Comment activer la MFA pour Windows, macOS et Linux

Vous pouvez appliquer la MFA pour les machines Windows, macOS et Linux de deux manières :

• MFA basée sur l'utilisateur: Protégez les connexions aux ordinateurs de bureau ou portables, y compris les connexions à distance, en utilisant la MFA pour un groupe spécifique d'utilisateurs. Cliquez ici pour les étapes de configuration.
• MFA basée sur la machine: Appliquez la MFA spécifiquement aux machines, indépendamment des utilisateurs y accédant, de leur statut d'inscription, et de la connectivité ADSelfService Plus. Les authentificateurs configurés sous la MFA basée sur l'utilisateur sont sollicités lors du processus de MFA basée sur la machine. Les invites UAC, l'authentification client et serveur RDP, ainsi que les déblocages système peuvent également être sécurisés par la MFA basée sur la machine. Cliquez ici pour en savoir plus.

Note : L' édition Professional d'ADSelfService Plus avec Endpoint MFA est requise pour que la MFA machine fonctionne sur les serveurs Windows. Sinon, la MFA sera contournée sur les serveurs Windows.

Les machines peuvent être sécurisées par MFA de deux manières :

• MFA en ligne: Le processus MFA par défaut ou en ligne dans ADSelfService Plus utilise une connexion réseau entre le serveur ADSelfService Plus et les machines utilisateur pour vérifier l'identité des utilisateurs en fonction des données d'authentificateur enregistrées dans le serveur ADSelfService Plus.
• MFA hors ligne: Pour garantir la sécurité de l'identité même en l'absence d'une connexion réseau appropriée ou de communication avec le serveur ADSelfService Plus, la MFA hors ligne vérifie l'identité utilisateur avec les données d'authentificateur stockées de manière sécurisée dans la machine utilisateur par l'agent de connexion Windows ou macOS. La MFA hors ligne est prise en charge uniquement pour les connexions Windows et macOS, ainsi que pour d'autres actions périphériques liées à Windows (invites UAC, authentification serveur RDP et déblocages de machine) lorsque le serveur ADSelfService Plus est inaccessible. Cliquez sur ces liens pour en savoir plus sur l'inscription et le processus.

de vérification

Prérequis

• Général L'Endpoint MFA pour ADSelfService Plus est nécessaire pour activer la fonction MFA pour les connexions machines. Visitez la boutique
• pour acheter l'Endpoint MFA.SSL doit être activé : Connectez-vous à la console web ADSelfService Plus avec des identifiants administrateur. Naviguez vers l'onglet Admin > Paramètres du produit > Connexion . Sélectionnez l'option Port ADSelfService Plus [https] . Référez-vous à ce guide
• pour apprendre comment demander un certificat SSL et activer HTTPS.L'URL d'accès doit être configurée en HTTPS : Naviguez vers Admin > Paramètres du produit > Connexion > Paramètres de connexion > Configurer l’URL d’accès et définissez l’option Protocole sur.
• HTTPSActivez les méthodes d'authentification requises . Pour les étapes d'activation des méthodes d'authentification, référez-vous à la section Authenticators
• . Cliquez ici Installez le logiciel client ADSelfService Plus login agent pour Windows, macOS et Linux sur les machines où vous voulez activer la MFA.

pour les étapes d'installation de l'agent de connexion ADSelfService Plus.

• Prérequis pour la MFA hors ligne La MFA hors ligne nécessite l’ édition Professional d'ADSelfService Plus
• avec Endpoint MFA.
• La MFA hors ligne est supportée uniquement pour les connexions Windows (sauf Windows 10 version 1803) et macOS. Pour les connexions à distance, la MFA hors ligne n’est pas supportée pour l’authentification client RDP Windows. Veuillez vous assurer que l'agent de connexion installé sur vos machines est à la version requise : version 6.3 ou supérieure pour Windows, et version 3.0 ou supérieure pour macOS. Sinon, mettez à jour l'agent vers la dernière version en suivantces étapes

. Si vous n'avez pas encore installé l'agent de connexion, veuillez configurer la MFA hors ligne avant de le faire pour garantir que les modifications sont bien appliquées.

1. Étapes pour activer la MFA pour les machines Windows, macOS et Linux Allez dans.
2. Configuration > Self-Service > Authentification multi-facteurs > MFA pour endpoints Sélectionnez une politique dans le menu déroulant Choisir la politique
. Cela déterminera quelles méthodes d’authentification sont activées pour quels groupes d'utilisateurs. ADSelfService Plus vous permet de créer des politiques basées sur des OU et groupes. Pour créer une politique, allez à Configuration > Self-Service > Configuration des politiques > Ajouter une nouvelle politique. Cliquez surSélectionner OUs/Groupes et faites la sélection selon vos besoins. Vous devez sélectionner au moins une fonctionnalité de libre-service. Cliquez sur.
3. Enregistrer la politique Dans la section MFA pour la connexion machine
, activez l'option en cochant la case, choisissez le nombre de facteurs d’authentification à solliciter, et sélectionnez la méthode d’authentification désirée dans le menu déroulant.Note : Les passkeys FIDO2 sont supportés pour les connexions machine. Pour plus de détails sur les scénarios pris en charge, cliquez.
4. ici
• Sélectionnez l’option Choisir les authentificateurs pour la MFA hors ligne de connexion machine et sélectionnez les méthodes d’authentification que vous préférez pour la MFA hors ligne dans le menu déroulant. Les authentificateurs suivants sont pris en charge :
• Google Authenticator
• Microsoft Authenticator
• Authentificateur personnalisé à mot de passe à usage unique basé sur le temps (TOTP)
• Zoho OneAuth TOTP : Les passkeys FIDO2 sont supportés pour les connexions machine. Pour plus de détails sur les scénarios pris en charge, cliquez Passkeys FIDO2 (Cliquez

pour les scénarios pris en charge)

5. Configuration > Self-Service > Configuration des politiques > Ajouter une nouvelle politique. Pour forcer les utilisateurs à s’inscrire aux authentificateurs sélectionnés ici, choisissez l’option Forcer l’inscription dans ce paramètre avancé..

Note :

• Enregistrer les paramètres
• L' Si la MFA hors ligne n’est pas configurée ou si la machine d’un utilisateur n’est pas inscrite pour la MFA hors ligne, l’accès hors ligne est refusé sauf si : L’option Ignorer la MFA lorsque le serveur ADSelfService Plus est en panne ou inaccessible est activée. Ce réglage se trouve sous.
• Configuration > Self-Service > Authentification multi-facteurs > Avancé > Endpoint MFA > MFA connexion machine La MFA basée sur la machine n’est pas appliquée pour cette machine. Le paramètre Gérer la MFA sous Configuration > Outils administratifs > GINA/Mac/Linux (Ctrl+Alt+Del) > Installation GINA/Mac/Linux > Machines installées

est défini sur Exempté.

• Pour éviter de compromettre la sécurité en contournant la MFA ou de nuire à la productivité en refusant l’accès hors ligne, il est recommandé d’activer la MFA hors ligne.
• Les modifications de la configuration MFA hors ligne, des paramètres avancés, des données d’inscription et de la désinscription de la machine de la MFA hors ligne ne seront prises en compte qu’après la prochaine tentative réussie de MFA en ligne sur cette machine. Apprenez à activer le support de la langue locale

pour la MFA sur Windows.

Annexe

Inscription des machines Windows pour la MFA hors ligne

Inscription des authentificateurs par les utilisateurs

Une fois la MFA hors ligne configurée, après qu’un utilisateur ait complété la MFA en ligne via l’agent de connexion ou dans le portail ADSelfService Plus, il sera invité à s’inscrire aux authentificateurs configurés pour la MFA hors ligne s’il ne l’a pas encore fait.

Inscription machine pour la MFA hors ligne

Après la MFA en ligne, selon la configuration des paramètres avancés, la machine de l’utilisateur sera soit automatiquement inscrite à la MFA hors ligne, soit l’utilisateur devra choisir entre inscrire sa machine ou passer l’inscription.

Une fois la machine inscrite à la MFA hors ligne pour l’utilisateur spécifique, les données d’inscription authentificateur de l’utilisateur seront transmises de façon sécurisée depuis le serveur ADSelfService Plus et stockées sous forme de données chiffrées dans la machine spécifique pour la MFA hors ligne. Ce processus se répétera régulièrement pour maintenir les données d’authentificateur à jour.

Le dispositif inscrit à la MFA hors ligne peut être désinscrit par les administrateurs ou par l’utilisateur final si nécessaire.

1. Comment fonctionne la MFA hors ligne ?
2. L'utilisateur saisit ses identifiants pour se connecter à sa machine.
3. Si l'authentification primaire est réussie, l’agent de connexion ADSelfService Plus installé sur la machine tente d’accéder au serveur ADSelfService Plus pour initier la MFA mais échoue en raison d’un manque de connectivité.
4. L’agent de connexion initie alors la MFA hors ligne.

Si l'utilisateur complète avec succès les niveaux d’authentification requis, il est connecté à la machine.