Tutoriel : migrer les stratégies d’authentification Okta vers l’accès conditionnel Microsoft Entra

Découvrez dans ce didacticiel comment migrer une organisation à partir de stratégies d’authentification globales ou au niveau de l’application de l’accès conditionnel Okta dans Microsoft Entra ID. Les stratégies d’accès conditionnel sécurisent l’accès utilisateur dans Microsoft Entra ID et dans les applications connectées.

Pour plus d’informations, consultez Présentation de l’accès conditionnel.

Ce didacticiel part du principe que vous disposez de :

• Locataire Office 365 fédéré à Okta pour la connexion et l’authentification multifacteur
• Un serveur Microsoft Entra Connect ou des agents de provisionnement cloud Microsoft Entra Connect configurés pour le provisionnement des utilisateurs dans Microsoft Entra ID

Prérequis

Consultez les deux sections suivantes pour connaître les conditions préalables pour les licences et les informations d’identification.

Licence

Il y a des exigences de licence si vous passez de l’authentification Okta à l’accès conditionnel. Le processus nécessite une licence Microsoft Entra ID P1 pour activer l’inscription pour l’authentification multifacteur Microsoft Entra.

En savoir plus : Attribuer ou supprimer des licences dans le centre d’administration Microsoft Entra

Informations d’identification de l’administrateur d’entreprise

Pour configurer l’enregistrement du point de connexion de service (SCP, Service Connection Point), vérifiez que vous disposez des informations d’identification de l’administrateur d’entreprise dans la forêt locale.

Évaluation des stratégies d’authentification Okta pour la transition

Recherchez et évaluez les stratégies d’authentification Okta pour déterminer ce qui sera transitionné vers Microsoft Entra ID.

1. Dans Okta, accédez à Sécurité>Authentification>Connexion.

   

2. Accédez à Applications.

3. Dans le sous-menu, sélectionnez Applications

4. Dans la liste des applications actives, sélectionnez l’instance connectée Microsoft Office 365.

   

5. Sélectionnez Se connecter.

6. Faites défiler vers le bas de la page.

Il y a quatre règles pour la stratégie de connexion à l’application Microsoft Office 365 :

• Appliquer la MFA pour les sessions mobiles — exige la MFA pour les sessions d’authentification moderne ou de navigateur sur iOS ou Android
• Autoriser les appareils Windows de confiance — empêche la vérification inutile ou les invites de facteurs pour les appareils Okta de confiance
• Exiger la MFA pour les appareils Windows non approuvés — exige la MFA pour les sessions d’authentification moderne ou de navigateur sur les appareils Windows non approuvés
• Bloquer l’authentification héritée — empêche tout client d’authentification héritée de se connecter au service

La capture d’écran suivante présente les conditions et les actions pour les quatre règles, sur l’écran Stratégie de connexion.

Configurer des stratégies d’accès conditionnel

Configurez les stratégies d’accès conditionnel pour correspondre aux conditions Okta. Toutefois, une configuration supplémentaire peut être nécessaire dans certains scénarios :

• Emplacements réseau Okta vers des emplacements nommés dans Microsoft Entra ID
  • Utilisation de la condition d’emplacement dans une stratégie d’accès conditionnel
• Confiance d’appareil Okta vers l’accès conditionnel basé sur l’appareil (deux options pour évaluer les appareils d’utilisateurs) :
  • Consultez la section Configuration de la jointure Microsoft Entra hybride pour synchroniser des appareils Windows, tels que Windows 10, Windows Server 2016 et 2019, avec Microsoft Entra ID
  • Consultez la section Configurer la conformité d’un appareil
  • Consultez l’article Utiliser la jointure Microsoft Entra hybride, une fonctionnalité du serveur Microsoft Entra Connect qui synchronise les appareils Windows, tels que Windows 10, Windows Server 2016 et Windows Server 2019, avec Microsoft Entra ID
  • Consultez l’article Inscrire l’appareil dans Microsoft Intune et attribution d’une stratégie de conformité

Configuration de la jointure Microsoft Entra hybride

Pour activer la jointure Microsoft Entra hybride sur votre serveur Microsoft Entra Connect, exécutez l’assistant de configuration. Inscrivez les appareils après la configuration.

Remarque

La jointure Microsoft Entra hybride n’est pas prise en charge avec les agents d’approvisionnement cloud Microsoft Entra Connect.

1. Configurez la jointure Microsoft Entra hybride.

2. Sur la page Configuration SCP, sélectionnez le menu déroulant Service d’authentification.

   

3. Sélectionnez une URL de fournisseur de fédération Okta.

4. Sélectionnez Ajouter.

5. Saisissez vos informations d’identification de l’administrateur d’entreprise local

6. Sélectionnez Suivant.

   Conseil

   Si vous avez bloqué l’authentification héritée sur les clients Windows dans la stratégie de connexion globale ou au niveau de l’application, créez une règle pour permettre au processus de jointure Microsoft Entra hybride de se terminer. Autorisez la pile d’authentification héritée pour les clients Windows.
   Pour activer les chaînes clientes personnalisées sur les stratégies d’application, contactez le Centre d’aide Okta.

Configurer la conformité des appareils

La jointure Microsoft Entra hybride remplace directement la confiance des appareils Okta sur Windows. Les stratégies d’accès conditionnel reconnaissent la conformité des appareils inscrits dans Microsoft Intune.

Stratégie de conformité de l’appareil

• Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune
• Créer une stratégie de conformité dans Microsoft Intune

Inscription Windows 10/11, iOS, iPadOS et Android

Si vous avez déployé la jointure Microsoft Entra hybride, vous pouvez déployer une autre stratégie de groupe pour terminer le processus d’inscription automatique de ces appareils dans Intune.

• Inscription dans Microsoft Intune
• Démarrage rapide : configurer l’inscription automatique pour les appareils Windows 10/11
• Inscrire des appareils Android
• Inscription des appareils iOS/iPadOS dans Intune

Configurer les paramètres du locataire de l’authentification multifacteur Microsoft Entra

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant de vous convertir à l’accès conditionnel, confirmez les paramètres MFA de locataire de base pour votre organisation.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride.

2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

3. Sélectionnez MFA par utilisateur dans le menu supérieur du volet Utilisateurs .

4. Le portail d’authentification multifacteur hérité Microsoft Entra s’affiche. Ou sélectionnez Portail d’authentification multifacteur Microsoft Entra.

   

5. Vérifiez qu’aucun utilisateur n’est activé pour la MFA héritée. Dans le menu authentification multi-facteur, sous état d’authentification multi-facteur, sélectionnez Activée et Appliquée. Si votre locataire a des utilisateurs dans les affichages suivants, désactivez-les dans le menu hérité.

   

6. Vérifiez que le champ Appliqué est vide.

7. Sélectionnez l’option Paramètres de service.

8. Changez la sélection Mots de passe d’application en Ne pas autoriser les utilisateurs à créer des mots de passe d’application pour se connecter à des applications sans navigateur.

   

9. Décochez les cases pour Ignorer l’authentification multifacteur pour les demandes issues d’utilisateurs fédérés provenant de mon intranet et Permettre aux utilisateurs de mémoriser l’authentification multifacteur sur des appareils de confiance (entre 1 et 365 jours).

10. Sélectionnez Enregistrer.

    

    Remarque

    Consultez Optimiser les invites de réauthentification et comprendre la durée de vie des sessions de l’authentification multifacteur Microsoft Entra.

Générer une stratégie d’accès conditionnel

Pour configurer les stratégies d’accès conditionnel, consultez l’article Meilleures pratiques de déploiement et de conception de l’accès conditionnel.

Une fois les prérequis et les paramètres de base établis, vous pouvez générer une stratégie d’accès conditionnel. La stratégie peut être ciblée sur une application, un groupe de test d’utilisateurs, ou les deux à la fois.

Avant de commencer :

• Comprendre les composants des stratégies d’accès conditionnel
• Créer une stratégie d’accès conditionnel

1. Connectez-vous au centre d’administration Microsoft Entra.

2. Accédez à Identité.

3. Pour savoir comment créer une stratégie dans Microsoft Entra ID. Consultez l’article Stratégie commune d’accès conditionnel : exiger la MFA pour tous les utilisateurs.

4. Créez une règle d’accès conditionnel basée sur la confiance des appareils.

   

   

5. Une fois que vous avez configuré la stratégie basée sur l’emplacement et la stratégie d’approbation des appareils, bloquez l’authentification héritée avec Microsoft Entra ID par accès conditionnel.

Grâce à ces trois stratégies d’accès conditionnel, l’expérience originale des stratégies d’authentification Okta est reproduite dans Microsoft Entra ID.

Inscrire des membres pilotes à la MFA

Les utilisateurs s’inscrivent aux méthodes de MFA.

Pour l’inscription individuelle, les utilisateurs accèdent au volet Connexion de Microsoft.

Pour gérer l’inscription, les utilisateurs accèdent à Mes Connexions Microsoft | Informations de sécurité.

En savoir plus : Activer l’enregistrement des informations de sécurité combinées dans Microsoft Entra ID.

Remarque

Si les utilisateurs sont inscrits, ils sont redirigés vers la page Ma sécurité une fois qu’ils ont répondu à la MFA.

Activer des stratégies d’accès conditionnel

1. Pour tester, modifiez les stratégies créées à Connexion d’utilisateur test activée.

   

2. Dans le volet Connexion Office 365, l’utilisateur de test John Smith est invité à se connecter avec l’authentification multifacteur Okta et l’authentification multifacteur Microsoft Entra.

3. Effectuez la vérification de MFA par le biais d’Okta.

   

4. L’accès conditionnel est demandé à l’utilisateur.

5. Assurez que les stratégies sont configurées au déclenchement pour la MFA.

   

Ajout de membres de l’organisation aux stratégies d’accès conditionnel

Après avoir effectué des tests sur les membres pilotes, ajoutez les membres restants de l’organisation aux stratégies d’accès conditionnel, après inscription.

Pour éviter les invites en double entre l’authentification multifacteur Microsoft Entra et l’authentification multifacteur Okta, refusez l’authentification multifacteur Okta en modifiant les stratégies d’authentification.

1. Accédez à la console administrateur d’Okta

2. Sélectionnez Sécurité>Authentification

3. Accédez à la Stratégie de connexion.

   Notes

   Définissez les stratégies globales sur Inactives si toutes les applications Okta sont protégées par des stratégies d’authentification d’application.

4. Définissez la stratégie Appliquer l’authentification multifacteur sur Inactive. Vous pouvez attribuer la stratégie à un nouveau groupe qui n’inclut pas les utilisateurs Microsoft Entra.

   

5. Sélectionnez l’option Désactiver la règle dans le volet de stratégie de connexion au niveau de l’application.

6. Sélectionnez Inactive. Vous pouvez attribuer la stratégie à un nouveau groupe qui n’inclut pas les utilisateurs Microsoft Entra.

7. Assurez-vous qu’au moins une stratégie de connexion au niveau de l’application est activée pour l’application qui autorise l’accès sans MFA.

   

8. Les utilisateurs sont invités à saisir l’accès conditionnel la prochaine fois qu’ils se connectent.

Étapes suivantes

• Tutoriel : migrer vos applications d’Okta vers Microsoft Entra ID
• Tutoriel : migrer la fédération Okta vers l’authentification managée Microsoft Entra ID
• Tutoriel : migrer le provisionnement de synchronisation Okta vers la synchronisation basée sur Microsoft Entra Connect