Pertinent pour : Forfait Enterprise
Installation par : les admins d’entreprise
Authentification à deux facteurs (2FA) pour les organisations
Le 2FA ajoute une couche de sécurité supplémentaire aux profils en ligne, au-delà du simple nom d'utilisateur et du mot de passe. Les administrateurs d'entreprise peuvent exiger une preuve d'identité supplémentaire lorsque les utilisateurs accèdent à l'abonnement Miro de leur organisation. Cette exigence s'applique à toutes les connexions utilisant un e-mail et un mot de passe. Pour les entreprises utilisant le SSO, le 2FA inclut spécifiquement les collaborateurs externes ; pour les organisations sans SSO, il s'étend à tous les utilisateurs.
La fonction 2FA sera bientôt disponible pour les espaces de travail locaux/privés, y compris ceux qui requièrent une résidence de données aux États-Unis. La sécurité des collaborateurs externes est également renforcée, puisque la fonction 2FA est prise en charge pour les utilisateurs en dehors des domaines de l'organisation.
Configuration de l’authentification à deux facteurs forcée pour votre organisation
✏️ Avant d'activer l'authentification à deux facteurs (2FA), il est important d'informer tous les utilisateurs concernés, qu'il s'agisse de membres de votre organisation ou de collaborateurs externes. Pour assurer une transition en douceur, nous vous suggérons de partager notre guide de l'utilisateur 2FA pour les aider dans ce processus.
Activer l’authentification à deux facteurs pour vos utilisateurs
- Allez dans la console d'administration > Sécurité > Authentification.
- Activez Enforce 2FA for non-SSO users (Appliquer 2FA pour les utilisateurs non-SSO).
Renforcer l'authentification 2FA pour les utilisateurs non-SSO
Confiance dans les dispositifs 2FA
Lorsque cette option est activée, vos utilisateurs 2FA verront s'afficher une case à cocher qui leur permet d'ignorer le 2FA chaque fois qu'ils se connectent sur cet appareil pendant les X prochains jours, où "X" est le cadre temporel défini par l'administrateur. Vous pouvez autoriser les appareils des utilisateurs à être fiables pendant 7 à 90 jours. Par défaut, la confiance dans les dispositifs 2FA est activée, bien que vous puissiez désactiver cette fonctionnalité dans votre console d'administration.
⚠️ Si la confiance dans les dispositifs 2FA est désactivée, les utilisateurs devront saisir un code 2FA à chaque connexion. Cela ralentira le processus d'ouverture de session.
Le 2FA sera à nouveau requis après la fin de la période de confiance.
La fonction 2FA ne sera pas ignorée si les utilisateurs se connectent sur un nouvel appareil ou un nouveau navigateur, ou s'ils effacent les cookies de leur navigateur.
Réinitialisation de 2FA pour les utilisateurs
Si un utilisateur perd l'accès à sa méthode 2FA, les admins peuvent réinitialiser son 2FA. Lorsqu'un utilisateur demande la réinitialisation de sa méthode 2FA, l'administrateur concerné reçoit un e-mail de notification.
Pour réinitialiser la méthode 2FA pour l'utilisateur :
- Allez dans la console d'administration > Utilisateurs > onglet Utilisateurs actifs.
- Trouvez l'utilisateur qui a besoin de réinitialiser sa méthode 2FA.
- Cliquez sur l'icône des trois points (...) sur la ligne de l'utilisateur.
Réinitialisation de l'authentification à deux facteurs dans la console d'administration - Cliquez sur Réinitialiser l'authentification à deux facteurs.
Une boîte de dialogue s'ouvre pour vous demander confirmation. - Cliquez sur le bouton Réinitialiser 2FA dans la boîte de dialogue.
- Un message de confirmation s'affiche en haut de votre écran, confirmant que les instructions de réinitialisation ont été envoyées à l'utilisateur.
Impact sur l’expérience utilisateur
- Les utilisateurs non-SSO seront prompts à configurer leur deuxième facteur lors de leur prochaine connexion. Cette procédure ne les déconnectera pas des sessions en cours.
- Les utilisateurs doivent configurer 2FA en utilisant leur appareil mobile ainsi qu'une application de mot de passe à usage unique basé sur le temps (TOTP), telle que Microsoft Authenticator, Google Authenticator ou Authy.
- Pour les utilisateurs utilisant 2FA, il y a une limite de 3 tentatives pour entrer un code TOTP valide. Si cette limite est dépassée, ils devront recommencer la procédure d'authentification.
- Alors que la connexion 2FA est disponible sur les applications mobiles et tablettes, le processus d'enregistrement initial est pris en charge exclusivement sur les applications de navigateur et de bureau.
Important
L'application du 2FA ne s'applique qu'aux aux utilisateurs qui s'authentifient avec leur e-mail et leur mot de passe ou via des liens magiques (envoyés par e-mail).
- Si un collaborateur ou une collaboratrice externe à votre organisation sur forfait Enterprise s’authentifie déjà grâce au SSO de sa propre organisation, ils continueront d’accéder à toutes les équipes et tous les tableaux Miro à l’aide du SSO.
- Lorsqu'un utilisateur s'authentifie par le biais d'une intégration de connexion tierce (par exemple, Google, Microsoft, Slack), il conserve l'accès à toutes les équipes et à tous les tableaux Miro via cette méthode de connexion. Les admins ont la possibilité d'encourager ces utilisateurs à mettre en place un deuxième facteur dans leur intégration de connexion respective. Cependant, le flux d'authentification de Miro n'incitera pas ces utilisateurs à configurer un deuxième facteur.
Journaux d’audit
Les admins peuvent suivre les utilisateurs ayant configuré l’authentification à deux facteurs ainsi que les connexions de ce type réussies et échouées, grâce aux événements de journal d’audit suivants :
- ’mfa_setup_succeeded’ - si un utilisateur a configuré avec succès son second facteur.
- Mise à jour vers l'événement 'sign_in_succeeded' pour inclure l’attribut MfaFactorType si une connexion réussie a lieu avec l’authentification à deux facteurs.
- Mise à jour vers l’évènement 'sign_in_failed' pour inclure l’attribut MfaFactorType si une connexion avec l’authentification à deux facteurs a échoué en raison de l’utilisateur ayant dépassé le nombre maximum de tentatives (échec non technique).