Authentification à deux facteurs pour la connexion Windows

Les violations de sécurité gagnant en sophistication chaque jour, il n’est plus viable de ne se fier qu’aux noms d’utilisateur et aux mots de passe pour protéger les comptes des utilisateurs. Il faut ajouter d’autres niveaux de sécurité pour filtrer les utilisateurs non autorisés. Cela devient possible avec l’ authentification à deux facteurs (2FA), méthode consistant à vérifier l’identité des utilisateurs via des moyens comme la biométrie, Google Authenticator ou YubiKey.

Déploiement de l’authentification 2FA pour la connexion Windows avec ADSelfService Plus

Une fois la fonctionnalité 2FA de connexion Windows activée, les utilisateurs doivent s’authentifier en deux étapes successives pour accéder à leurs machines Windows. Le premier niveau d’authentification s’effectue avec les identifiants Windows AD habituels. Pour le second niveau d’authentification, les administrateurs peuvent choisir dans une large gamme de facteurs qu’offre ADSelfService Plus, dont les suivants :

Authentification biométrique (empreinte digitale/reconnaissance faciale)
Duo Security
Microsoft Authenticator
Google Authenticator

Authentification YubiKey
Vérification par courrier électronique
Vérification par SMS

multi factor authentication.png

ADSelfService Plus offre 20 facteurs d’authentification différents au choix des administrateurs. Cela garantit que même si un individu non autorisé a accès aux identifiants d’un utilisateur, il ne peut pourtant pas se connecter à sa machine.

Fonctionnement de l’authentification 2FA pour la connexion Windows

Une fois la fonctionnalité configurée, les utilisateurs se connectant à leur machine Windows ont besoin de leurs identifiants de domaine AD pour prouver leur identité.
Ensuite, les utilisateurs doivent s’authentifier à l’aide du code à durée limitée envoyé par SMS ou courrier ou via un outil d’authentification tiers. Selon la configuration de l’administrateur, ils peuvent avoir à s’authentifier d’une ou de plusieurs façons.
Enfin, l’utilisateur accède à sa machine Windows une fois qu’il s’est correctement authentifié.
Si on le configure, le processus 2FA se déclenche aussi pour la connexion RDP, comme pour la connexion locale.

How 2FA for Windows logons works

Personnalisation de l’authentification 2FA Windows pour l’organisation

Les administrateurs peuvent personnaliser la fonctionnalité 2FA Windows d’ADSelfService Plus selon les besoins de leur organisation comme suit :

On peut configurer différents nombres de facteurs d’authentification pour différents utilisateurs selon les OU ou les groupes dont ils relèvent.
On peut rendre obligatoires certains facteurs d’authentification.
On peut autoriser certains utilisateurs à ignorer le processus 2FA s’ils utilisent un appareil approuvé. Un appareil est approuvé si un utilisateur l’a déjà utilisé pour effectuer le processus 2FA. L’approbation ne dure qu’un nombre de jours donné, après lequel l’utilisateur doit se ré-authentifier sur le même appareil.

2FA par machine

L’authentification 2FA par machine est une fonction qu’offre ADSelfService Plus. Elle s’exécute à la connexion selon les paramètres de stratégie de l’appareil et pas ceux du compte de l’utilisateur. Si on active la fonction, tous les utilisateurs se connectant à une machine précise doivent prouver leurs identités via le processus 2FA. Les administrateurs peuvent configurer des méthodes d’authentification 2FA avec une gamme de facteurs similaires à ceux qu’offre ADSelfService Plus pour la connexion Windows.

2FA pour Windows UAC

ADSelfService Plus permet l’authentification 2FA pour Windows UAC (contrôle de compte d’utilisateur) afin de sécuriser les tâches système élevées qu’exécutent des comptes d’utilisateur standards. Si on active la fonction, l’authentification s’applique à toutes les invites d’identifiants UAC et l’utilisateur ne peut exécuter la tâche d’administration que si la vérification d’identité réussit. ADSelfService Plus offre plusieurs facteurs d’authentification 2FA pour Windows UAC. Cette fonction est compatible avec Windows 7 et version ultérieure et Windows Server 2008 et version ultérieure.

2FA hors ligne

ADSelfService Plus permet l’authentification 2FA hors ligne sur les machines Windows pour garantir la sécurité des télétravailleurs et des utilisateurs sans liaison Internet ou en cas d’inaccessibilité du serveur ADSelfService Plus. Les administrateurs peuvent configurer un ou plusieurs facteurs 2FA permettant aux utilisateurs de s’authentifier à la connexion. Les utilisateurs doivent s’inscrire aux authentificateurs concernés en ligne afin d’accéder à leurs machines hors ligne. En savoir plus

2FA pour postes de travail distants

ADSelfService Plus permet l’authentification 2FA pour RDP, sécurisant la connexion Windows à distance avec d’autres méthodes d’authentification. Les administrateurs peuvent configurer une invite 2FA pour la connexion RDP à la machine client (machine hôte) ou celle cible. L’activation de l’authentification 2FA sur client RDP permet un accès conditionnel par adresse IP pour la connexion RDP. ADSelfService Plus permet aux administrateurs de personnaliser les authentificateurs à utiliser parmi les différents disponibles.

Configuration requise pour l’agent de connexion 2FA d’ADSelfService Plus

La liste suivante contient les versions de système d’exploitation Windows que l’agent de connexion ADSelfService Plus prend en charge pour la connexion Windows et l’accès RDP.

Versions prises en charge

Serveurs

Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008

Clients

Windows 11
Windows 10
Windows 8.1
Windows 8
Windows 7
Windows Vista

Outre Windows, ADSelfService Plus permet l’authentification 2FA pour les systèmes d’exploitation macOS et Linux

Avantages d’activer l’authentification 2FA pour la connexion Windows avec ADSelfService Plus

Sécurité renforcée

L’authentification 2FA renforce la sécurité. Ainsi, même si les mots de passe sont compromis, un individu non autorisé doit toujours accéder au courrier ou au téléphone d’un utilisateur autorisé pour pouvoir se connecter aux machines Windows.

Vaste gamme d’authentificateurs

Il existe environ 20 authentificateurs différents, donnant aux administrateurs le choix d’une large gamme d’options pour établir un système d’authentification des utilisateurs.

Différents authentificateurs pour différents utilisateurs

ADSelfService Plus permet aux administrateurs de configurer la fonctionnalité 2FA selon l’appartenance à des OU, groupes et domaines des utilisateurs. Les utilisateurs ayant différents privilèges peuvent présenter différents niveaux d'authentification.

Option des appareils autorisés pour une meilleure expérience utilisateur

ADSelfService Plus permet aux utilisateurs d’activer l’option des appareils autorisés pour se connecter rapidement à leurs machines sans effectuer le processus 2FA pendant une durée indiquée après la vérification d’identité initiale.

FAQs

1. Qu’est-ce que l’authentification à deux facteurs Windows ?

L’authentification à deux facteurs (2FA) consiste à sécuriser la connexion aux machines Windows avec plusieurs moyens de vérifier l’identité d’un utilisateur avant de l’autoriser à accéder au réseau.

2. Mon organisation a-t-elle besoin de l’authentification 2FA pour la connexion Windows ?

Oui, en déployant la fonctionnalité 2FA pour la connexion Windows, on ajoute des niveaux de sécurité aux machines des utilisateurs. La protection de la connexion par un seul facteur (en général, un nom d’utilisateur et un mot de passe) la rend vulnérable aux attaques. Toutefois, en intégrant d’autres facteurs d’authentification, on sécurise les machines de l’organisation et les protège contre les violations et les attaques.

3. Quelle solution 2FA Windows puis-je déployer dans mon organisation ?

On peut sécuriser les machines Windows de l’organisation en déployant la fonctionnalité 2FA de ManageEngine ADSelfService Plus pour la connexion locale et à distance. Outre celles Windows, ADSelfService Plus prend en charge les machines Linux et macOS. On peut aussi bénéficier des autres fonctions 2FA d’ADSelfService Plus comme :

2FA par machine
2FA pour Windows UAC
2FA hors ligne

Pour mieux comprendre la fonctionnalité 2FA d’ADSelfService Plus, convenez d’une démo Web personnalisée avec nos experts de la solution ou téléchargez une version d’évaluation gratuite de 30 jours pour la découvrir vous-même.

4.Quels sont les différents types d’authentificateur 2FA qu’offre ADSelfService Plus pour Active Directory ?

ADSelfService Plus offre 20 authentificateurs 2FA différents pour la connexion Windows. On peut choisir dans une gamme d’authentificateurs comme YubiKey, la biométrie, une carte à puce, Microsoft Authenticator ou Duo Security pour renforcer la sécurité de la connexion Windows pour les utilisateurs.

Améliorer la sécurité informatique avec l’authentification 2FA de connexion Windows

Obtenez votre essai gratuit

Points forts

Libre-service de mot de passe

Libérez les utilisateurs d'Active Directory d'assister à de longs appels au service d'assistance en leur permettant d'effectuer en libre-service leurs tâches de réinitialisation de mot de passe/de déverrouillage de compte. Changement de mot de passe sans tracas pour les utilisateurs d'Active Directory avec la console ADSelfService Plus « Changer le mot de passe ».

Une identité avec authentification unique

Obtenez un accès transparent en un clic à plus de 100 applications cloud. Avec l'authentification unique d'entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs informations d'identification Active Directory. Merci à ADSelfService Plus !

Notification d'expiration de mot de passe/compte

Informez les utilisateurs d'Active Directory de l'expiration imminente de leur mot de passe/compte en leur envoyant ces notifications d'expiration de mot de passe/compte.

Synchroniseur de mot de passe

Synchronisez automatiquement les modifications de mot de passe/compte utilisateur Windows Active Directory sur plusieurs systèmes, notamment Office 365, G Suite, IBM iSeries et plus encore.

Application de la politique de mot de passe

Garantissez des mots de passe utilisateur forts qui résistent à diverses menaces de piratage avec ADSelfService Plus en obligeant les utilisateurs d'Active Directory à adhérer à des mots de passe conformes via l'affichage des exigences de complexité des mots de passe.

Mise à jour automatique de l'annuaire et recherche d'entreprise

Portail qui permet aux utilisateurs d'Active Directory de mettre à jour leurs dernières informations et une fonction de recherche rapide pour rechercher des informations sur leurs pairs en utilisant des clés de recherche, comme le numéro de contact, de la personnalité recherchée.

Gestion des identités et des accès

Gestion des services d’entreprise

Gestion unifiée des terminaux et sécurité

Gestion des opérations informatiques

Gestion des événements et des informations de sécurité

Analyse informatique avancée

Développement d'applications low-code

Solutions cloud pour l’informatique d’entreprise

Gestion informatique pour MSP

Gestion Active Directory Gérez, suivez et protégez la configuration Active Directory.

Gouvernance et administration des identitésOrchestrez la gestion des identités d’utilisateur et les contrôles d’accès pour une sécurité Zero Trust.

Gestion de l’accès privilégiéContrôlez et protégez l’accès privilégié aux ressources stratégiques de l’entreprise.

Gestion des servicesIT et d’entrepriseOffrez une qualité de service constante pour les fonctions opérationnelles.

Gestion du serviceclientCréez un portail unique pour les clients avec une gestion des comptes efficace.

Gestion desactifs informatiquesCentralisez et automatisez tout le cycle de vie complet des actifs informatiques.

SIEM Détectez, examinez et neutralisez les menaces de sécurité.

Gestion des journaux et de la conformitéAffinez le suivi des événements de sécurité et assurez la conformité.

Audit de sécuritéVérifiez la configuration Active Directory, les plateformes cloud et les fichiers pour renforcer la sécurité.

Plateforme de gestion et de protection des terminaux (UEM et EPP)Assurez la sécurité et la gestion de vos terminaux pour protéger efficacement vos actifs informatiques.

Gestion des terminauxOptimisez la gestion de vos appareils IT sans intervention de l'utilisateur.

Sécurité des terminauxProtégez-vous contre les menaces grâce à des mesures proactives et réactives.

Observabilité complète et surveillance de l’expérience numériqueObtenez une visibilité de bout en bout, résolvez les problèmes de manière proactive et renforcez la sécurité.

Surveillance des performances réseau et serveurAssurez la fiabilité du réseau, des serveurs et du stockage avec des analyses alimentées par l'IA.

Gestion des incidents ITGérez et résolvez efficacement les incidents IT tout en assurant la transparence.

Gestion des DNS et DHCPOptimiser la gestion des adresses IP et des domaines

Gestion des coûts du cloudDimensionner et maîtriser les coûts du cloud

Analyse des opérations informatiquesSupervisez vos applications et examinez tous les volets de votre informatique.

Générateur de solution personnalisée Créez des applications sur mesure pour automatiser les opérations de l’organisation.

Solutions cloud natives de gestion informatiqueAnalysez, gérez, vérifiez et protégez votre infrastructuremulticloud et hybride.

Solutions pour les MSPDéveloppez votre entreprise MSP avec des solutions de gestion IT évolutives et sécurisées.