Tutoriel : Événements de connexion utilisateur sécurisée avec Azure AD Multi-Factor Authentication

  • Article
  • 7 minutes de lecture

L’authentification multifacteur est un processus dans lequel un utilisateur est invité à utiliser des formes d’identification supplémentaires au cours d’un événement de connexion. Par exemple, il peut s’agir en ce qui le concerne d’entrer un code sur son téléphone portable ou de scanner son empreinte digitale. Quand vous exigez une deuxième forme d’authentification, la sécurité est renforcée parce que ce facteur supplémentaire n’est pas facile à obtenir ou dupliquer pour un attaquant.

Azure AD Multi-Factor Authentication et les stratégies d’accès conditionnel offrent la flexibilité nécessaire qui impose l’authentification multifacteur aux utilisateurs pour des événements de connexion spécifiques. Pour une vue d’ensemble de l’authentification multifacteur, nous vous recommandons de regarder cette vidéo : Guide pratique pour configurer et appliquer l’authentification multifacteur dans votre locataire.

Important

Ce tutoriel montre aux administrateurs comment activer Azure AD Multi-Factor Authentication.

Si votre équipe informatique n’a pas activé la possibilité d’utiliser Azure AD Multi-Factor Authentication, ou si vous rencontrez des problèmes lors de la connexion, contactez votre support technique pour obtenir de l’aide.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Créer une stratégie d’accès conditionnel permettant d’activer Azure AD Multi-Factor Authentication pour un groupe d’utilisateurs.
  • Configurer les conditions de stratégie qui demandent l’authentification multifacteur.
  • Tester la configuration et l’utilisation de l’authentification multifacteur en tant qu’utilisateur.

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

  • Un locataire Azure AD actif avec des licences Azure AD Premium P1 ou d’essai activées.

  • Un compte avec des privilèges Administrateur de l’accès conditionnel, Administrateur de la sécurité ou Administrateur général. Certains paramètres MFA peuvent également être gérés par un Administrateur de stratégie d’authentification. Pour en savoir plus, consultez Administrateur des stratégies d’authentification.

  • Un compte non administrateur avec un mot de passe que vous connaissez. Pour ce tutoriel, nous avons créé un compte de ce type, nommé testuser. Dans ce tutoriel, vous testez l’expérience de l’utilisateur final de configuration et d’utilisation d’Azure AD Multi-Factor Authentication.

  • Un groupe dont l’utilisateur non-administrateur est membre. Pour ce tutoriel, nous avons créé un groupe de ce type, nommé MFA-Test-Group. Dans ce tutoriel, vous activez Azure AD Multi-Factor Authentication pour ce groupe.

Créer une stratégie d’accès conditionnel

Il est recommandé de se servir des stratégies d’accès conditionnel pour activer et utiliser Microsoft Azure AD Multi-Factor Authentication. L’accès conditionnel vous permet de créer et de définir des stratégies qui réagissent aux événements de connexion en demandant des actions supplémentaires avant d’autoriser un utilisateur à accéder à une application ou à un service.

Diagramme de vue d’ensemble du fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion

Les stratégies d’accès conditionnel peuvent être appliquées à des utilisateurs, des groupes et des applications spécifiques. L’objectif est de protéger votre organisation tout en fournissant également les niveaux d’accès appropriés aux utilisateurs qui en ont besoin.

Dans ce tutoriel, nous allons créer une stratégie d’accès conditionnel de base pour demander l’authentification multifacteur lorsqu’un utilisateur se connecte au Portail Azure. Dans un prochain tutoriel de cette série, nous configurerons Azure AD Multi-Factor Authentication à l’aide d’une stratégie d’accès conditionnel basée sur le risque.

Tout d’abord, créez une stratégie d’accès conditionnel et affectez votre groupe test d’utilisateurs comme suit :

  1. Connectez-vous au Portail Azure à l’aide d’un compte disposant d’autorisations d’administrateur général.

  2. Recherchez et sélectionnez Azure Active Directory. Sélectionnez ensuite Sécurité dans le menu de gauche.

  3. Sélectionnez Accès conditionnel, + Nouvelle stratégie, puis Créer une stratégie.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez « Nouvelle stratégie », puis « Créer une stratégie ».

  4. Entrez le nom de la stratégie, par exemple Pilote MFA.

  5. Sous Affectations, sélectionnez la valeur actuelle sous Utilisateurs ou identités de charge de travail.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez la valeur actuelle sous « Utilisateurs ou identités de charge de travail ».

  6. Sous À quoi cette stratégie s’applique-t-elle ?, vérifiez que l’option Utilisateurs et groupes est sélectionnée.

  7. Sous Inclure, choisissez Sélectionner des utilisateurs et des groupes, puis sélectionnez des utilisateurs et des groupes.

    Capture d’écran de la page de création d’une stratégie, où vous sélectionnez des options pour spécifier les utilisateurs et les groupes.

    Comme aucun groupe ni utilisateur n’est encore affecté, la liste des utilisateurs et des groupes (affichée à l’étape suivante) s’ouvre automatiquement.

  8. Recherchez et sélectionnez votre groupe Azure AD, par exemple MFA-Test-Group, puis choisissez Sélectionner.

    Capture d’écran de la liste des utilisateurs et des groupes, où les résultats sont filtrés en fonction des lettres MFA, et où « MFA-Test-Group » est sélectionné.

Nous avons sélectionné le groupe auquel appliquer la stratégie. Dans la section suivante, nous allons configurer les conditions dans lesquelles appliquer la stratégie.

Configurer les conditions pour l’authentification multifacteur

À présent que la stratégie d’accès conditionnel est créée et un groupe test d’utilisateurs attribué, définissez les actions ou les applications cloud qui déclenchent la stratégie. Ces actions ou applications cloud sont les scénarios pour lesquels vous décidez d’exiger un traitement supplémentaire (par exemple, demander l’authentification multifacteur). Ainsi, vous pouvez décider que l’accès à une application financière ou l’utilisation d’outils de gestion nécessite une invite supplémentaire pour l’authentification.

Configurer les applications qui exigent l’authentification multifacteur

Pour ce tutoriel, configurez la stratégie d’accès conditionnel afin d’exiger l’authentification multifacteur lorsqu’un utilisateur se connecte au Portail Azure.

  1. Sélectionnez la valeur actuelle sous Applications cloud ou actions, puis sous Sélectionner ce à quoi cette stratégie s’applique, vérifiez que l’option Applications cloud est sélectionnée.

  2. Sous Inclure, choisissez Sélectionner les applications.

    Dans la mesure où aucune application n’est sélectionnée, la liste des applications (affichée à l’étape suivante) s’ouvre automatiquement.

    Conseil

    Vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à Toutes les applications Cloud ou Sélectionner des applications. Pour assurer la flexibilité, vous pouvez également exclure certaines applications de la stratégie.

  3. Parcourez la liste des événements de connexion disponibles qui peuvent être utilisés. Pour ce tutoriel, sélectionnez Gestion Microsoft Azure afin que la stratégie s’applique aux événements de connexion sur le Portail Azure. Choisissez ensuite Sélectionner.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez l’application, Microsoft Azure Management, à laquelle la nouvelle stratégie s’applique.

Configurer l’authentification multifacteur pour l’accès

Nous allons ensuite configurer des contrôles d’accès. Les contrôles d’accès vous permettent de définir les conditions que doit remplir un utilisateur pour obtenir le droit d’accès. Il peut être nécessaire d’utiliser une application cliente approuvée ou un appareil joint via Azure AD Hybride.

Dans ce tutoriel, vous allez configurer les contrôles d’accès pour demander l’authentification multifacteur pendant un événement de connexion au Portail Azure.

  1. Sous Contrôles d’accès, sélectionnez la valeur actuelle sous Accorder, puis Accorder l’accès.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez « Octroyer », puis « Octroyer l’accès ».

  2. Sélectionnez Exiger une authentification multifacteur, puis choisissez Sélectionner.

    Capture d’écran des options d’octroi de l’accès, où vous sélectionnez « Exiger l’authentification multifacteur ».

Activer la stratégie

Les stratégies d’accès conditionnel peuvent être définies sur Rapport seul si vous souhaitez voir comment la configuration affecte les utilisateurs, ou sur Désactivée si vous ne voulez pas utiliser la stratégie pour le moment. Étant donné qu’un groupe test d’utilisateurs est ciblé pour ce tutoriel, nous allons activer la stratégie, puis tester Azure AD Multi-Factor Authentication.

  1. Sous Activer une stratégie, sélectionnez Activé.

    Capture d’écran du contrôle situé près du bas de la page web, où vous spécifiez si la stratégie est activée.

  2. Pour appliquer la stratégie d’accès conditionnel, sélectionnez Créer.

Tester Azure AD Multi-Factor Authentication

Nous allons voir à présent votre stratégie d’accès conditionnel et Azure AD Multi-Factor Authentication en action.

Commencez par vous connecter à une ressource qui ne nécessite pas d’authentification multifacteur :

  1. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, et accédez à https://account.activedirectory.windowsazure.com.

    L’utilisation d’un mode privé pour votre navigateur empêche les informations d’identification existantes d’affecter cet événement de connexion.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Veillez à inclure @ et le nom de domaine pour le compte d’utilisateur.

    Si vous vous connectez pour la première fois avec ce compte, vous êtes invité à changer le mot de passe. Toutefois, vous n’êtes pas invité à configurer ou utiliser l’authentification multifacteur.

  3. Fermez la fenêtre du navigateur.

Vous avez configuré la stratégie d’accès conditionnel pour exiger une authentification supplémentaire pour le Portail Azure. En raison de cette configuration, vous êtes invité à utiliser Azure AD Multi-Factor Authentication ou à configurer une méthode le cas échéant. Pour tester cette nouvelle exigence, connectez-vous au Portail Azure :

  1. Ouvrez une nouvelle fenêtre de navigateur dans InPrivate ou en mode de navigation privée, et accédez à https://portal.azure.com.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Veillez à inclure @ et le nom de domaine pour le compte d’utilisateur.

    Il vous est demandé de vous inscrire et d’utiliser Azure AD Multi-Factor Authentication.

    Invite indiquant que des informations supplémentaires sont nécessaires. Il s’agit d’une invite permettant de configurer une méthode d’authentification multifacteur pour cet utilisateur.

  3. Sélectionnez Suivant pour démarrer le processus.

    Vous pouvez choisir de configurer un téléphone d’authentification, un téléphone de bureau ou une application mobile pour l’authentification. Le téléphone d’authentification prend en charge les SMS et appels téléphoniques, le téléphone de bureau prend en charge les appels aux numéros qui ont une extension et l’application mobile prend en charge l’utilisation d’une application mobile pour recevoir des notifications d’authentification ou pour générer des codes d’authentification.

    Invite indiquant « Vérification de sécurité supplémentaire ». Il s’agit d’une invite permettant de configurer une méthode d’authentification multifacteur pour cet utilisateur. Vous pouvez choisir une méthode basée sur un téléphone d’authentification, un téléphone de bureau ou une application mobile.

  4. Suivez les instructions à l’écran pour configurer la méthode d’authentification multifacteur que vous avez sélectionnée.

  5. Fermez la fenêtre du navigateur, puis reconnectez-vous à https://portal.azure.com pour tester la méthode d’authentification que vous avez configurée. Par exemple, si vous avez configuré une application mobile pour l’authentification, vous devriez recevoir une invite semblable à la suivante.

    Pour vous connecter, suivez les invites de votre navigateur, puis l’invite de l’appareil que vous avez inscrit dans le cadre de l’authentification multifacteur.

  6. Fermez la fenêtre du navigateur.

Nettoyer les ressources

Si vous ne souhaitez plus utiliser la stratégie d’accès conditionnel que vous avez configurée dans le cadre de ce tutoriel, supprimez la stratégie en procédant comme suit :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Sécurité dans le menu de gauche.

  3. Sélectionnez Accès conditionnel, puis la stratégie que vous avez créée, telle que Pilote MFA.

  4. Sélectionnez Supprimer, puis confirmez que vous souhaitez supprimer la stratégie.

    Pour supprimer la stratégie d’accès conditionnel que vous avez ouverte, sélectionnez Supprimer, sous le nom de la stratégie.

Étapes suivantes

Dans ce tutoriel, vous avez activé Azure AD Multi-Factor Authentication au moyen de stratégies d’accès conditionnel pour un groupe sélectionné d’utilisateurs. Vous avez appris à :

  • Créer une stratégie d’accès conditionnel permettant d’activer Azure AD Multi-Factor Authentication pour un groupe d’utilisateurs Azure AD.
  • Configurer les conditions de stratégie qui demandent l’authentification multifacteur.
  • Tester la configuration et l’utilisation de l’authentification multifacteur en tant qu’utilisateur.

Activer la réécriture du mot de passe pour la réinitialisation de mot de passe en libre-service (SSPR)