Politiques d'authentification multifactorielle dynamique

L'authentification multi-facteurs dynamique (DMFA) permet aux utilisateurs de s'inscrire et de s'authentifier en utilisant plusieurs services d'identité. C'est une manière flexible et sécurisée pour les utilisateurs de s'authentifier lors de la connexion à leurs comptes Office 365. Si vous êtes un administrateur, vous pouvez créer et configurer une politique qui répond aux besoins de votre organisation. Vous pouvez décider quels services d'identité peuvent être utilisés pour s'authentifier, ainsi que le niveau de sécurité de chacun.

La DMFA est utilisée lors de la connexion sur toute la plateforme Specops Authentication. Cela inclut:

Gestion des utilisateurs
Réinitialisation ou changement des mots de passe des utilisateurs
Connexion des utilisateurs à Office 365
Connexion pour changer l'inscription

Lors de la création d'une politique DMFA, il est recommandé de donner à vos utilisateurs un choix varié de services d'identité, et de les encourager à s'inscrire avec autant de ces services que possible. Plus un utilisateur est inscrit à des services d'identité, moins il est probable qu'il soit bloqué de son compte.

Exemple: Si un utilisateur oublie les réponses à ses Questions Secrètes et qu'il est inscrit à plusieurs autres services d'identité, il peut toujours s'authentifier avec succès en utilisant l'un de ceux-ci à la place.

Remarque: Lorsqu'un utilisateur termine son inscription, un message est présenté, demandant s'il souhaite collecter des étoiles supplémentaires en s'inscrivant à plus de services d'identité, au-delà du nombre requis.

Il existe de nombreux types de services d'identité parmi lesquels choisir, y compris:

Médias sociaux
Questions Secrètes
Code Mobile (SMS)
Scans d'empreintes digitales
Authentificateurs

Services d'identité requis

Vous pouvez marquer un service d'identité comme « requis ». Cela signifie qu'il est obligatoire et que vos utilisateurs doivent s'inscrire et s'authentifier en l'utilisant.

Exemple: Sélectionner la case Requis pour le Code Mobile (SMS) et l'Identité Windows rendra ces services obligatoires pour tous les utilisateurs.

Required textbox

Services d'identité protégés

Vous pouvez marquer un service d'identité comme « protégé ». Avant qu'un utilisateur puisse s'authentifier en utilisant un service d'identité protégé, il doit d'abord s'authentifier en utilisant un ou plusieurs autres services d'identité. Cela vise à empêcher les parties externes de tenter d'accéder à un compte utilisateur en devinant les identifiants.

Exemple: Un utilisateur pourrait choisir Google Authenticator, Code Mobile (SMS), et Identité Windows lors de l'inscription. Si l'Identité Windows a été marquée comme « protégée » dans la politique DMFA, l'utilisateur doit s'authentifier en utilisant Google Authenticator ou Code Mobile (SMS) avant d'être autorisé à entrer ses identifiants d'Identité Windows.

Protected checkbox

Un service d'identité peut être marqué à la fois comme requis et protégé.

Required and protected checkboxes

Poids

Vous pouvez définir le poids requis pour l'inscription et l'authentification en utilisant les barres d'étoiles dans la section Modifier les règles.

Les utilisateurs doivent utiliser suffisamment de services d'identité pour obtenir le poids requis. Par exemple: si vous sélectionnez 5 étoiles comme poids requis pour l'inscription et l'authentification, les utilisateurs doivent s'inscrire et s'authentifier avec suffisamment de services d'identité pour atteindre 5 étoiles.

Configuration policy for enrollment

Remarque: Le poids requis pour l'authentification ne peut pas être supérieur au poids requis pour l'inscription. Cela vise à donner aux utilisateurs autant de flexibilité que possible. Si un utilisateur est soudainement incapable de s'authentifier avec un service d'identité particulier, il peut utiliser l'un des autres avec lequel il s'est inscrit à la place.

Exemple: Vous pourriez créer une politique qui exige qu'un utilisateur s'inscrive avec 3 services d'identité, mais qu'il n'ait besoin de s'authentifier qu'avec 2. Si un utilisateur s'inscrit avec Code Mobile (SMS), Questions Secrètes, et Google, et qu'il est soudainement incapable de s'authentifier en utilisant le Code Mobile (SMS), parce que son téléphone ne fonctionne pas, il peut toujours s'authentifier en utilisant ses Questions Secrètes à la place.

Vous pouvez définir le poids pour les différents services d'identité pour représenter leur niveau de sécurité relatif. Sélectionnez le poids en activant le nombre d'étoiles souhaité.

Exemple: Vous pourriez décider que le Code Mobile (SMS) vaut 3 étoiles, Mobile BankID vaut 2 étoiles, et Google Authenticator vaut 1 étoile, et ainsi de suite.

Weight per identity service

Remarque: Par défaut, le poids maximum qui peut être attribué à chaque service d'identité est de 3 étoiles. Vous pouvez augmenter cela à un maximum de 5 étoiles, si vous souhaitez rendre un service d'identité plus sécurisé. Cela se fait en utilisant les boutons – ou + en bas de la page.

Lorsque vous augmentez le poids maximum par service d'identité, cela augmente le nombre d'étoiles disponibles sur les barres Poids Requis pour l'Inscription et Poids Requis pour l'Authentification en haut de la page.

Exemple: Si le poids maximum par service d'identité est fixé à 4, il y aura 16 étoiles sur les barres Poids Requis pour l'Inscription et Poids Requis pour l'Authentification.

Maximum weight

Configuration d'une politique

Dans l'outil d'administration Specops Gatekeeper, dans la section Liens Utiles, cliquez sur le lien Pages Admin.
Connectez-vous avec vos identifiants.
Cliquez sur Politiques.
Dans les sections Inscription ou Admin, cliquez sur Configurer.
Sélectionnez les services d'identité qui seront disponibles pour les utilisateurs. Pour ajouter un service d'identité à la politique, sélectionnez-le dans la liste Services d'Identité Non Sélectionnés, et il apparaîtra dans la liste Services d'Identité Sélectionnés.
Dans la section Modifier les règles, spécifiez combien d'étoiles doivent être collectées avant qu'un utilisateur puisse remplir la barre d'étoiles et s'inscrire, ainsi que le poids requis pour l'authentification. Voir la section Poids ci-dessus.
Définissez le poids pour chaque service d'identité, en sélectionnant un nombre spécifique d'étoiles.
Sélectionnez la case Requis, pour rendre un service d'identité obligatoire. Voir la section Services d'identité requis ci-dessus.
Sélectionnez la case Protégé, pour en faire un service d'identité protégé. Voir la section Services d'identité protégés ci-dessus.
Cliquez sur Enregistrer pour sauvegarder la configuration.

Politiques d'Inscription Adaptatives

Une politique d'inscription (qui dicte comment les utilisateurs doivent s'authentifier pour changer leur inscription) est adaptative.

Comme pour toutes les politiques, une politique d'inscription contient un poids requis pour l'authentification et une liste de services d'identité parmi lesquels chaque utilisateur doit choisir. Comme décrit ci-dessus, pour se connecter avec succès avec une politique, un utilisateur doit utiliser suffisamment de services d'identité pour obtenir le poids d'authentification requis. Cependant, contrairement aux autres politiques, les politiques d'inscription sont uniques, car lors de la connexion, les utilisateurs n'ont pas nécessairement besoin d'obtenir le poids d'authentification requis.

Par exemple: Si un utilisateur est inscrit uniquement avec deux services d'identité et que la politique d'inscription stipule qu'un utilisateur doit utiliser trois services d'identité pour se connecter, cet utilisateur sera toujours autorisé à se connecter en utilisant ses deux services d'identité. Chaque fois qu'un utilisateur s'est inscrit avec suffisamment de services d'identité pour satisfaire le poids d'authentification requis de la politique d'inscription, se connecter avec la politique d'inscription sera le même que pour les autres politiques.

Remarque: L'Identité Windows est le seul service d'identité obligatoire, et tous les utilisateurs y sont automatiquement inscrits. L'Identité Windows est toujours présente dans une politique d'inscription et ne peut pas être supprimée.

Modes de sécurité d'inscription

Lorsque les utilisateurs s'inscrivent pour la première fois, ils devront s'identifier en fournissant leur mot de passe Windows. Les modifications ultérieures de l'inscription (réinscription) nécessiteront une identification avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows, si le mode de sécurité est réglé sur Moyen ou Élevé.

Il existe trois modes de sécurité disponibles pour les administrateurs: Sécurité faible, Sécurité moyenne, et Sécurité élevée. Ces modes de sécurité reflètent la force relative des politiques configurées, et déterminent en partie avec quels services d'identité l'utilisateur doit se réinscrire (chaque fois que les utilisateurs doivent changer leur inscription).

Sécurité faible: Les utilisateurs doivent uniquement fournir leur mot de passe Windows pour s'identifier.
Sécurité moyenne: Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité précédemment utilisé en plus de leur mot de passe Windows.
Sécurité élevée: Lors de la réinscription, les utilisateurs doivent s'identifier avec un service d'identité fort précédemment utilisé, ou deux services faibles (au cas où ils ne se sont pas inscrits avec des services d'identité forts), en plus de leur mot de passe Windows. Les services d'identité faibles, tels que les questions de sécurité, ne seront pas présentés à l'utilisateur comme une option, à moins qu'ils ne se soient inscrits uniquement avec des services d'identité faibles.

Remarque

Les modes faible ou moyen sont définis automatiquement, en fonction des configurations de la politique. Le mode de sécurité élevé doit être activé par les administrateurs pour imposer la réinscription avec des services d'identité forts.