si l'ordinateur est hors ligne, l'utilisateur peut saisir son mot de passe.

  • L'utilisateur doit avoir inscrit Okta Verify Push ou une clé FIDO2 comme facteur d'authentification.

  • S'il utilise Okta Verify Push, la biométrie doit être activée dans le compte Okta Verify de l'utilisateur.

Flux de connexion initial

Lorsqu'un utilisateur se connecte pour la première fois à son ordinateur Windows, il indique son nom d'utilisateur (le cas échéant), un mot de passe et un facteur de vérification. Cette vérification s'effectue soit par Okta Verify Push avec biométrie, soit par une clé de sécurité FIDO2 avec un code PIN.

Après authentification réussie, l'utilisateur est inscrit à la saisie automatique du mot de passe de bureau.

Flux de connexion ultérieur

À la connexion suivante de l'utilisateur à l'ordinateur, l'utilisateur devra uniquement s'authentifier à l'aide d'un facteur de vérification. Si l'utilisateur s'est inscrit à l'aide d'Okta Verify Push, il reçoit une notification Push sur son appareil mobile inscrit. De même, pour une clé FIDO2, l'utilisateur doit saisir le code PIN FIDO2.

Une fois que l'utilisateur a répondu à la notification Push ou saisi son code PIN FIDO2, il obtient l'accès à l'ordinateur sans qu'un mot de passe lui soit demandé.

Si l'une des conditions suivantes est vrai, le système invite l'utilisateur à saisir un mot de passe à la prochaine tentative de connexion :

  • Le mot de passe de l'utilisateur est réinitialisé
  • Le nom d'utilisateur Okta de l'utilisateur ne correspond pas au SamAccountName (SAM)
  • Le nom d'utilisateur Okta de l'utilisateur ne correspond pas au UserPrincipalName(UPN)

Si l'ordinateur Windows est hors ligne, ou si la saisie automatique du mot de passe échoue pour une raison quelconque, l'utilisateur peut saisir son mot de passe pour se connecter.

Réinitialisation du mot de passe en libre-service

Si vous activez l'option de réinitialisation du mot de passe en libre-service, les utilisateurs peuvent réinitialiser leur mot de passe s'ils l'ont oublié. Les utilisateurs doivent être en ligne pour réinitialiser leur mot de passe.

Si un utilisateur oublie son mot de passe, il peut cliquer sur Mot de passe oublié sur l'ordinateur Windows. L'utilisateur est invité à vérifier son identité avec Okta Verify sur son appareil mobile.

Une fois que l'identité de l'utilisateur a été vérifiée, il est invité à saisir un nouveau mot de passe. Ce nouveau mot de passe doit répondre aux exigences en matière de mots de passe. Lorsque le mot de passe est modifié, l'utilisateur reçoit un message indiquant Votre mot de passe a été modifié.

Si le nom d'utilisateur Okta ne correspond pas au SamAccountName (SAM) ou au UserPrincipalName (UPN), la réinitialisation du mot de passe en libre-service n'est pas disponible.

Étape suivante

Soutenir vos utilisateurs de Desktop MFA sous Windows