Présentation

Specops Authentication for O365 est la solution idéale pour les organisations nécessitant une approche simple et automatisée de la gestion et de l’authentification des utilisateurs O365. Specops Authentication est installé à l’intérieur de votre Active Directory. Ceci vous permet d’utiliser les stratégies de groupe existantes pour configurer l’approvisionnement et attribuer des licences aux utilisateurs lorsqu’ils se connectent à O365.

Le puissant moteur d’authentification multifacteur de la solution prend en charge une vaste gamme de facteurs d’authentification qui peuvent aider à améliorer la sécurité globale de votre organisation. Avec plus de 15 fournisseurs d’identité disponibles lors de l’authentification, les utilisateurs disposeront toujours d’un moyen sécurisé d’accéder aux ressources importantes.

Specops Authentication for O365 peut être utilisé sans expertise approfondie de l’administrateur. Quel que soit le stade auquel vous en êtes de votre déploiement de O365, Specops Authentication peut réduire le temps d’administration d’O365 et augmenter la sécurité sans perturber l’expérience utilisateur.

Concepts fondamentaux


Authentification

L’authentification consiste à vérifier l’identité d’un utilisateur. Généralement, ceci nécessite que l’utilisateur indique son identité en saisissant son nom d’utilisateur et son mot de passe.

Inscription

Vous devez vous inscrire auprès de Specops Authentication avant d’accéder à O365. La procédure d’inscription sera différente pour chaque type de service d’identité. Pour vous inscrire à un service d’identité externe, tel que Google, veuillez utiliser le lien sur Specops Authentication web vers la page Web Google, et vous connecter avec l’adresse e-mail et le mot de passe associés à votre compte Google.

Services d’identité

Les services d’identité permettent aux utilisateurs de s’identifier en toute sécurité lorsqu’ils se connectent. Les services d’identité peuvent être classés dans plusieurs catégories, notamment : nom d’utilisateur et mot de passe, réseaux sociaux (LinkedIn, Tumblr), et de plus grande confiance (Google Authenticator, Microsoft Authenticator, Duo Security Security).

Afin d’utiliser divers services d’identité pour authentifier les utilisateurs, le service d’identité doit être configuré (activé) dans la console d’administration, et l’utilisateur concerné par la stratégie uReset doit s’inscrire au service uReset. Une fois qu’un utilisateur s’est inscrit, il peut réinitialiser son mot de passe à l’aide de l’application Web uReset (via un lien hypertexte sur l’écran de connexion ou sur n’importe quel navigateur moderne). Specops uReset utilise les données des objets utilisateur dans Active Directory pour lire et écrire les informations utilisées dans le système.

Voici une liste de tous les services d’identité disponibles dans Specops Authentication.

Standard

  • Specops Fingerprint : Specops Fingerprint permet aux utilisateurs de s’inscrire et de s’authentifier à l’aide d’appareils dotés de lecteurs d’empreintes digitales, tels que les téléphones intelligents et les tablettes. Les utilisateurs peuvent placer leur doigt sur le lecteur d’empreintes digitales de leur appareil pour s’identifier instantanément. Les utilisateurs peuvent également utiliser Face ID pour s’authentifier, s’ils possèdent un iPhone X ou un modèle ultérieur. Afin d’utiliser ce service d’identité, l’application doit être installée sur l’appareil mobile de l’utilisateur.
  • Specops Authenticator : Les utilisateurs peuvent s’authentifier avec l’application Specops Authenticator. Les utilisateurs scannent un code QR ou saisissent une réponse à une question de sécurité. Specops Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique à 6 chiffres, qui doit être saisi pour s’authentifier.
  • Mobile Code (SMS) : Les utilisateurs recevront un mot de passe unique à 6 chiffres via un message SMS, qui doit être saisi pour s’authentifier.
  • E-mail : l’adresse e-mail de l’utilisateur est utilisée comme service d’identité en envoyant un code à l’adresse e-mail enregistrée que l’utilisateur doit ensuite saisir dans le champ à l’écran. E-mail L’adresse e-mail ne nécessite pas d’inscription, car elle fait référence à l’adresse e-mail de l’attribut e-mail dans AD (ou tout autre attribut s’il est remplacé). Celle-ci ne peut être utilisée qu’avec des domaines associés à Specops Authentication.
  •  : l’adresse e-mail de l’utilisateur est utilisée comme service d’identité en envoyant un code à l’adresse e-mail enregistrée que l’utilisateur doit ensuite saisir dans le champ à l’écran. doit être enregistrée lors de l’inscription par l’utilisateur et celui-ci peut utiliser l’adresse e-mail de son choix.
  • Emplacements réseau approuvés : Emplacements réseau approuvés est un service d’identité qui permet aux administrateurs de désigner certaines plages d’adresses IP en tant que Emplacements réseau approuvés.
  • Identification du gestionnaire : Lorsqu’un utilisateur s’authentifie à l’aide de Identification du gestionnaire, un e-mail ou un SMS est envoyé à son responsable. Son responsable doit alors approuver la demande d’authentification. Les administrateurs peuvent personnaliser la notification envoyée en ajoutant des informations personnalisées à la notification de la demande. Afin d’utiliser Identification du gestionnaire, chaque utilisateur doit avoir un responsable attribué dans Active Directory, et les comptes de responsable doivent avoir une adresse e-mail/numéro de téléphone portable associé à leur profil afin de recevoir les demandes d’authentification des utilisateurs.
  • Questions secrètes : Les utilisateurs peuvent choisir des questions dans une liste prédéterminée et indiquer les réponses à celles-ci. Ils doivent ensuite répondre à ces questions afin de s’authentifier.

Tiers

REMARQUE
Dans la plupart des cas, l’inscription à des services d’identité tiers doit être gérée individuellement par les utilisateurs.
  • PingID : Avec PingID, les utilisateurs peuvent s’authentifier à l’aide de l’application mobile PingID.
  • Duo Security : Avec Duo Security, les utilisateurs peuvent s’authentifier à l’aide de l’application mobile Duo Security.
  • Freja : Avec Freja, les utilisateurs peuvent s’authentifier à l’aide de l’application mobile Freja.
  • Oktales utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Okta. Ceci peut être effectué via l’application Okta et en envoyant des codes par SMS.
  • Symantec VIP : Les utilisateurs peuvent s’authentifier avec l’application mobile Symantec VIP.
  • Google Authenticator : Google Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d’un code QR que l’utilisateur scanne. Google Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s’authentifier.
  • Microsoft Authenticator : Microsoft Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d’un code QR que l’utilisateur scanne. Microsoft Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s’authentifier.
  • EFOS/SITHS (Suède) : EFOS/SITHS est un service d’authentification basé sur une carte à puce, qui permet aux employés (tels que les professionnels de la santé) des autorités, des municipalités et des conseils de comté en Suède de s’identifier électroniquement.
  • Mobile BankID (Suède) : Si les utilisateurs disposent de l’application Mobile BankID, ils peuvent l’utiliser pour vérifier leur identité.
    REMARQUE
    Les utilisateurs devront scanner un code QR dans l’application Mobile BankID afin de s’authentifier avec ce service d’identité.
  • YubiKey : YubiKey est un dispositif matériel d’authentification. Les utilisateurs peuvent s’authentifier en générant des mots de passe à usage unique (OTP) avec leur YubiKey (uniquement si la YubiKey prend en charge Yubico OTP en tant que fonction de sécurité). Pour plus d’informations concernant YubiKey, veuillez consulter la page YubiKey.
  • Passkeys : Les utilisateurs peuvent s’authentifier avec les clés d’accès qu’ils ont déjà configurées sur leur appareil. Une clé d’accès est un identifiant numérique (authentificateur) associé à un compte utilisateur et à un site Internet ou à une application. Windows Hello, Yubikey, Bitwarden et toute application d’authentification telle que Google Authenticator sont quelques exemples de clés d’accès.
  • Entra ID : permet à Specops Authentication de s’intégrer aux bibliothèques d’authentification Microsoft. Microsoft Authenticator peut être utilisé pour s’authentifier avec Specops Authentication sans utiliser de mot de passe.

Fédéré

  • Google : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Google.
  • Microsoft Live : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Microsoft Live. Microsoft Live Les informations d’identification sont utilisées pour se connecter à Microsoft Cloud, notamment : Outlook, Office Online, OneDrive, Skype, Xbox Live, et Microsoft Store.
  • Tumblr : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Tumblr.
  • Flickr : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Flickr.
  • LinkedIn : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte LinkedIn.

Authentification multifacteur

L’authentification multifacteur nécessite plus d’une méthode d’authentification de catégories d’informations d’identification indépendantes : quelque chose que vous connaissez (c’est-à-dire un mot de passe), quelque chose que vous possédez (c’est-à-dire un appareil mobile) et quelque chose que vous êtes (c’est-à-dire une empreinte digitale).

Le modèle d’authentification multifacteur Specops est dynamique. Les utilisateurs peuvent choisir les services d’identité qu’ils souhaitent combiner pour l’inscription et l’authentification, à condition qu’ils répondent aux exigences de la politique. Les utilisateurs inscrits auprès de plus de services d’identité que nécessaire pour leur authentification auront le choix pour s’authentifier. Ceci garantit que les utilisateurs finaux auront toujours la possibilité de satisfaire à la stratégie d’authentification, même si un service d’identité n’est pas disponible (par exemple, si l’utilisateur n’a pas son téléphone portable à proximité).

Stratégie

Une stratégie contient les règles requises pour l’inscription et l’authentification multifacteur lors de l’accès à O365. Une stratégie contrôle les services d’identité qui peuvent être utilisés et combien doivent être utilisés pour vérifier l’identité des utilisateurs finaux. L’administrateur système est chargé de configurer les règles dans les stratégies.

Architecture et conception


Specops Authentication inclut les composants suivants et ne nécessite aucune ressource supplémentaire dans votre environnement. Les services d’authentification, Web et d’identité sont hébergés sur le cloud. Vous n’aurez qu’à installer le composant Gatekeeper.

Texte de remplacement pour cette image

  1. L’utilisateur tente d’accéder à son O365
  2. L’utilisateur est redirigé vers Specops Authentication via approbation fédérée
  3. Les options d’authentification sont extraites et présentées à l’utilisateur.
  4. L’utilisateur choisit les services d’identité pour l’authentification
  5. Les services d’identité renvoient l’identité de l’utilisateur à Specops Authentication
  6. L’identité de l’utilisateur est validée par rapport à Active Directory
  7. Specops Authentication crée un jeton que l’utilisateur doit présenter à O365
  8. Specops Authentication renvoie l’utilisateur authentifié à O365 (si la stratégie d’authentification est respectée)

Cloud d’authentification : Le composant cloud global de Specops Authentication, le cloud d’authentification, contient les services Web (front-end pour les utilisateurs finaux) et back-end.

Authentication Web : Contient l’interface pour les utilisateurs finaux, ainsi que pour les administrateurs. Il permet la création de paramètres Specops Authentication ainsi que la configuration de l’approvisionnement.

Serveur principal d’authentification : Afin de lire les informations utilisateur à partir d’Active Directory, le serveur principal communique avec le Gatekeeper. Les services Web et d’identité communiquent également avec le serveur principal. Le serveur principal d’authentification valide l’identité d’un utilisateur dans Specops Authentication, en fonction des jetons des services d’identité individuels.

Gatekeeper : Le Gatekeeper doit être installé sur un serveur de votre domaine. Le Gatekeeper lit les informations utilisateur à partir d’Active Directory et gère toutes les opérations par rapport à Active Directory, telles que la lecture/l’écriture des données d’inscription.

Services d’identité : Une entité pouvant valider l’identité d’un utilisateur dans Specops Authentication. Les jetons des services d’identité individuels sont utilisés par le serveur principal pour valider l’identité d’un utilisateur.

Certains des services d’identité utilisés lors de l’authentification, tels que Google sont externes. Lorsqu’un service d’identité externe est utilisé, l’utilisateur est redirigé vers le service d’identité et invité à donner à Specops Authentication son consentement pour accéder à ses informations personnelles, telles que son nom d’utilisateur. Les informations du consentement permettent la création du jeton utilisé pour l’authentification.

Stratégie d’authentification : Une stratégie qui indique comment un utilisateur doit s’authentifier pour pouvoir accéder à une ressource.

Jeton : Un jeton ou un jeton de sécurité est un support d’informations concernant un utilisateur et l’émetteur du jeton. Les informations concernant un utilisateur consistent en un ensemble de déclarations. Les revendications concernant un utilisateur peuvent par exemple être le nom de l’utilisateur, l’identifiant du client auquel il appartient et les rôles d’un utilisateur au sein de son organisation.

Remarque : Aucune information d’identification personnelle ou mot de passe ne sont inclus dans les jetons.

Fonctionnalités et capacités


Fonctionnalités de prise en charge de la console

Identité Windows fédérée

Lorsqu’un utilisateur tente de se connecter à O365, Specops Authentication peut accorder un accès SSO avec les informations d’identification d’authentification intégrée Windows existantes, sauf si des exigences d’authentification supplémentaires sont spécifiées dans la stratégie.

Attribution d’approbation du service d’identité

Specops Authentication permet à l’administrateur d’attribuer une valeur/pondération de confiance à chaque service d’identité, en décidant finalement qu’un service d’identité vaut deux fois plus qu’un autre lors de l’authentification. Sur les interfaces utilisateur, tant pour les utilisateurs finaux que pour l’administrateur, les pondérations sont représentées par des étoiles.

Personnalisations

L’application Web contient plusieurs fonctionnalités de personnalisation qui vous permettent de contrôler l’interface utilisateur final de Specops Authentication. Vous pouvez personnaliser divers éléments graphiques, dont le logo principal et le style principal (vous permettant de définir vos propres styles en utilisant un CSS bootstrap personnalisé).

Authentification multifacteur pour les administrateurs

Les utilisateurs faisant partie du groupe d’administrateurs de Specops Authentication peuvent utiliser l’authentification multifacteur pour vérifier leur identité lorsqu’ils accèdent aux pages d’administration de l’application Web.

Applications mobiles

Specops Authenticator

L’application Specops Authenticator est un service d’identité à haut niveau de fiabilité, qui transforme l’appareil mobile en un dispositif de jeton sécurisé. L’application génère un code secret que l’utilisateur doit fournir en plus de son identifiant lors de l’authentification. Les codes générés sont basés sur les jetons de sécurité de l’algorithme de mot de passe à usage unique basé sur le temps. En tant que tel, Specops Authenticator peut fonctionner avec les authentificateurs Google et Microsoft Authenticator.

Specops Fingerprint Authenticator

L’application Specops Fingerprint Authenticator vous permet de vous authentifier auprès d’O365 en utilisant soit la fonction de reconnaissance d’empreintes digitales Touch ID intégrée à votre iOS, soit la fonction d’analyse de l’API d’empreintes digitales intégrée à votre système d’exploitation Android 6.0 ou plus récent.

Clients pris en charge


Specops Authentication prend en charge les clients ci-dessous pour accéder à O365.

  • Versions Web d’O365 sur tous les navigateurs modernes, par ex. https://portal.office.com
  • Office 365 pour Windows
  • Office 2016 pour Windows
  • Office 2013 pour Windows (Nécessite des paramètres supplémentaires déployés au sein de l’organisation).
  • Outlook pour iPhone
  • Outlook pour Android
  • OneDrive Entreprise
  • Skype Entreprise

Scénarios de configuration courants


Vous trouverez ci-dessous 3 scénarios de configuration courants pour l’authentification Specops avec O365.

Vous n’utilisez pas O365 et votre domaine principal n’est pas enregistré dans Microsoft Entra ID

  1. Vous pouvez acheter un compte O365 ou créer un compte d’essai gratuit Enterprise à l’adresse : https://www.microsoft.com/en-ca/microsoft-365/business/office-365-enterprise-e3-business-software
  2. Créer votre compte client Specops Authentication sur : https://login.specopssoft.com/Authentication/Account/Signup
  3. Suivez les étapes indiquées dans les guides d’installation et d’administration de Specops Authentication.

Utilisation d’O365 avec votre locataire de production/Active Directory pour les tests sur le nom de domaine secondaire

Votre nom de domaine principal est en cours d’utilisation et vous souhaitez configurer un nom de domaine secondaire afin d’effectuer des tests.

  1. Créez un nouveau domaine DNS public (par exemple : test.contoso.com). Vous serez invité à vérifier votre domaine en ajoutant un enregistrement TXT à l’enregistrement DNS de votre hébergeur de domaine lors de la configuration.
  2. Assurez-vous de disposer d’utilisateurs de test avec des suffixes UPN sous le nouveau domaine, user@test.contoso.com.
  3. Créez votre compte client Specops Authentication avec le domaine secondaire, test.contoso.com.
  4. Installez le composant Gatekeeper. Veuillez consulter le Guide d’installation de Specops Authentication.
  5. Configurez la fédération avec le domaine (test.contoso.com) et O365. Consultez le Guide d’administration > Office 365.
    • Si vous utilisez déjà Microsoft Entra Connect pour l’attribution, vous pouvez ignorer l’attribution d’utilisateurs > Configurer. Si les étapes restantes sont configurées, les utilisateurs pourront se connecter à O365 avec une authentification unique ou une authentification multifacteur, en utilisant leur nom d’utilisateur principal (UPN), par exemple : Jane.Doe@test.contoso.com.
    • Si vous utilisez déjà Microsoft Entra Connect et souhaitez tester Specops Authentication pour l’attribution, assurez-vous qu’Microsoft Entra Connect ne synchronise pas vos utilisateurs de test. Définissez la portée d’Microsoft Entra Connect pour exclure l’unité d’organisation où se trouvent vos utilisateurs de test.
    • Si ces utilisateurs ont déjà été mis en service par Microsoft Entra Connect, ils seront supprimés de votre locataire Microsoft Entra par Microsoft lors du prochain cycle de synchronisation. Une fois supprimés, Specops Authentication ne peut pas les recréer. Pour restaurer les utilisateurs supprimés, accédez à « Utilisateurs supprimés » sur le portail d’administration O365. Ceci peut également être effectué en utilisant PowerShell.
  6. Indiquez un objet de stratégie de groupe qui affecte ces utilisateurs dans le Gatekeeper Admin Tool, et activez l’attribution d’utilisateurs pour l’objet de stratégie de groupe sur Specops Authentication web. Ces utilisateurs peuvent désormais se connecter à l’aide d’une authentification unique et seront approvisionnés.

Utilisation d’O365 avec votre locataire de production/Active Directory pour les tests en production (non recommandé)

Votre nom de domaine principal est en cours d’utilisation et vous ne souhaitez configurer un nom de domaine secondaire. Ceci configurera Specops Authentication pour tous les utilisateurs en production.

  1. Créez votre compte client Specops Authentication avec votre domaine principal, contoso.com.
  2. Installez le composant Gatekeeper. Veuillez consulter le Guide d’installation de Specops Authentication.
  3. Créez et marquez un objet de stratégie de groupe qui affecte tous les utilisateurs devant se connecter à O365, ou utilisez un objet de stratégie de groupe existant.
  4. Créez et marquez un objet de stratégie de groupe qui affecte les utilisateurs de test que vous souhaitez utiliser pour tester Specops Authentication, ou utilisez un objet de stratégie de groupe existant.
  5. Configurez la fédération avec le domaine (contoso.com), et O365. Consultez le Guide d’administration > Office 365.
    REMARQUE
    Effectuez les étapes de configuration, mais ignorez la configuration de l’approvisionnement des utilisateurs et des licences.
  6. Sur Specops Authentication web, configurez la stratégie affectant tous les utilisateurs afin que seule l’identité Windows ne soit requise lors de l’authentification. Vous devrez également configurer l’authentification intégrée.
  7. Sur Specops Authentication web, configurez la stratégie affectant les utilisateurs de test.
  8. Les utilisateurs pourront se connecter à O365 à l’aide d’une authentification unique ou d’une authentification multifacteur, en utilisant leur nom d’utilisateur principal (UPN), par exemple : Jane.Doe@contoso.com.

Questions fréquentes


Les stratégies Specops Authentication peuvent-elles être configurées afin de ne s’appliquer qu’à des groupes spécifiques ?

Oui. Vous pouvez créer des stratégies pour les objets de stratégie de groupe souhaités ou la portée sélectionnée.

Specops Authentication prend-il en charge plusieurs noms de domaine ?

Oui, à condition que les domaines de toutes les adresses e-mail soient enregistrés auprès d‘Microsoft Entra ID/O365.

Specops Authentication prend-il en charge la redondance ?

Oui, vous pouvez installer et configurer des Gatekeepers supplémentaires pour la redondance.

Specops Authentication stocke-t-il des données personnelles ou commerciales confidentielles ?

Les données relatives à l’authentification, dont les données d’inscription, sont stockées directement dans les sous-objets du compte d’utilisateur dans Active Directory. Specops Authentication ne stocke pas de copie de votre répertoire. Les utilisateurs sont approvisionnés directement depuis votre Active Directory sur site vers Microsoft Entra ID.

Comment les utilisateurs sont-ils authentifiés avec Specops Authentication ?

Specops Authentication utilise des jetons de sécurité pour authentifier les utilisateurs. Lorsqu’un utilisateur s’inscrit à Specops Authentication, ses données d’inscription sont stockées dans un sous-objet de son compte d’utilisateur. Lorsqu’un utilisateur tente de se connecter à O365, Specops Authentication accordera soit l’accès à l’authentification unique via le jeton d’authentification intégrée Windows, soit invitera l’utilisateur à s’authentifier avec des services d’identité supplémentaires à partir de son inscription. Ceci dépendra de la stratégie d’authentification configurée par l’administrateur.

Specops Authentication peut-il être utilisé avec Microsoft Entra Connect ?

Oui. Vous pouvez utiliser Microsoft Entra Connect pour l’approvisionnement, et l’authentification Specops pour la gestion des licences, l’authentification unique et l’authentification multifacteur.

Comment Specops Authentication est-il hébergé ?

Specops Authentication est fourni en tant que service cloud hébergé, fonctionnant sur Amazon Web Services, dont le centre de données est situé dans l’Est des États-Unis.

Le chiffrement des données est-il utilisé pour les données en transit du Gatekeeper vers le Cloud Specops Authentication ?

Oui, un chiffrement double couche est utilisé entre le Gatekeeper et Specops Authentication Cloud. Toutes les données envoyées par les utilisateurs finaux ou le Gatekeeper sont vérifiées cryptographiquement, et sont à la fois signées et scellées.

Quels services d’identité/facteurs d’authentification notre produit prend-il en charge ?

  • Specops Authentication prend en charge les services d’identité suivants :
  • Windows Identity
  • Questions
  • Mobile Code (SMS)
  • Specops Authenticator
  • Identification du gestionnaire
  • Specops Fingerprint
  • Google Authenticator
  • Microsoft Authenticator
  • Symantec VIP
  • Duo Security
  • Mobile Bank ID (Suède)
  • Options de réseaux sociaux et de messageries : Gmail, Yahoo, Twitter, Flickr, Live