Pertinent pour: Forfait Enterprise
Configuré par : Les admins d’entreprise
Authentification à deux facteurs (2FA) pour les organisations
L’authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire aux profils en ligne, en allant au-delà d'un simple nom d'utilisateur et mot de passe. Les admins d'entreprise Enterprise peuvent imposer une preuve d'identité supplémentaire lorsque les utilisateurs accèdent à l'abonnement Miro de leur organisation. Cette exigence s'applique à toutes les connexions utilisant l'e-mail et le mot de passe. Pour les entreprises utilisant l'authentification unique (SSO), la 2FA inclut spécifiquement les collaborateurs externes ; pour les organisations sans SSO, elle s'étend à tous les utilisateurs.
✏️ Cet article explique l'authentification à deux facteurs (2FA) pour les forfaits Enterprise. Pour tous les autres forfaits, consultez l'authentification à deux facteurs (2FA) dans l'Administration.
Configuration de l’authentification à deux facteurs forcée pour votre organisation
✏️ Avant d’activer l’authentification à deux facteurs (2FA), il est important d’informer tous les utilisateurs concernés, y compris les membres au sein de votre organisation et les collaborateurs externes. Pour garantir une transition en douceur, nous vous suggérons de partager notre guide utilisateur pour l'authentification à deux facteurs pour les accompagner dans ce processus.
Activer l’authentification à deux facteurs pour vos utilisateurs
- Allez dans la console admin > Sécurité > Authentification.
- Activez Appliquer l’authentification à deux facteurs pour les utilisateurs sans SSO.
Imposer l'authentification 2FA pour les utilisateurs non-SSO
Appareils 2FA de confiance
Lorsqu'elle est activée, vos utilisateurs 2FA verront une case à cocher qui leur permettra de sauter l'authentification 2FA à chaque fois qu'ils se connectent sur cet appareil pendant les X jours suivants, où "X" est la durée définie par l'administrateur. Vous pouvez autoriser les appareils des utilisateurs à être approuvés pour une durée de 7 à 90 jours. Par défaut, la confiance des appareils 2FA est activée, mais vous pouvez désactiver cette fonctionnalité dans votre console d'admin.
⚠️ Si la confiance envers les appareils 2FA est désactivée, les utilisateurs devront saisir un code 2FA à chaque connexion. Cela ralentira l'expérience de connexion.
L'AFC sera à nouveau requise une fois la période de confiance expirée.
L'AFC ne sera pas omise si les utilisateurs se connectent sur un nouvel appareil ou navigateur ou s'ils effacent les cookies de leur navigateur.
Réinitialisation de l’A2F pour les utilisateurs
Si un utilisateur perd l'accès à sa méthode de 2FA, les admins peuvent réinitialiser sa 2FA. Une fois qu'un utilisateur demande la réinitialisation de sa méthode 2FA, l'admin approprié recevra une notification par e-mail.
Pour réinitialiser la méthode 2FA pour l'utilisateur :
- Allez dans Console d’administration > Utilisateurs > onglet Utilisateurs actifs.
- Trouvez l'utilisateur dont la méthode 2FA doit être réinitialisée.
- Cliquez sur l'icône trois points (...) dans la ligne de l’utilisateur.
Réinitialisation de l'authentification à deux facteurs dans la console d'admin - Cliquez sur Réinitialiser l’authentification à deux facteurs.
Une boîte de dialogue s’ouvrira demandant confirmation. - Cliquez sur le bouton Réinitialiser 2FA dans la boîte de dialogue.
- Un message de confirmation apparaîtra en haut de votre écran confirmant que les instructions de réinitialisation ont été envoyées à l'utilisateur.
Impact sur l’expérience utilisateur
- Les utilisateurs sans authentification unique seront invités à configurer leur deuxième facteur lors de leur prochaine connexion. Ce processus ne les déconnectera pas de leurs sessions en cours.
- Les utilisateurs sont tenus de configurer l'authentification à deux facteurs (2FA) à l'aide de leur appareil mobile et d'une application de mot de passe à usage unique basé sur le temps (TOTP), telle que Microsoft Authenticator, Google Authenticator ou Authy.
- Pour les utilisateurs utilisant l'authentification à deux facteurs, il y a une limite de 3 tentatives pour entrer un code TOTP valide. Si cette limite est dépassée, ils devront recommencer le processus d’authentification.
- Bien que la connexion via l'authentification à deux facteurs soit disponible sur les applications mobiles et pour tablette, le processus d'enregistrement initial est pris en charge exclusivement sur les navigateurs et les applications de bureau.
Important à savoir
Le forçage de l'authentification à deux facteurs ne s'applique qu'aux utilisateurs s’authentifiant avec leur adresse e-mail et leur mot de passe ou via des liens magiques (envoyés par e-mail).
- Si un collaborateur ou une collaboratrice externe à votre organisation Enterprise s’authentifie déjà grâce au SSO de sa propre organisation, il continuera d’accéder à toutes les équipes et tous les tableaux Miro à l’aide du SSO.
- Lorsqu'un utilisateur s'authentifie via une intégration de connexion tierce (par exemple, Google, Microsoft, Slack), il conservera l'accès à toutes les équipes et à tous les tableaux Miro via cette méthode de connexion. Les admins ont la possibilité d'encourager ces utilisateurs à configurer un deuxième facteur au sein de leur intégration de connexion respective. Cependant, le flux d'authentification de Miro ne demandera pas à ces utilisateurs de configurer un deuxième facteur.
Journaux d’audit
Les administrateurs peuvent suivre les utilisateurs ayant configuré l'authentification à deux facteurs (2FA), ainsi que les succès et les échecs de connexion 2FA à l'aide des événements de journal d’audit suivants :
- ‘mfa_setup_succeeded’ - si un utilisateur a configuré avec succès son second facteur
- Mise à jour de l'événement `sign_in_succeeded` pour inclure l'attribut MfaFactorType si une connexion réussie est effectuée avec l'authentification à deux facteurs
- Mise à jour vers l'événement 'sign_in_failed' pour inclure l’attribut MfaFactorType si une connexion avec l’authentification à deux facteurs a échoué en raison de l’utilisateur ayant dépassé le nombre maximum de tentatives (échec non technique)