Obliger les utilisateurs à se connecter via la validation en deux étapes ou l'authentification multifacteur

Cet article s'adresse aux administrateurs qui gèrent des règles Chrome dans la console d'administration Google.

En tant qu'administrateur Chrome Enterprise, vous pouvez implémenter la validation en deux étapes ou l'authentification multifacteur dans votre organisation, et obliger les utilisateurs à se connecter régulièrement à leurs appareils ChromeOS.

Vos utilisateurs devront se connecter régulièrement à leur compte en deux étapes ou plus, et vous pourrez ainsi renforcer la sécurité de votre organisation.

Qu'est-ce qu'un facteur d'authentification ?

Un facteur d'authentification est une information et un processus utilisés pour authentifier l'identité d'un utilisateur à des fins de sécurité.

Les facteurs d'authentification peuvent être classés en trois groupes :

• Un élément connu de vous, tel qu'un mot de passe ou un code
• Un élément en votre possession, comme une clé de sécurité ou un smartphone
• Un élément qui vous détermine, c'est-à-dire des données biométriques, comme vos empreintes digitales et votre visage

Lorsqu'un utilisateur se connecte via la validation en deux étapes ou l'authentification multifacteur, il doit fournir toutes les méthodes d'authentification requises. Sinon, son accès sera refusé.

Voici des exemples d'authentification :

• Validation en deux étapes lorsqu'un utilisateur ajoute un compte à un appareil ChromeOS
• Validation en deux étapes lorsqu'un utilisateur se connecte à son compte utilisateur
• Validation en deux étapes lorsqu'un utilisateur déverrouille un appareil ChromeOS
• Authentification sans mot de passe lorsqu'un utilisateur utilise son empreinte digitale ou un code pour déverrouiller l'écran de son appareil ChromeOS

Pour savoir quand et pourquoi utiliser la validation en deux étapes ou la MFA dans votre organisation, consultez Protéger votre entreprise avec la validation en deux étapes.

Avant de commencer

• Si vous avez déjà déployé Chrome sur des appareils, prévenez les utilisateurs. Informez-les qu'ils doivent se connecter à leur compte Google géré à une date précise.

Étape 1 : Sélectionnez les règles

Pour les utilisateurs qui se connectent à leur appareil ChromeOS sans utiliser l'authentification unique (SSO) SAML, vous pouvez appliquer les règles suivantes :

• Fréquence de connexion en ligne à Google
• Fréquence des déverrouillages en ligne de Google

Pour les utilisateurs qui se connectent à leur appareil ChromeOS via l'authentification unique (SSO) SAML, vous pouvez appliquer les règles suivantes :

• Fréquence de connexion par authentification unique SAML
• Fréquence de déverrouillage par authentification unique SAML

Étape 2 : Familiarisez-vous avec les règles

Vous pouvez définir les règles de votre choix parmi les suivantes :

Étape 3 : Définissez les règles

Cliquez sur les rubriques ci-dessous pour obtenir les instructions qui correspondent à la manière dont vous voulez gérer ces règles.

Ces règles peuvent s'appliquer aux utilisateurs connectés sur n'importe quel appareil. Pour en savoir plus, consultez Déterminez quand les paramètres s'appliquent.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu  AppareilsChromeParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

   Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu  Navigateur ChromeParamètres.

3. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
4. Accédez à Sécurité.
5. Pour les utilisateurs sans authentification unique SAML, procédez comme suit :
   1. Cliquez sur Fréquence de connexion en ligne à Google, saisissez une valeur en jours, puis cliquez sur Enregistrer:
      • 0 : les utilisateurs sont toujours tenus de se connecter en ligne.
      • 1-365 : après la période définie, les utilisateurs doivent se connecter en ligne la prochaine fois qu'ils démarrent une session.
   2. Cliquez sur Fréquence des déverrouillages en ligne de Google, saisissez une valeur en jours, puis cliquez sur Enregistrer:
      • 0 : les utilisateurs sont toujours tenus de se connecter en ligne sur leur écran de verrouillage.
      • 1-365 : après la période définie, les utilisateurs doivent se connecter en ligne la prochaine fois qu'ils déverrouillent leur écran.
6. Pour les utilisateurs disposant de l'authentification unique SAML, procédez comme suit :
   1. Cliquez sur Fréquence de connexion par authentification unique SAML, définissez la fréquence de connexion en ligne forcée, puis cliquez sur Enregistrer.
   2. Cliquez sur Fréquence de déverrouillage par authentification unique SAML, saisissez une valeur en jours, puis cliquez sur Enregistrer:
      • 0 : les utilisateurs sont toujours tenus de se connecter en ligne sur leur écran de verrouillage.
      • 1-365 : après la période définie, les utilisateurs doivent se connecter en ligne la prochaine fois qu'ils déverrouillent leur écran.

Étape 4 : Vérifiez que les règles ont bien été appliquées

Lorsque vous appliquez une règle Chrome, les utilisateurs doivent redémarrer leur navigateur Chrome pour qu'elle soit prise en compte. Vous avez la possibilité de vérifier que la règle a bien été appliquée sur les appareils des utilisateurs.

1. Sur un appareil Chrome géré, accédez à la page chrome://policy.
2. Cliquez sur Actualiser les règles.
3. Cochez l'option Afficher les règles non paramétrées.
4. Le cas échéant, pour GaiaOfflineSigninTimeLimitDays, GaiaLockScreenOfflineSigninTimeLimitDays, SAMLOfflineSigninTimeLimit et SamlLockScreenOfflineSigninTimeLimitDays, assurez-vous que État est défini sur OK.
5. Pour chaque règle, cliquez sur Afficher la valeur. Assurez-vous que le contenu des champs correspond aux valeurs que vous avez définies pour chaque règle.

Article associé

• Déverrouillage rapide