Entra ID
Le service d'identité Microsoft (Entra ID) permet à Specops Authentication de s'intégrer aux bibliothèques d'authentification Microsoft. Cela signifie que Microsoft Authenticator peut être utilisé pour s'authentifier avec Specops Authentication sans utiliser de mot de passe. Plus d'informations sur la connexion sans mot de passe peuvent être trouvées ici. Veuillez noter que bien que ce service d'identité utilise Entra ID (anciennement connu sous le nom de Azure AD), il est désigné dans l'interface graphique comme Microsoft.
Configuration de Microsoft (Entra ID)
Avant de pouvoir configurer Specops Authentication pour fonctionner avec Microsoft (Entra ID), vous devez enregistrer une application client dans Microsoft Entra ID. Des instructions détaillées et à jour sur la façon d'enregistrer une nouvelle application peuvent être trouvées dans la documentation de Microsoft. Voici une version abrégée de la procédure de configuration.
Notez qu'une fois que vous avez enregistré votre application, les informations suivantes sont nécessaires pour configurer Specops Authentication:
- ID du client (plus d'informations sur où trouver votre ID du client)
- ID du client de l'application (plus d'informations sur où trouver votre ID du client de l'application)
- Secret key du client de l'application (plus d'informations sur l'enregistrement de votre Secret key du client de l'application)
Création d'un enregistrement d'application dans Azure Portal (Azure Portal)
- Allez à Microsoft Entra ID > App registrations > New registration.
- Fournissez un nom, par exemple "Microsoft MFA for Specops uReset".
- Dans la section Types de comptes pris en charge, sélectionnez une option (par défaut "Compte dans ce répertoire organisationnel uniquement (Répertoire par défaut uniquement - Client unique)).
- Dans la section URI de redirection, sélectionnez Web dans la liste déroulante et entrez l'URL des paramètres des services d'identité Microsoft de Specops Authentication:
https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback. - Cliquez sur Register.
- Dans la section Aperçu de l'enregistrement de l'application, copiez les éléments suivants:
- ID du répertoire (client)
- ID de l'application (client)
Configurer l'enregistrement de l'application
- Allez à Microsoft Entra ID > App registrations > Onglet Toutes les applications > Microsoft MFA for Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Authentication.
- Dans la section Autorisation implicite et flux hybrides, activez Jetons d'identité (utilisés pour les flux implicites et hybrides).
- Allez à Microsoft Entra ID > App registrations > Toutes les applications > Microsoft MFA for Specops uReset (ou un autre nom d'enregistrement d'application si celui-ci a été choisi) > Certificats & secrets > Onglet Secrets du client.
- Cliquez sur Nouveau secret du client.
- Fournissez une description, par exemple Microsoft MFA for Specops uReset Client Secret.
- Dans la liste déroulante Expire, sélectionnez le temps d'expiration du secret key du client, par exemple 730 jours (24 mois).
- Cliquez sur Add.
- Copiez la valeur du secret key du client.
Examiner les paramètres de Microsoft Authenticator
- Allez à Méthodes d'authentification Microsoft Entra.
- Allez à la section Politiques dans le volet de gauche, puis sélectionnez Microsoft Authenticator.
- Dans l'onglet Activer et cibler, le mode d'authentification Cibler "Tous les utilisateurs" ne doit pas être défini sur Push dans la liste déroulante (si défini sur Push, cela désactiverait l'authentification sans mot de passe).
Remarque
Lors de la première utilisation, un administrateur Azure peut avoir besoin d'approuver l'enregistrement de l'application avant qu'elle ne puisse être réellement utilisée: voir https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.
Configurer Specops Authentication Web
- Allez à Services d'identité, et cliquez sur Microsoft.
- Dans le champ Instance Azure, sélectionnez l'instance Entra ID que vous souhaitez utiliser: Global, US Government, ou China, selon vos besoins.
- Entrez votre ID du client Entra ID
- Entrez votre ID du client de l'application
- Entrez votre Secret key du client de l'application
- Entrez l'URI de redirection dans votre application Entra ID. (dans l'application, allez à Authentication, puis cliquez sur Add a Platform, sélectionnez Web, et entrez l'URI dans le champ Custom redirect URIs. Plus d'informations peuvent être trouvées ici: Enregistrer une application dans Microsoft Entra ID.
-
Si la valeur Entra ID ImmutableId (également appelée source anchor) est stockée dans un attribut personnalisé, entrez cet attribut dans le champ Attribut utilisateur.
Remarque
L'attribut par défaut est objectGUID.
-
Cliquez sur Test connection pour vérifier si tout est configuré correctement.
- Cliquez sur Save
Configuration de l'authentification sans mot de passe
Pour activer la méthode d'authentification par connexion téléphonique sans mot de passe, une configuration est requise à la fois par les administrateurs et les utilisateurs individuels.
Configuration pour les administrateurs
Remarque
Pour obtenir les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de la politique d'authentification au minimum.
- Accédez à Protection > Méthodes d'authentification > Politiques.
- Sous Microsoft Authenticator, choisissez les options suivantes:
- Activer: Oui ou Non
- Cibler: Tous les utilisateurs ou Sélectionner les utilisateurs
- Chaque groupe ou utilisateur ajouté est activé par défaut pour utiliser Microsoft Authenticator à la fois en modes sans mot de passe et notification push (mode "Any"). Pour changer le mode, pour chaque ligne pour Mode d'authentification - choisissez Any, ou Passwordless. Choisir Push empêche l'utilisation de l'identifiant de connexion téléphonique sans mot de passe.
- Pour appliquer la nouvelle politique, cliquez sur Save.
Configuration pour les utilisateurs
Remarque
Pour obtenir les informations les plus récentes sur la configuration de l'authentification sans mot de passe, veuillez visiter les pages de support Microsoft ici.
Pour enregistrer l'application Microsoft Authenticator, suivez ces étapes:
- Accédez à https://aka.ms/mysecurityinfo.
- Connectez-vous, puis sélectionnez Add method > Authenticator app > Add to add Microsoft Authenticator.
- Suivez les instructions pour installer et configurer l'application Microsoft Authenticator sur votre appareil.
- Sélectionnez Done pour terminer la configuration de Microsoft Authenticator.
Activation de la connexion téléphonique
Après que les utilisateurs se soient enregistrés pour l'application Microsoft Authenticator, ils doivent activer la connexion téléphonique:
- Dans Microsoft Authenticator, sélectionnez le compte enregistré.
- Sélectionnez Enable phone sign-in.
- Suivez les instructions dans l'application pour terminer l'enregistrement du compte pour la connexion téléphonique sans mot de passe.
Remarque
Pour la vérification du Secure Service Desk, car les utilisateurs doivent répondre Oui ou Non à l'invite Rester connecté après s'être connectés via Microsoft 365 pour que le processus de vérification soit entièrement terminé, les administrateurs peuvent envisager de désactiver l'invite Rester connecté dans Azure.