Foire aux questions concernant la réinitialisation du mot de passe en libre-service

Oui. Tant que la réinitialisation de mot de passe est activée et qu’ils disposent d’une licence, les utilisateurs peuvent accéder au portail d’inscription à la réinitialisation de mot de passe (https://aka.ms/ssprsetup) pour inscrire leurs informations d’authentification. Ils peuvent également s’inscrire par le biais du volet d’accès (https://myapps.microsoft.com). Pour s’inscrire par le biais du volet d’accès, ils doivent sélectionner l’image de leur profil, sélectionner Profil, puis sélectionner l’option Réinitialiser mon mot de passe.

Si vous activez l'inscription combinée, les utilisateurs peuvent s'inscrire en même temps à SSPR et à l’ authentification multifacteur Microsoft Entra.

Non. Les utilisateurs possédant des données d’authentification renseignées ne doivent pas s’enregistrer de nouveau.

Oui, vous pouvez le faire avec Microsoft Entra Connect, PowerShell, le centre d’administration Microsoft Entra ou le centre d’administration Microsoft 365. Pour plus d’informations, consultez Données utilisées par la réinitialisation de mot de passe en libre-service Microsoft Entra.

Non, ce n’est actuellement pas possible.

Oui. Quand les utilisateurs inscrivent des données à l’aide du portail d’inscription à la réinitialisation de mot de passe, les données sont enregistrées dans des champs d’authentification privés uniquement visibles par les administrateurs généraux et l’utilisateur.

Non. Si vous définissez suffisamment d’informations d’authentification en leur nom, les utilisateurs n’ont pas besoin de s’inscrire. La réinitialisation de mot de passe fonctionne tant que vous disposez de données correctement formatées stockées dans les champs appropriés de l’annuaire.

Les champs qui peuvent être définis par un administrateur global sont décrits dans l’article Spécifications des données SSPR.

Le portail d’inscription de réinitialisation de mot de passe affiche uniquement les options que vous avez activées pour vos utilisateurs. Ces options se trouvent sous la section Stratégie de réinitialisation de mot de passe utilisateur de l'onglet Configurer de votre annuaire. Par exemple, si vous n’activez pas les questions de sécurité, les utilisateurs ne peuvent pas s’inscrire pour cette option.

Un utilisateur est considéré comme inscrit pour la réinitialisation de mot de passe en libre-service quand il a enregistré au moins le Nombre de méthodes requises pour la réinitialisation d’un mot de passe, que vous avez défini dans le centre d’administration Microsoft Entra.

Oui, il existe des fonctionnalités de sécurité intégrées à la réinitialisation de mot de passe pour empêcher toute utilisation malveillante.

Les utilisateurs peuvent tenter de valider leurs informations (par exemple leur numéro de téléphone), mais s’ils ne parviennent pas à prouver leur identité cinq fois dans une période de 24 heures, ils sont bloqués pour une période de 24 heures.

Les utilisateurs peuvent essayer de valider un numéro de téléphone, une application d’authentification, envoyer un SMS ou valider des questions et réponses de sécurité seulement cinq fois dans un délai d’une heure avant d’être bloqués pour une période de 24 heures.

Les utilisateurs peuvent envoyer un e-mail 10 fois maximum dans un délai de 10 minutes avant que l’envoi ne soit verrouillé pendant 24 heures.

Les compteurs sont réinitialisés dès que l’utilisateur réinitialise son mot de passe.

Les emails, SMS et appels téléphoniques doivent arriver en moins d’une minute. Le cas normal est de 5 à 20 secondes. Si vous ne recevez pas la notification dans ce laps de temps :

• Vérifiez votre dossier de courrier indésirable.
• Vérifiez que le numéro ou que l’e-mail contacté est celui que vous attendez.
• Vérifiez que les données d’authentification dans l’annuaire sont mises en forme correctement, par exemple +1 4255551234 ou user@contoso.com.

L’interface utilisateur pour la réinitialisation du mot de passe, les SMS et les appels vocaux sont localisés dans les mêmes langues que celles prises en charge dans Microsoft 365.

Le portail de réinitialisation de mot de passe affiche le logo de votre organisation et vous permet également de configurer le lien « Contactez votre administrateur » pour qu’il pointe vers une URL ou une adresse e-mail personnalisée. Tout e-mail envoyé par la fonctionnalité de réinitialisation de mot de passe inclut le logo, les couleurs et le nom de votre organisation dans le corps de l'e-mail, et il est personnalisé à partir des paramètres de ce nom spécifique.

Essayez certaines des suggestions de notre article sur le déploiement de la réinitialisation de mot de passe.

Oui, cette page fonctionne sur les appareils mobiles.

Oui. Si la réécriture du mot de passe a été déployée par le biais de Microsoft Entra Connect, le compte d'utilisateur est automatiquement déverrouillé au moment où l'utilisateur réinitialise son mot de passe.

Si vous êtes client Microsoft Entra ID P1 ou P2, vous pouvez installer Microsoft Identity Manager sans coût supplémentaire et déployer la solution locale de réinitialisation de mot de passe.

Non, ce n’est actuellement pas possible.

Vous pouvez configurer jusqu'à 20 questions de sécurité personnalisées dans le centre d’administration Microsoft Entra.

Les questions de sécurité peuvent comporter entre 3 et 200 caractères.

Les réponses peuvent comprendre entre 3 et 40 caractères.

Oui, nous rejetons les réponses dupliquées aux questions de sécurité.

Non. Une fois qu’un utilisateur a inscrit une question particulière, il ne peut plus inscrire cette même question une deuxième fois.

Oui, vous pouvez définir une limite pour l’inscription et une autre pour la réinitialisation. De trois à cinq questions de sécurité peuvent être requises pour l’inscription, et de trois à cinq questions peuvent être requises pour la réinitialisation.

C’est le comportement normal. Microsoft applique par défaut une stratégie de réinitialisation de mot de passe fort à deux verrous pour tous les rôles d’administrateur Azure. Cela empêche les administrateurs d’utiliser les questions de sécurité. Vous trouverez plus d’informations sur cette stratégie dans l’article Stratégies de mot de passe et restrictions dans Microsoft Entra ID.

N questions de sécurité sont sélectionnées au hasard parmi le nombre total de questions qu’un utilisateur a inscrit, N correspondant à l’option Nombre de questions requises pour la réinitialisation définie. Par exemple, si un utilisateur a inscrit cinq questions de sécurité, mais que seules trois sont requises pour réinitialiser un mot de passe, trois des cinq questions sont sélectionnées au hasard et sont présentées lors de la réinitialisation. Pour éviter de poser toujours les mêmes questions, si l’utilisateur ne répond pas correctement aux questions, le processus de sélection recommence.

La durée de vie de session pour la réinitialisation du mot de passe est de 15 minutes. À compter du début de l’opération de réinitialisation du mot de passe, l’utilisateur dispose de 15 minutes pour le réinitialiser. Les codes secrets à usage unique sont valables pendant 5 minutes lors de la session de réinitialisation du mot de passe.

Oui, si vous utilisez un groupe pour activer la réinitialisation du mot de passe en libre-service, vous pouvez supprimer un utilisateur de ce groupe qui permet aux utilisateurs de réinitialiser leur mot de passe. Si l’utilisateur est administrateur général, il conserve la possibilité de réinitialiser son mot de passe, et cette fonctionnalité ne peut pas être désactivée.

Les utilisateurs peuvent changer leur mot de passe partout où ils voient leur image ou leur icône de profil, par exemple en haut à droite de leur portail Office 365 ou dans le Volet d’accès. Les utilisateurs peuvent changer leurs mots de passe à partir de la page Profil du Panneau d’accès. Les utilisateurs peuvent également être invités à changer automatiquement leur mot de passe dans la page de connexion Microsoft Entra si leur mot de passe est expiré. Pour finir, ils peuvent accéder directement au portail de changement de mot de passe Microsoft Entra s’ils souhaitent modifier leur mot de passe.

Oui, c’est possible aujourd’hui si vous utilisez les services de fédération Active Directory (AD FS). Si vous utilisez les services AD FS, suivez les instructions de l’article Sending password policy claims with AD FS (Envoi de revendications de stratégie de mot de passe avec les services AD FS). Si vous utilisez la synchronisation de hachage de mot de passe, ceci n’est pas possible actuellement. Comme nous ne synchronisons pas les stratégies de mot de passe à partir des annuaires locaux, nous pouvons pas publier de notifications d’expiration dans les expériences cloud. Dans les deux cas, il est également possible de notifier les utilisateurs dont les mots de passe sont sur le point d’expirer par le biais de PowerShell.

Pour les utilisateurs du cloud uniquement, les modifications de mot de passe ne peuvent pas être bloquées. Pour les utilisateurs locaux, vous pouvez activer l’option L’utilisateur ne peut pas changer de mot de passe. Les utilisateurs sélectionnés ne peuvent pas modifier leur mot de passe.

Les données doivent apparaître dans les rapports de gestion des mots de passe dans les cinq à dix minutes. Dans certains cas, il faut attendre une heure avant qu’elles n’apparaissent.

Pour filtrer les rapports de gestion des mots de passe, sélectionnez la petite loupe qui se trouve à l’extrême droite des étiquettes de colonnes, pratiquement en haut du rapport. Pour effectuer un filtrage plus précis, vous pouvez télécharger le rapport dans Excel et créer un tableau croisé dynamique.

Jusqu’à 75 000 événements de réinitialisation de mot de passe ou d’inscription à la réinitialisation de mot de passe sont stockés dans les rapports de gestion de mot de passe, pour une sauvegarde d’une durée de 30 jours. Nous travaillons à l’augmentation de ce nombre pour inclure davantage d’événements.

Les rapports de gestion des mots de passe affichent les opérations qui ont eu lieu durant les 30 derniers jours. Pour le moment, si vous devez archiver ces données, vous pouvez télécharger les rapports régulièrement et les enregistrer dans un emplacement distinct.

Oui. 75 000 lignes au maximum peuvent apparaître sur un rapport de gestion des mots de passe, qu’elles soient téléchargées ou affichées dans l’interface utilisateur.

Oui, vous pouvez récupérer ces informations à partir du rapport d’activité des méthodes d’authentification ou de l’API pour accéder à l’activité de réinitialisation du mot de passe. Vous pouvez également utiliser l’API des journaux d’audit et filtrer par événement SSPR.

Consultez l’article Fonctionnement de la réécriture du mot de passe pour obtenir une explication de ce qui se passe quand vous activez la réécriture du mot de passe et pour comprendre la manière dont les données circulent entre le système et votre environnement local.

La réécriture du mot de passe est instantanée. Il s’agit d’un pipeline synchrone qui fonctionne différemment de la synchronisation du hachage de mot de passe. L’écriture différée du mot de passe permet aux utilisateurs d’obtenir des commentaires en temps réel quant à la réussite de la modification ou de la réinitialisation de leur mot de passe. L’écriture différée réussie d’un mot de passe dure en moyenne moins de 500 ms.

Si votre ID local est désactivé, votre ID cloud et votre accès au cloud seront également désactivés lors du prochain intervalle de synchronisation par le biais de Microsoft Entra Connect. Par défaut, cette synchronisation a lieu toutes les 30 minutes.

Oui, la réinitialisation de mot de passe en libre-service s’appuie sur la stratégie de mot de passe Active Directory locale et la respecte. Cette stratégie inclut la stratégie de mot de passe de domaine Active Directory par défaut, ainsi que les stratégies de mot de passe affinées et définies qui ciblent un utilisateur.

La réécriture du mot de passe fonctionne pour les comptes d’utilisateur synchronisés entre Active Directory en local et Microsoft Entra ID, y compris les utilisateurs fédérés, synchronisés avec hachage de mot de passe et à authentification directe.

Oui. La réécriture du mot de passe applique l’âge du mot de passe, l’historique, la complexité, les filtres et toute autre restriction que vous pouvez mettre en place sur les mots de passe dans votre domaine local.

Oui, la réécriture du mot de passe est sécurisée. Pour en savoir plus sur les multiples couches de sécurité implémentées par le service de réécriture du mot de passe, consultez la section Sécurité de réécriture du mot de passe dans l’article Vue d’ensemble de la réécriture du mot de passe.

Étapes suivantes

• Comment réussir le lancement de la réinitialisation de mot de passe en libre-service ?
• Réinitialiser ou modifier votre mot de passe
• S’inscrire pour la réinitialisation du mot de passe en libre-service
• Vous avez une question relative à la licence ?
• Quelles données sont utilisées par la réinitialisation de mot de passe en libre-service et quelles données vous devez renseigner pour vos utilisateurs ?
• Quelles méthodes d'authentification sont accessibles aux utilisateurs ?
• Quelles sont les options de stratégie disponibles avec la réinitialisation de mot de passe en libre-service ?
• Quelle est l’écriture différée de mot de passe et pourquoi dois-je m’y intéresser ?
• Comment puis-je générer des rapports sur l’activité dans la réinitialisation de mot de passe en libre-service ?
• Quelles sont toutes les options disponibles dans la réinitialisation de mot de passe en libre-service et que signifient-elles ?
• Je pense qu’il y a une panne quelque part. Comment puis-je résoudre les problèmes de la réinitialisation de mot de passe en libre-service ?