Entra ID

Le service d'identité Microsoft (Entra ID) permet à Specops Authentication de s'intégrer aux bibliothèques d'authentification Microsoft. Cela signifie que Microsoft Authenticator peut être utilisé pour s'authentifier avec Specops Authentication sans utiliser de mot de passe. Plus d'informations sur la connexion sans mot de passe peuvent être trouvées ici.

Pour activer l'intégration de Specops Authentication avec Entra ID, vous devez configurer la connexion. La section Authentification uniquement (authentification sans mot de passe) ci-dessous décrit les étapes pour configurer l'authentification sans mot de passe, où Entra ID est utilisé exclusivement pour authentifier les utilisateurs synchronisés. Une autre option, offrant un contrôle plus détaillé sur l'intégration, est décrite dans Personnalisé.

Authentification uniquement (authentification sans mot de passe)

Pour activer la méthode d'authentification de connexion téléphonique sans mot de passe, une configuration est requise à la fois par les administrateurs et les utilisateurs individuels.

Configuration pour les administrateurs

Remarque

Pour obtenir les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.

Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de la stratégie d'authentification au minimum.
Accédez à Protection > Méthodes d'authentification > Stratégies.
Sous Microsoft Authenticator, choisissez les options suivantes :
- Activer : Oui ou Non
- Cible : Tous les utilisateurs ou Sélectionner les utilisateurs
Chaque groupe ou utilisateur ajouté est activé par défaut pour utiliser Microsoft Authenticator à la fois en modes sans mot de passe et notification push (mode "Tout"). Pour changer le mode, pour chaque ligne pour Mode d'authentification - choisissez Tout, ou Sans mot de passe. Choisir Push empêche l'utilisation de l'identifiant de connexion téléphonique sans mot de passe.
Pour appliquer la nouvelle politique, cliquez sur Enregistrer.

Configuration pour les utilisateurs

Remarque

Pour obtenir les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.

Pour enregistrer l'application Microsoft Authenticator, suivez ces étapes :

Accédez à https://aka.ms/mysecurityinfo.
Connectez-vous, puis sélectionnez Ajouter une méthode > Application d'authentification > Ajouter pour ajouter Microsoft Authenticator.
Suivez les instructions pour installer et configurer l'application Microsoft Authenticator sur votre appareil.
Sélectionnez Terminé pour compléter la configuration de Microsoft Authenticator.

Activation de la connexion téléphonique

Après que les utilisateurs se soient enregistrés pour l'application Microsoft Authenticator, ils doivent activer la connexion téléphonique :

Dans Microsoft Authenticator, sélectionnez le compte enregistré.
Sélectionnez Activer la connexion téléphonique.
Suivez les instructions dans l'application pour terminer l'enregistrement du compte pour la connexion téléphonique sans mot de passe.

Remarque

Pour la vérification du Secure Service Desk, car les utilisateurs doivent répondre Oui ou Non à l'invite Rester connecté après s'être connectés via Microsoft 365 pour que le processus de vérification soit entièrement complété, les administrateurs peuvent envisager de désactiver l'invite Rester connecté dans Azure.

Réviser les paramètres de Microsoft Authenticator

Accédez au centre d'administration Microsoft Entra.
Dans Méthodes d'authentification Microsoft Entra, allez à la section Stratégies dans le volet de gauche, puis sélectionnez Microsoft Authenticator.
Dans l'onglet Activer et Cible, Cible "Tous les utilisateurs", Mode d'authentification ne doit pas être défini sur Push dans la liste déroulante (si défini sur Push, cela désactiverait l'authentification sans mot de passe).

Configurer dans Specops Authentication Web

Accédez à Microsoft Entra ID dans Specops Authentication et cliquez sur Connexion.
Dans la liste déroulante Détails de la connexion Microsoft Entra ID, sélectionnez Authentification uniquement.
Entrez votre ID de client Entra ID.
Si la valeur Entra ID ImmutableId (également appelée source anchor) est stockée dans un attribut personnalisé, entrez cet attribut dans le champ Attribut utilisateur.

Remarque

L'attribut par défaut est objectGUID.
Cliquez sur Test de connexion pour vérifier que tout est configuré correctement.
Cliquez sur Accorder le consentement. Cela vous redirigera vers l'invite de connexion Microsoft.
Une boîte de dialogue de consentement Microsoft s'affiche. Connectez-vous avec votre compte administrateur client Entra ID pour donner à l'application l'accès à la connexion et à la lecture du profil utilisateur.

Remarque

En acceptant les autorisations, vous donnez à l'application accès aux ressources spécifiées pour tous les utilisateurs de votre organisation.

Pour accepter les autorisations, cliquez sur Accepter. Si vous cliquez sur Annuler, vous serez redirigé vers le portail d'administration Specops Authentication.
Cliquez sur Enregistrer.

Personnalisé

Utilisez cette option pour un contrôle plus détaillé sur l'intégration. Pour configurer une intégration personnalisée, vous devez enregistrer une application client dans le client de l'organisation.

Des instructions détaillées et à jour sur la façon d'enregistrer une nouvelle application peuvent être trouvées dans la documentation de Microsoft. Ci-dessous une version abrégée de la procédure de configuration.

Une fois que vous avez enregistré votre application, les informations suivantes sont requises pour configurer Specops Authentication :

ID de client (plus d'informations sur où trouver votre ID de client)
ID de client d'application (plus d'informations sur où trouver votre ID de client d'application)
Secret client de l'application (plus d'informations sur l'enregistrement de votre Secret de client d'application)

Créer un enregistrement d'application dans le portail Azure (Portail Azure)

Allez à Microsoft Entra ID > Enregistrements d'application > Nouvel enregistrement.
Fournissez un nom, par exemple "Microsoft MFA pour Specops uReset".
Dans la section Types de comptes pris en charge, sélectionnez une option (par défaut "Compte dans ce répertoire organisationnel uniquement (Répertoire par défaut uniquement - Client unique)).
Dans la section URI de redirection, sélectionnez Web dans la liste déroulante et entrez l'URL des paramètres des services d'identité Microsoft de Specops Authentication : https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Cliquez sur Enregistrer.
Dans la section Vue d'ensemble de l'enregistrement de l'application, copiez les éléments suivants :
- ID de répertoire (client)
- ID d'application (client)

Configurer l'enregistrement de l'application

Allez à Microsoft Entra ID > Enregistrements d'application > Onglet Toutes les applications > Microsoft MFA pour Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Authentification.
Dans la section Octroi implicite et flux hybrides, activez Jetons ID (utilisés pour les flux implicites et hybrides).
Allez à Microsoft Entra ID > Enregistrements d'application > Toutes les applications > Microsoft MFA pour Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Certificats et secrets > Onglet Secrets client.
Cliquez sur Nouveau secret client.
Fournissez une description, par exemple Microsoft MFA pour Specops uReset Secret de client.
Dans la liste déroulante Expire, sélectionnez le temps d'expiration du secret client, par exemple 730 jours (24 mois).
Cliquez sur Ajouter.
Copiez la valeur du secret client.

Remarque

Lors de la première utilisation, un administrateur Azure peut avoir besoin d'approuver l'enregistrement de l'application avant qu'il ne puisse être réellement utilisé : voir https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

Configurer dans Specops Authentication Web

Accédez à Microsoft Entra ID dans Specops Authentication et cliquez sur Connexion.
Dans la liste déroulante Détails de la connexion Microsoft Entra ID, sélectionnez Personnalisé.
Entrez les valeurs requises pour :
- ID de client
- ID de client d'application
- Secret de client d'application
Dans le champ Instance Azure, sélectionnez l'instance Entra ID que vous souhaitez utiliser : Global, Gouvernement des États-Unis ou Chine, selon vos besoins.
Copiez la valeur URI de redirection. Dans l'application client Entra ID, allez à Authentification, puis cliquez sur Ajouter une plateforme, sélectionnez Web, et entrez l'URI dans le champ URIs de redirection personnalisés Plus d'informations peuvent être trouvées ici : Enregistrer une application dans Microsoft Entra ID.
Cliquez sur Test de connexion pour vérifier que tout est configuré correctement.
Cliquez sur Enregistrer.