Entra ID
Le service d'identité Microsoft (Entra ID) permet à Specops Authentication de s'intégrer avec les bibliothèques d'authentification Microsoft. Cela signifie que Microsoft Authenticator peut être utilisé pour s'authentifier avec Specops Authentication sans utiliser de mot de passe. Plus d'informations sur la connexion sans mot de passe peuvent être trouvées ici. Veuillez noter que bien que ce service d'identité utilise Entra ID (anciennement connu sous le nom de Azure AD), il est référencé dans l'interface graphique comme Microsoft.
Configuration de Microsoft (Entra ID)
Avant de pouvoir configurer Specops Authentication pour fonctionner avec Microsoft (Entra ID), vous devez enregistrer une application client dans Microsoft Entra ID. Des instructions détaillées et à jour sur la façon d'enregistrer une nouvelle application peuvent être trouvées dans la documentation de Microsoft. Ci-dessous une version abrégée de la procédure de configuration.
Notez qu'une fois votre application enregistrée, les informations suivantes sont nécessaires pour configurer Specops Authentication:
- ID du client (plus d'informations sur où trouver votre ID du client)
- ID du client de l'application (plus d'informations sur où trouver votre ID du client de l'application)
- Secret du client de l'application (plus d'informations sur l'enregistrement de votre Secret du client de l'application)
Création d'un enregistrement d'application dans Azure Portal (Azure Portal)
- Allez à Microsoft Entra ID > Enregistrements d'application > Nouvel enregistrement.
- Fournissez un nom, par exemple "Microsoft MFA pour Specops uReset".
- Dans la section Types de comptes pris en charge, sélectionnez une option (par défaut "Compte dans ce répertoire organisationnel uniquement (Répertoire par défaut uniquement - Client unique)).
- Dans la section URI de redirection, sélectionnez Web dans la liste déroulante et entrez l'URL des paramètres des services d'identité Microsoft de Specops Authentication:
https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback. - Cliquez sur Enregistrer.
- Dans la section Aperçu de l'enregistrement de l'application, copiez les éléments suivants:
- ID du répertoire (client)
- ID de l'application (client)
Configurer l'enregistrement de l'application
- Allez à Microsoft Entra ID > Enregistrements d'application > Onglet Toutes les applications > Microsoft MFA pour Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Authentification.
- Dans la section Octroi implicite et flux hybrides, activez Jetons ID (utilisés pour les flux implicites et hybrides).
- Allez à Microsoft Entra ID > Enregistrements d'application > Toutes les applications > Microsoft MFA pour Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Certificats et secrets > Onglet Secrets du client.
- Cliquez sur Nouveau secret client.
- Fournissez une description, par exemple Microsoft MFA pour Specops uReset Secret du client.
- Dans la liste déroulante Expire, sélectionnez le temps d'expiration du secret client, par exemple 730 jours (24 mois).
- Cliquez sur Ajouter.
- Copiez la valeur du secret client.
Réviser les paramètres de Microsoft Authenticator
- Allez à Méthodes d'authentification Microsoft Entra.
- Allez à la section Politiques dans le volet de gauche, puis sélectionnez Microsoft Authenticator.
- Dans l'onglet Activer et Cibler, le mode d'authentification Cibler "Tous les utilisateurs" ne doit pas être défini sur Push dans la liste déroulante (si défini sur Push, cela désactiverait l'authentification sans mot de passe).
Remarque
Lors de la première utilisation, un administrateur Azure peut avoir besoin d'approuver l'enregistrement de l'application avant qu'elle ne puisse être réellement utilisée: voir https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.
Configurer Specops Authentication Web
- Allez à Services d'identité, et cliquez sur Microsoft.
- Dans le champ Instance Azure, sélectionnez l'instance Entra ID que vous souhaitez utiliser: Global, Gouvernement des États-Unis, ou Chine, selon vos besoins.
- Entrez votre ID du client Entra ID.
- Entrez votre ID du client de l'application.
- Entrez votre Secret du client de l'application.
- Entrez l'URI de redirection dans votre application Entra ID. (dans l'application, allez à Authentification, puis cliquez sur Ajouter une plateforme, sélectionnez Web, et entrez l'URI dans le champ URIs de redirection personnalisés. Consultez également Enregistrer une application dans Microsoft Entra ID.
-
Si la valeur Entra ID ImmutableId (également appelée source anchor) est stockée dans un attribut personnalisé, entrez cet attribut dans le champ Attribut utilisateur.
Remarque
L'attribut par défaut est objectGUID.
-
Cliquez sur Tester la connexion pour vérifier si tout est configuré correctement.
- Cliquez sur Enregistrer.
Configurer l'authentification sans mot de passe
Pour activer la méthode d'authentification de connexion téléphonique sans mot de passe, une configuration est requise à la fois par les administrateurs et les utilisateurs individuels.
Configuration pour les administrateurs
Remarque
Pour les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'au moins un administrateur de la politique d'authentification.
- Accédez à Protection > Méthodes d'authentification > Politiques.
- Sous Microsoft Authenticator, choisissez les options suivantes:
- Activer: Oui ou Non
- Cibler: Tous les utilisateurs ou Sélectionner des utilisateurs
- Chaque groupe ou utilisateur ajouté est activé par défaut pour utiliser Microsoft Authenticator à la fois en modes sans mot de passe et notification push (mode "Tout"). Pour changer le mode, pour chaque ligne pour Mode d'authentification - choisissez Tout, ou Sans mot de passe. Choisir Push empêche l'utilisation de l'identifiant de connexion téléphonique sans mot de passe.
- Pour appliquer la nouvelle politique, cliquez sur Enregistrer.
Configuration pour les utilisateurs
Remarque
Pour les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.
Pour enregistrer l'application Microsoft Authenticator, suivez ces étapes:
- Accédez à https://aka.ms/mysecurityinfo.
- Connectez-vous, puis sélectionnez Ajouter une méthode > Application Authenticator > Ajouter pour ajouter Microsoft Authenticator.
- Suivez les instructions pour installer et configurer l'application Microsoft Authenticator sur votre appareil.
- Sélectionnez Terminé pour compléter la configuration de Microsoft Authenticator.
Activer la connexion téléphonique
Après que les utilisateurs se soient enregistrés pour l'application Microsoft Authenticator, ils doivent activer la connexion téléphonique:
- Dans Microsoft Authenticator, sélectionnez le compte enregistré.
- Sélectionnez Activer la connexion téléphonique.
- Suivez les instructions dans l'application pour terminer l'enregistrement du compte pour la connexion téléphonique sans mot de passe.
Remarque
Pour la vérification du Secure Service Desk, car les utilisateurs doivent répondre Oui ou Non à l'invite Rester connecté après s'être connectés via Microsoft 365 pour que le processus de vérification soit entièrement complété, les administrateurs peuvent envisager de désactiver l'invite Rester connecté dans Azure.