Authentification Multi-Facteurs (MFA)
Découvrez comment UserLock met en œuvre l’authentification multi-facteurs (MFA) pour sécuriser chaque ouverture de session et offrir un contrôle administratif complet sur les méthodes et stratégies d’authentification.
L’authentification multi-facteurs (MFA) de UserLock ajoute une couche de sécurité supplémentaire à tous les processus de connexion, garantissant un accès sûr même si les identifiants sont compromis.
La MFA peut être activée pour tout utilisateur, groupe ou unité d’organisation (OU), et appliquée de manière granulaire selon :
le type de session (station de travail, RDP, RemoteApp, VPN, application web via IIS, ou SaaS via SSO),
le type de connexion (locale, distante ou externe),
et la fréquence à laquelle la MFA est demandée.
Note
💡 Plus que de la MFA :
Contrairement aux autres solutions MFA, UserLock associe la MFA avec des stratégies d’accès contextuelles (heure, machine, emplacement, type de session) pour une protection fine et conditionnelle.
UserLock prend en charge plusieurs méthodes MFA pouvant être activées ou désactivées globalement, afin de contrôler celles autorisées dans votre environnement.
✅ Notifications Push | Notifications push et codes TOTP via l’application mobile UserLock Push, qui prend également en charge la validation biométrique. | |
✅ Application d’authentification (TOTP) | Applications d’authentification standard telles que Google Authenticator, Microsoft Authenticator ou Authy. | |
✅ Clés USB programmables | Jetons matériels stockant un secret TOTP et générant des codes basés sur le temps. | |
✅ Clés USB HOTP | Jetons matériels générant des mots de passe à usage unique basés sur des événements (ex. : YubiKey 5 Series, Token2 HOTP). | |
✅ Codes de récupération | Codes de secours à usage unique pour les situations d’urgence où la méthode MFA principale est indisponible. |
Note
UserLock est compatible avec de nombreuses marques de jetons (YubiKey, Token2, etc.) tant qu’elles prennent en charge les algorithmes standards HOTP ou TOTP
L’intégration FIDO2 est prévue prochainement et étendra les options d’authentification matérielle.
Les codes envoyés par SMS ou e-mail ne sont pas pris en charge, car ils reposent sur des canaux externes susceptibles d’être interceptés, usurpés ou retardés (ex. : SIM-swapping, phishing). Ces méthodes ne répondent pas aux exigences de sécurité de UserLock.
Chaque type de session ou de connexion nécessite des composants UserLock spécifiques pour que la MFA fonctionne correctement.
Cette section vous aide à identifier ce qu’il faut installer ou configurer selon le cas d’usage.
Cas d’usage | Description |
|---|---|
Station de travail / RDP / RemoteApp | Nécessite l'agent Station, qui communique avec le serveur UserLock et affiche les boîtes de dialogue MFA lors des connexions locales ou distantes. |
Applications web (IIS) | Nécessite l'agent IIS et l’application MFA IIS. Ces composants protègent les applications hébergées (RD Web, OWA, SharePoint, etc.) et fournissent également la page d’inscription web. |
Connexions VPN | Nécessitent l'agent NPS. En option, UserLock VPN Connect permet de combiner la connexion VPN et l’inscription MFA dans une seule interface. |
Utilisateurs distants / hors réseau | Nécessitent la combinaison de l'agent Station et de UserLock Anywhere pour permettre les défis MFA et l’inscription à distance via Internet. |
Single Sign-On sur applications SaaS | Lors de l’authentification SAML via UserLock SSO, la MFA s’applique pour garantir des règles cohérentes sur les applications cloud. |
Note
ℹ️ Astuce :
Les composants ci-dessus indiquent ce qui est requis pour le fonctionnement de la MFA, et non les prérequis techniques d’installation.
Pour consulter la liste des systèmes d’exploitation supportés, les prérequis des agents ou la disponibilité de l’inscription selon le cas d’usage, voir la page Prérequis.
Les administrateurs peuvent ajuster le comportement de la MFA et les options disponibles pour les utilisateurs depuis Paramètres serveur ▸ MFA.
Ces paramètres définissent comment les méthodes MFA sont proposées, comment les utilisateurs interagissent avec elles et comment le support est géré.
Sélectionner les méthodes MFA autorisées : permet d’uniformiser l’expérience utilisateur et de simplifier le support.
Activer les codes de récupération : autorise des codes de secours pour les utilisateurs ayant perdu l’accès à leur appareil MFA.
Activer “Demander de l'aide” : permet aux utilisateurs de contacter le support IT directement depuis la boîte de dialogue MFA.
Modifier les messages MFA : personnalise les textes affichés aux utilisateurs pour refléter le ton et la langue de votre organisation.
Note
👉 Voir la page de référence Paramètres MFA pour la liste complète des options.
La MFA s’applique via les stratégies d’accès, qui définissent quand, à quelle fréquence et pour quels utilisateurs la MFA est exigée.
Les administrateurs peuvent :
Appliquer la MFA par utilisateur, groupe ou unité d’organisation (OU).
Définir des règles différentes selon le type de session (station, serveur, VPN, IIS, SaaS, etc.).
Ajuster selon le type de connexion (locale, distante, externe).
Contrôler la fréquence MFA (à chaque connexion, quotidiennement, selon l’adresse IP, etc.).
Activer l’option Ignorer la configuration, permettant aux utilisateurs de reporter temporairement leur inscription — utile pour les déploiements progressifs.
Voir la page Stratégie d'accès MFA pour le détail des paramètres disponibles et leurs effets.
Ressources utiles
- Gestion des stratégies d'accèsRéférence
- Configurer la MFA sur les sessions WindowsGuide
- Configurer la MFA pour le VPNGuide
- Configurer la MFA pour les connexions SSOGuide
- Configurer la MFA sur les applications IISGuide
- Configurer la MFA pour les invites UACGuide
- Configurer la MFA pour RemoteAppGuide
- Configurer la MFA sur les sessions Remote Desktop GatewayGuide
Une fois la MFA activée, les utilisateurs peuvent s’inscrire facilement lors de leur prochaine connexion, qu’ils soient sur site ou à distance.
L’inscription à la MFA est guidée par des instructions claires à l’écran et des QR codes.
Les administrateurs peuvent faciliter l’intégration en :
Autorisant les utilisateurs à reporter temporairement leur inscription, pour plus de souplesse au déploiement.
Activant Demander de l'aide, afin que les utilisateurs puissent contacter directement le support IT en cas de problème.
Note
💡 Des guides détaillés sont disponibles pour chaque méthode d’authentification :
Une fois la MFA déployée, UserLock simplifie la gestion quotidienne pour les administrateurs et les équipes de support, directement depuis la console ou l’application Web — sans perturber les utilisateurs.
Tâches courantes :
Réinitialiser une clé MFA lorsqu’un utilisateur perd ou remplace son appareil.
Désactiver temporairement la MFA pour le dépannage ou un accès exceptionnel.
Suivre l’état d’inscription et les méthodes utilisées.
Gérer les demandes d’assistance envoyées via le bouton “Demander de l'aide”.
Auditer et analyser les évènements MFA dans les rapports pour la conformité.
Vous disposez désormais d’une compréhension complète du fonctionnement de la MFA dans UserLock, de sa configuration à son administration quotidienne.
Pour passer à l’étape suivante, consultez le guide Comment implémeter la MFA, qui présente des recommandations concrètes pour :
Planifier le déploiement et informer les utilisateurs
Choisir les méthodes d’authentification adaptées
Préparer l’inscription et l’onboarding
Déployer la MFA par étapes
Accompagner les utilisateurs et suivre l’adoption