Configurer la MFA sur les sessions Windows

Suivez ce guide étape par étape pour planifier, déployer et gérer la MFA avec UserLock. Découvrez comment choisir les méthodes d’authentification, préparer les utilisateurs et surveiller efficacement votre déploiement.

Publié le 15 octobre 2025

Introduction

Ce guide vous aide à planifier et à déployer l’authentification multifacteur (MFA) avec UserLock, en se concentrant sur le scénario le plus courant : la protection des ouvertures de session sur les postes de travail et serveurs.
Il fournit également des recommandations et bonnes pratiques pour un déploiement fluide, une adoption réussie par les utilisateurs et une gestion durable.

Note

📘 Avant de commencer :
Nous vous recommandons de lire la page de référence Authentification multi-facteurs (MFA) afin de comprendre le fonctionnement de la MFA dans UserLock.

Prérequis

Avant d’appliquer la MFA sur les sessions Windows (postes de travail et serveurs), vérifiez les conditions suivantes :

  • ✅️ Agent Station UserLock installé
    L’agent affiche les fenêtres MFA et communique avec le service UserLock lors des ouvertures et déverrouillages de session. Il doit être déployé sur tous les postes et serveurs à protéger.

  • ✅️ Communication agent - serveur fonctionnelle
    Vérifiez que les protocoles et ports réseau requis sont ouverts pour permettre la communication entre les agents et le serveur UserLock. Voir aussi : Communication et protocoles requis et Appliquer les prérequis du pare-feu.

Note

📘 Pour la liste complète des prérequis UserLock, consultez la page Prérequis.

1. Préparer le déploiement

Avant d’activer la MFA, vérifiez ces points essentiels pour garantir une configuration fluide :

✅️ Choisir les méthodes MFA autorisées

Définissez les méthodes MFA autorisées (Push, application d’authentification, jetons, codes de secours) et ne conservez que celles adaptées à votre environnement.
Limiter le choix facilite la gestion et réduit la confusion des utilisateurs.

✅️ Activer l’option “Reporter la configuration”

Autorisez les utilisateurs à différer leur inscription MFA de quelques jours.
Cette flexibilité évite les blocages lors d’un déploiement progressif et laisse du temps à l’équipe informatique pour accompagner les utilisateurs en difficulté.

✅️ Activer l’option “Demander de l’aide”

Permettez aux utilisateurs de contacter directement l’équipe informatique depuis la fenêtre MFA s’ils rencontrent un problème de configuration ou d’accès.
Cela réduit les délais d’assistance et accélère la résolution des incidents.

✅️ Commencer avec un groupe pilote

Testez la configuration avec un groupe restreint (par exemple, le service informatique ou des utilisateurs expérimentés) avant de la généraliser à toute l’organisation.
Cela permet de valider les paramètres et d’éviter une surcharge du support.

✅️ Informer les utilisateurs avant activation

Une communication claire favorise l’adoption et limite les incidents.
Assurez-vous que les utilisateurs comprennent :

  • pourquoi la MFA est mise en place et ses avantages en matière de sécurité ;

  • quand ils seront invités à s’enrôler ;

  • comment procéder (avec un lien vers les guides d’inscription MFA) ;

  • qui contacter en cas de problème ou de perte de téléphone.

2. Créer et appliquer une stratégie d’accès

Une fois la préparation terminée, créez la stratégie MFA qui appliquera l’authentification aux utilisateurs et types de sessions souhaités.

  1. Ouvrez la console UserLock et accédez à Stratégies d’accès ▸ Ajouter une stratégie.

  2. Suivez les étapes décrites dans Configurer une stratégie d’accès jusqu’à la sélection du type de stratégie.

  3. Choisissez Authentification multifacteur (MFA) pour ouvrir le formulaire de configuration.

  4. Définissez Application de la MFA : Activée.

  5. Sous Mode de configuration, sélectionnez Paramètres distincts par type de session pour définir des règles spécifiques pour les sessions Station de travail et Serveur.

  6. Configurez le Type de connexion et la Fréquence d’application (à chaque ouverture de session, tous les N jours, uniquement depuis une nouvelle adresse IP, etc.).

  7. Activez éventuellement Permettre d'ignorer la configuration pour simplifier l’inscription.

  8. Appliquez et testez la stratégie avec votre groupe pilote.

Note

📘 Voir la page Stratégies d’accès – MFA pour la description complète des paramètres.

3. Suivre le déploiement et accompagner les utilisateurs

Après activation de la MFA, surveillez régulièrement l’inscription des utilisateurs et l’activité MFA depuis la console UserLock.
Ce suivi permet d’identifier rapidement les problèmes et d’aider efficacement les utilisateurs.

Identifier les utilisateurs avec ou sans MFA

  1. Ouvrez Environnement ▸ Utilisateurs, puis l’onglet Audités par UserLock.

  2. Cliquez sur Filtres.

  3. Sous Conditions, sélectionnez Méthode MFA.

    • Pour lister les utilisateurs sans méthode MFA → choisissez Aucun.

    • Pour lister les utilisateurs avec une méthode MFA → choisissez N'est pas puis Aucun.

  4. Ajoutez des filtres supplémentaires si nécessaire, puis cliquez sur Appliquer.

  5. Consultez la colonne Configuration MFA pour voir la méthode utilisée par chaque utilisateur.

Note

💡 Pour un suivi régulier, enregistrez cette vue filtrée et rouvrez-la à tout moment.

Suivre les événements MFA

UserLock propose un rapport dédié avec des vues prédéfinies, répertoriant toutes les actions liées à la MFA (authentifications réussies, échecs, inscriptions reportées ou demandes d’aide).

  1. Accédez à Rapports ▸ Événements MFA.

  2. Sélectionnez la période à analyser (7 derniers jours par défaut).

  3. Choisissez une vue prédéfinie pour affiner les résultats.

  4. Ajoutez des filtres supplémentaires si nécessaire.

Nom de la vue

Description

Configuration MFA ignorées

L’utilisateur a cliqué sur Ignorer lors de l’inscription MFA (si l'option est activée dans les paramètres MFA).
Utile pour suivre les utilisateurs encore en attente.

Demandes d'aide MFA

L’utilisateur a cliqué sur Demander de l’aide lors de l’inscription ou de la validation MFA (si l'option est activée dans les paramètres MFA).
Permet d’identifier les utilisateurs nécessitant une assistance.

MFA annulées

L’utilisateur a annulé la demande MFA avant validation (peut indiquer une erreur, un problème technique ou une tentative interrompue).

MFA réussies

L’authentification MFA a été validée avec succès. Permet de suivre l’adoption et la conformité.

MFA échouées

L’utilisateur n’a pas réussi à valider la MFA et la connexion a échoué. Critique pour détecter les problèmes d’authentification ou comportements suspects.

Aider les utilisateurs bloqués

Certains utilisateurs rencontreront des difficultés, par exemple s’ils ne peuvent pas s’enrôler, perdent leur appareil ou le remplacent.

Lorsque l’option Demander de l’aide est activée, les administrateurs sont immédiatement notifiés (popup, e-mail ou notification dans la console) et peuvent consulter les demandes via Activité ▸ Demandes d’aide MFA.

Depuis cette vue (et depuis toute fiche utilisateur), ils peuvent :

  • Désactiver temporairement la MFA pour restaurer l’accès (choisissez la durée la plus courte possible).

  • Réinitialiser la configuration MFA pour permettre à l’utilisateur de se réinscrire sur un nouvel appareil.

Ces options permettent d’intervenir rapidement et en toute sécurité.

Note

💡 Si un utilisateur rencontre des difficultés d’inscription, partagez-lui le guide correspondant à la méthode MFA choisie.

Recommandations et bonnes pratiques de sécurité

Suivez ces recommandations pour renforcer votre déploiement MFA et assurer une protection cohérente dans tous les environnements.

Protéger en priorité les comptes à privilèges

Les comptes administrateur et de service disposent de droits étendus et représentent un risque majeur en cas de compromission.

  1. Créez une stratégie MFA dédiée pour ces comptes (par groupe, unité d’organisation ou utilisateur spécifique).

  2. Configurez la MFA pour qu’elle soit exigée à chaque ouverture de session, quel que soit le type.Pour éviter tout risque de blocage en cas d’erreur de configuration, créez un compte d’urgence (par exemple ULadmin) avec les permissions console complètes mais sans MFA.

Note

💡 Pour éviter tout risque de blocage en cas d’erreur de configuration, créez un compte d’urgence (par exemple ULadmin) avec les permissions complètes sur la console UserLock mais sans MFA.

Exiger la MFA pour les connexions distantes ou externes

Les intrusions réseau commencent souvent par des identifiants volés utilisés depuis l’extérieur de l’organisation.
Exiger la MFA pour toutes les connexions externes réduit considérablement ce risque.

  1. Créez une stratégie MFA permanente ciblant le groupe Tous les utilisateurs.

  2. Dans Type de connexion, sélectionnez Depuis l’extérieur.

  3. Définissez la fréquence :

    • Stations de travail : à chaque connexion

    • Autres sessions : une fois par adresse IP (première connexion du jour)

Cela garantit que toute tentative de connexion depuis l’extérieur exigera une vérification MFA.

Appliquer la MFA aux ouvertures de session sans connexion UserLock

Les utilisateurs modernes travaillent souvent à distance : à domicile, en déplacement ou dans des espaces publics.
Même déconnectés du réseau de l’entreprise, leurs appareils peuvent contenir des données sensibles qui doivent rester protégées.

⚠️ Par défaut, si l’agent Station ne peut pas contacter le service UserLock, aucune stratégie d’accès (y compris la MFA) n’est appliquée.

Pour maintenir la protection dans tous les cas :

  1. Configurez UserLock Anywhere pour permettre aux agents d’accéder au service UserLock via Internet lorsqu’aucune connexion LAN ou VPN n’est disponible.

  2. Si possible, autorisez la connexion VPN directement depuis l’écran de connexion Windows afin que l’agent puisse se reconnecter avant authentification (voir l'aide ici).

  3. Si aucune connexion réseau n’est possible, configurez l’agent pour exiger la MFA :

    • Accédez à ⚙️ Paramètres du serveur ▸ Général

    • Repérez Connexion sans UserLock

    • Définissez sur Demander la MFA ou Forcer la MFA selon votre niveau de sécurité souhaité.

Une fois cette option activée, tout utilisateur déjà enrôlé en MFA et ayant déjà ouvert une session connectée sera invité à s’authentifier en MFA même hors ligne.

Étendre la MFA à d’autres types de sessions

UserLock peut également appliquer la MFA à d’autres types de connexions :

  • Connexions VPN : exigez la MFA pour les connexions VPN distantes à l’aide de l’agent NPS de UserLock.

  • SSO (Authentification unique) : appliquez la MFA lors des connexions fédérées à des applications SaaS et web.

  • Applications IIS : protégez les connexions web (par exemple : Outlook Web Access, RD Web, etc.).

  • Invites d’élévation UAC : demandez la MFA lorsque les utilisateurs effectuent des actions nécessitant une approbation administrateur.

  • RemoteApp : appliquez la MFA lorsque les utilisateurs lancent ou se reconnectent à des applications publiées.

  • RD Gateway : sécurisez les accès Bureau à distance via les serveurs passerelles.