Mise en œuvre de l'authentification multifacteur

Vérifier les prérequis et installer les agents

UserLock protège les connexions à votre réseau où l'agent UserLock est installé. Pour protéger les connexions avec MFA, vous devrez installer des agents en fonction des types de connexion à protéger :

• Agents Desktop pour les sessions locales, RDP, RD Gateway et VDI
• Agents NPS fpour les connexions VPN
• Agents IIS pour les connexions aux applications web IIS

Planifiez votre déploiement et votre inscription

Comme pour tout changement organisationnel, il est préférable de préparer vos utilisateurs en mettant en place un plan de déploiement et d'activation de la MFA.

• Si vous cherchez à protéger plusieurs types de connexion, nous vous recommandons de commencer par déployer des agents de station et d'inscrire les utilisateurs pour les sessions locales et RDP avant d'étendre au VPN, IIS et SaaS.
• Commencez votre déploiement avec un petit groupe d'utilisateurs qui sont familiers avec la MFA et qui peuvent éventuellement aider les autres. En général, il s'agira de vos administrateurs informatiques.
• Activez les options "Demander de l'aide" et "Ignorer" pour faciliter l'intégration des utilisateurs.
• Assurez-vous que vos utilisateurs sont équipés de dispositifs pour la MFA avant d'activer les politiques. Les utilisateurs auront besoin d'un smartphone s'ils utilisent UserLock Push, une application d'authentification tierce, ou un jeton USB ou programmable. Ils auront besoin de l'appareil au moment de l'inscription.

UserLock MFA vous permet de vous authentifier avec les méthodes suivantes :

• L'application mobile UserLock Push : Pour les notifications push en un seul clic et les codes TOTP push vérifiés. (Les notifications Push de UserLock sont une fonctionnalité disponible uniquement sur abonnement.)
• Applications d'authentification tierces : telles que Google Authenticator pour les codes TOTP.
• Jetons USB : tels que ceux de YubiKey ou Token2
• Jetons programmables de Token2

Pour une liste complète de tous les jetons compatibles, cliquez ici.

Configurez les paramètres MFA :

Allez dans les paramètres MFA dans la console UserLock.

Demander de l'aide : Activez cette fonction pour permettre aux utilisateurs de demander de l'aide et de notifier les administrateurs lorsqu'ils ne peuvent pas s'authentifier avec MFA. Entrez les noms des machines pour recevoir une notification par pop-up, ou ajoutez un ou plusieurs destinataires pour les notifications par e-mail. Pour plus d'informations, lisez comment utiliser cette fonctionnalité et comment traiter les demandes.

Méthodes MFA : Par défaut, l'application d'authentification et les jetons USB sont activés. Les notifications push nécessitent une connexion Internet pour votre serveur UserLock, et sont donc désactivées par défaut.

Activez les méthodes que vous souhaitez mettre à la disposition des utilisateurs. Toutes les méthodes activées seront proposées aux utilisateurs lors de l'inscription. Pour des guides d'intégrations spécifiques par méthode, voir ici.

Méthodes MFA alternatives : Vous pouvez autoriser ou forcer vos utilisateurs à s'inscrire à deux types de méthodes MFA. N'oubliez pas que lorsque les utilisateurs s'inscrivent aux notifications push MFA, ils peuvent également accéder à un code TOTP avec l'application UserLock Push. Ce code TOTP leur permet de se connecter au cas où il y aurait un problème de réseau et qu'ils ne pourraient pas recevoir de notifications push.

Les autres méthodes MFA doivent être configurées au moment de l'inscription.

Codes de récupération : Les codes de récupération sont des codes à usage unique qui peuvent être utilisés pour s'authentifier si l'utilisateur n'a pas accès à son application smartphone ou à son jeton. Ces codes seront présentés à l'utilisateur au moment de l'inscription, et il devra les imprimer et les stocker dans un endroit sûr où il pourra les consulter si nécessaire. Pour générer un nouveau lot de codes, vous devrez réinitialiser la clé MFA de cet utilisateur et il devra se réinscrire.

Vous pouvez choisir de fournir 4 à 20 codes par utilisateur.

Cliquez sur "Appliquer" dans le panneau d'accès rapide pour enregistrer vos paramètres.

Créer des comptes protégés pour activer la MFA pour les utilisateurs, groupes ou OUs

Pour inscrire les utilisateurs à la MFA, ils doivent faire partie d'un compte protégé avec la MFA activée. Vous pouvez créer ces politiques au niveau de l'OU, du groupe ou de l'utilisateur. Pour plus d'informations sur les comptes protégés, cliquez ici.

Dans la vue Comptes protégés, double-cliquez sur un compte protégé pour modifier ses paramètres. Faites défiler la page jusqu'à Authentification multifacteur.

Sélectionnez "Activée".

Il y a deux onglets pour les connexions aux postes de travail et aux serveurs (Attention les sessions IIS et VPN sont considérées comme des connexions serveurs). Cela vous permet de définir deux polices distinctes pour ces types de connexions. Pour chacune d'elles, vous disposez de 4 options :

• Tous : connexions locales et distantes.
• Distantes : Toute connexion provenant d'une autre machine : RDP, VPN, IIS, etc.
• Provenant de l'extérieur : Toute connexion à distance dont l'adresse IP du client provient de l'extérieur du réseau de l'entreprise.
• Non configuré

Sélectionnez la fréquence des invites MFA :

• Jamais : ce compte ne sera jamais sollicité pour ces types de connexion.
• En se connectant pour la première fois à partir d'une nouvelle adresse IP (une fois par adresse) : lorsqu'un utilisateur se connecte pour la première fois à partir d'une nouvelle adresse IP, il sera demandé de se connecter à MFA. Une fois que cette adresse IP a été enregistrée pour UserLock, il ne sera plus invité à s'authentifier avec MFA.
• À chaque connexion : Cela inclut le déverrouillage et la reconnexion à une session à distance.
• À la première connexion de la journée (une fois par adresse IP) : Les utilisateurs seront demandés lors de la première connexion de la journée (après minuit) et ne seront à nouveau demandés au cours de la journée que s'ils changent d'adresse IP.
• Tous les N jours : Les utilisateurs devront s'authentifier pour chaque adresse IP tous les N jours.
• Après N jours(s) depuis la dernière connexion depuis cette adresse IP : Cela fonctionne de la même manière que la deuxième option, sauf que vous pouvez choisir de demander la MFA tous les N jours.

Remarque : les utilisateurs qui se connectent à des sessions à distance avec le même compte depuis une adresse IP qui a déjà été authentifiée avec la MFA ne seront pas sollicités pour ces sessions à distance ultérieures.

Option Ignorer :

Dans cet onglet, vous pouvez activer un bouton qui permettra aux utilisateurs d'ignorer la configuration MFA jusqu'à une date spécifique. Les utilisateurs seront incités à s'inscrire en fonction de la fréquence que vous avez configurée pour MFA. Une fois cette date passée, ils ne pourront pas se connecter tant qu'ils ne se seront pas inscrits à MFA.

Cliquez sur Appliquer dans le panneau d'accès rapide pour enregistrer vos paramètres.

Voir les cas d'utilisation spécifiques pour l'activation de la MFA pour le VPN, les applications IIS, les applications SaaS (SSO), et les guides d'intégration des utilisateurs finaux pour chaque méthode.

Lié à la MFA :

• Connexions sans connexion réseau
• Comment inscrire des utilisateurs distants
• Notifications Push de UserLock : Guide de l'utilisateur final

• Authentification multifacteur
  • Mise en œuvre de l'authentification multifacteur
  • Application UserLock Push
  • Comment appliquer la MFA au VPN
  • Comment configurer et installer VPN Connect pour la MFA
  • Comment appliquer la MFA pour les applications IIS telles que OWA, RDWeb et Sharepoint
  • Comment appliquer la MFA pour la SSO
  • Comment appliquer la MFA aux sessions Bureau à distance via Remote Desktop Gateway
  • Comment inscrire des utilisateurs distants à la MFA
  • Intégration pour les utilisateurs finaux - Notifications UserLock Push
  • Intégration pour les utilisateurs finaux – avec une application d’authentification
  • Intégration pour les utilisateurs finaux – avec un jeton matériel programmable Token2
  • Intégration pour les utilisateurs finaux – avec un jeton Token2 HOTP
  • Intégration pour les utilisateurs finaux – avec YubiKey
  • Intégration pour les utilisateurs finaux - avec des codes de récupération