Activer l’authentification multifacteur dans Azure Active Directory B2C
Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.
Azure Active Directory B2C (Azure AD B2C) s’intègre directement à l’authentification multifacteur Microsoft Entra, ce qui vous permet d’ajouter une deuxième couche de sécurité aux expériences d’inscription et de connexion dans vos applications. L’authentification multifacteur est activée sans que vous n’ayez à écrire la moindre ligne de code. Si vous avez déjà créé des flux d’utilisateur d’inscription et de connexion, vous pouvez toujours activer l’authentification multifacteur.
Cette fonctionnalité permet aux applications de gérer des scénarios tels que :
- Vous n’avez pas besoin de l’authentification multifacteur pour accéder à une application, mais en avez besoin pour une autre. Par exemple, le client peut se connecter à une application d’assurance automobile avec un compte local ou social, mais il doit confirmer le numéro de téléphone avant d’accéder à l’application d’assurance habitation inscrite dans le même annuaire.
- Vous n’avez pas besoin l'authentification multifacteur pour accéder à une application de manière générale, mais en avez besoin pour accéder à des portions sensibles de celle-ci. Par exemple, le client peut se connecter à une application bancaire avec un compte local ou social pour consulter le solde de son compte, mais il doit confirmer le numéro de téléphone avant d’effectuer un virement.
Prérequis
- Créez un flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire et de se connecter à votre application.
- Inscrire une application web.
Méthodes de vérification
Grâce à l’accès conditionnel, les utilisateurs peuvent être amenés à s’authentifier par l’intermédiaire de l’authentification multifacteur selon les choix de configuration que vous avez faits en tant qu’administrateur. Les méthodes dl’authentification multifacteur sont les suivantes :
- Adresse e-mail : lors de la connexion, un e-mail de vérification contenant un mot de passe à usage unique est envoyé à l’utilisateur. L’utilisateur fournit le mot de passe à usage unique qui a été envoyé dans l’e-mail.
- Appel ou SMS : lors de la première inscription ou connexion, l’utilisateur est invité à fournir un numéro de téléphone et à le vérifier. Au cours de ses prochaines connexions, l’utilisateur sera invité à sélectionner l’option Recevoir un code ou Recevoir un appel pour l’authentification multifacteur. Selon le choix de l’utilisateur, il reçoit un SMS ou un appel téléphonique sur le numéro de téléphone vérifié afin de s’identifier. L’utilisateur fournit le mot de passe à usage unique envoyé par SMS ou approuve l’appel téléphonique.
- Appel téléphonique uniquement : fonctionne de la même façon que l’option SMS ou appel téléphonique, mais l’utilisateur reçoit seulement un appel téléphonique.
- SMS uniquement : fonctionne de la même façon que l’option SMS ou appel téléphonique, mais l’utilisateur reçoit seulement un SMS.
- Application d’authentification - TOTP : l’utilisateur doit installer une application d’authentification qui prend en charge la vérification du mot de passe à usage unique et durée définie (TOTP), telle que l’application Microsoft Authenticator, sur un appareil dont il est propriétaire. Lors de la première inscription ou connexion, l’utilisateur scanne un code QR ou entre un code manuellement à l’aide de l’application d’authentification. Lors des connexions suivantes, l’utilisateur tape le mot de passe à usage unique et durée définie qui s’affiche sur l’application qui sert d’authentificateur. Consultez Comment configurer l’application Microsoft Authenticator.
Important
L’option Application d’authentification - TOTP offre une sécurité renforcée par rapport aux options SMS/Téléphone. Recevoir un e-mail est l’option la moins sécurisée. L’authentification multifacteur basée sur SMS/téléphone entraîne des frais distincts du modèle de tarification normal Azure AD B2C MAU.
Configurer l’authentification multifacteur
Connectez-vous au portail Azure.
Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
Dans le menu de gauche, sélectionnez Azure AD B2C. Ou sélectionnez Tous les services, puis recherchez et sélectionnez Azure AD B2C.
Sélectionnez Flux d’utilisateurs.
Sélectionnez le flux d’utilisateurs pour lequel vous souhaitez activer l’authentification multifacteur. Par exemple, B2C_1_signinsignup.
Sélectionner Propriétés.
Dans la section Authentification multifacteur, sélectionnez le type de méthode souhaité. Puis, sous Mise en application de l’authentification multifacteur, sélectionnez une option :
Désactivé : L’authentification multifacteur n’est jamais appliquée pendant la connexion, et les utilisateurs ne sont pas invités à s’inscrire à l’authentification multifacteur dans le cadre de l’inscription ou de la connexion.
Toujours activé – MFA est toujours requise, quelle que soit votre configuration de l’accès conditionnel. Lors de l’inscription, les utilisateurs sont invités à s’inscrire dans MFA. Lors de la connexion, si les utilisateurs ne sont pas déjà inscrits à l’authentification multifacteur, ils sont invités à s’y inscrire.
Conditionnel – Lors de l’inscription et de la connexion, les utilisateurs sont invités à s’inscrire à l’authentification MFA (à la fois les nouveaux utilisateurs et les utilisateurs existants qui ne sont pas inscrits à l’authentification MFA). Lors de la connexion, l’authentification MFA est appliquée uniquement quand une évaluation de la stratégie d’accès conditionnel active l’exige :
- Si le résultat est un défi d’authentification MFA sans risque, l’authentification MFA est appliquée. Si l’utilisateur n’est pas déjà inscrit à l’authentification multifacteur, il est invité à s’y inscrire.
- Si le résultat est un défi d’authentification MFA en raison d’un risque et que l’utilisateur n’est pas inscrit dans MFA, la connexion est bloquée.
Notes
- Avec la disponibilité générale de l’accès conditionnel dans Azure AD B2C, les utilisateurs sont désormais invités à s’inscrire à une méthode d’authentification multifacteur lors de l’inscription. Les flux d’utilisateur d’inscription que vous avez créés avant la mise à disposition générale ne reflètent pas automatiquement ce nouveau comportement, mais vous pouvez inclure le comportement en créant des flux d’utilisateurs.
- Si vous sélectionnez Conditionnel, vous devez également ajouter l’accès conditionnel à des flux d’utilisateurs et spécifier les applications auxquelles la stratégie doit s’appliquer.
- L’authentification multifacteur est désactivée par défaut pour les flux d’utilisateurs d’inscription. Vous pouvez activer la MFA dans les flux d’utilisateurs avec l’inscription par téléphone, mais, comme un numéro de téléphone est utilisé comme identificateur principal, l’envoi par e-mail d’un code secret à usage unique est la seule option disponible pour le deuxième facteur d’authentification.
Sélectionnez Enregistrer. La MFA est maintenant activée pour ce flux d’utilisateurs.
Vous pouvez utiliser Exécuter maintenant sur le flux d’utilisateur à des fins de vérification. Vérifiez le scénario suivant :
Un compte client est créé dans votre locataire avant l’étape de configuration de l’authentification multifacteur. Lors de cette étape, le client est invité à fournir un numéro de téléphone et à le confirmer. Si la vérification aboutit, le numéro de téléphone est associé au compte en vue d’une utilisation ultérieure. Même si le client annule ou abandonne l’opération, il peut être invité à confirmer à nouveau son numéro de téléphone lors de sa prochaine connexion si l’authentification multifacteur est activée.
Pour activer l’authentification multifacteur, récupérez les packs de démarrage de stratégie personnalisés à partir de GitHub comme suit :
- Téléchargez le fichier .zip ou clonez le référentiel à partir de
https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
, puis mettez à jour les fichiers XML dans le pack de démarrage SocialAndLocalAccountsWithMFA avec le nom de votre locataire Azure AD B2C. SocialAndLocalAccountsWithMFA permet d’activer les options d’authentification sociale, locale et multifacteur, à l’exception de l’option Application Authenticator - TOTP. - Pour prendre en charge l’option d’authentification multifacteur Application d’authentification - TOTP, téléchargez les fichiers de stratégie personnalisés à partir de
https://github.com/azure-ad-b2c/samples/tree/master/policies/totp
, puis mettez à jour les fichiers XML avec le nom de votre locataire Azure AD B2C. Assurez-vous d’inclureTrustFrameworkExtensions.xml
,TrustFrameworkLocalization.xml
, et les fichiersTrustFrameworkBase.xml
XML issus du pack de démarrage SocialAndLocalAccounts. - Mettez à jour votre [mise en page] vers la version
2.1.14
. Pour plus d’informations, consultez Sélectionner une mise en page.
Inscrire un utilisateur dans TOTP avec une application d’authentification (pour les utilisateurs finaux)
Lorsqu’une application Azure AD B2C active l’authentification MFA à l’aide de l’option TOTP, les utilisateurs finaux doivent utiliser une application d’authentification pour générer des codes TOTP. Les utilisateurs peuvent utiliser l’application Microsoft Authenticator ou tout autre application d’authentification prenant en charge la vérification de TOTP. Un administrateur système Azure AD B2C doit informer les utilisateurs finaux qu’ils doivent configurer l’application Microsoft Authenticator de la manière suivante :
- Téléchargez et installez l’application Microsoft Authenticator sur votre appareil mobile Android ou iOS.
- Ouvrez l’application qui vous demande d’utiliser un mot de passe à usage unique et durée définie pour l’authentification multifacteur (par exemple, Contoso webapp), puis connectez-vous ou inscrivez-vous en entrant les informations requises.
- Si vous êtes invité à inscrire votre compte en scannant un code QR à l’aide d’une application d’authentification, ouvrez l’application Microsoft Authenticator sur votre téléphone, et dans le coin supérieur droit, sélectionnez l’icône de menu représentant 3 points (sur Android) ou l’icône + (sur iOS)
- Sélectionner + Ajouter un compte.
- Sélectionnez Autre compte (Google, Facebook, etc.), puis scannez le code QR affiché dans l’application (par exemple, l’application web Contoso) pour inscrire votre compte. Si vous ne parvenez pas à scanner le code QR, vous pouvez ajouter le compte manuellement :
- Dans l’application Microsoft Authenticator sur votre téléphone, sélectionnez OU ENTREZ LE CODE MANUELLEMENT.
- Dans l’application (par exemple, l’application web Contoso), sélectionnez Vous rencontrez encore des problèmes ?. Cela permet d’afficher le Nom du compte et la Clé secrète.
- Entrez le nom du compte et le secret dans votre application Microsoft Authenticator, puis sélectionnez TERMINER.
- Dans l’application (par exemple, l’application web Contoso), sélectionnez Continuer.
- Entrez le code qui apparaît dans votre application Microsoft Authenticator dans le champ Entrez votre code.
- Sélectionnez Vérifier.
- Lors de la prochaine connexion à l’application, tapez le code qui apparaît dans l’application Microsoft Authenticator.
En savoir plus sur les jetons OATH logiciels
Supprimer l’inscription de l’authentificateur TOTP d’un utilisateur (pour les administrateurs système)
Dans Azure AD B2C, vous pouvez supprimer l’inscription de l’application d’authentification TOTP d’un utilisateur. L’utilisateur devra réinscrire son compte s’il souhaite réutiliser l’authentification TOTP par la suite. Pour supprimer l’inscription TOTP d’un utilisateur, vous pouvez utiliser le portail Azure ou l’API Microsoft Graph.
Notes
- La suppression de l’inscription de l’application d’authentification TOTP d’un utilisateur sur Azure AD B2C ne supprime pas le compte de l’utilisateur dans l’application d’authentification TOTP. L’administrateur système doit demander à l’utilisateur de supprimer manuellement son compte de l’application d’authentification TOTP avant d’essayer de l’inscrire à nouveau.
- Si l’utilisateur supprime accidentellement son compte de l’application d’authentification TOTP, il doit avertir l’administrateur système ou le propriétaire de l’application qui peut supprimer l’inscription de l’utilisateur sur l’authentificateur TOTP depuis Azure AD B2C afin que l’utilisateur puisse se réinscrire.
Supprimer l’inscription de l’application d’authentification TOTP à l’aide du portail Azure
- Connectez-vous au portail Azure.
- Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Annuaires + abonnements.
- Dans le menu de gauche, sélectionnez Utilisateurs.
- Recherchez et sélectionnez l’utilisateur pour lequel vous souhaitez supprimer l’inscription de l’application d’authentification TOTP.
- Dans le menu de gauche, sélectionnez Méthodes d’authentification.
- Sous Méthodes d’authentification utilisables, recherchez Jeton OATH logiciel, puis sélectionnez le menu suivi de points de suspension. Si vous ne voyez pas cette interface, sélectionnez l’option permettant de « Basculer vers la nouvelle expérience de méthodes d’authentification des utilisateurs ! Cliquez ici pour l’utiliser maintenant » pour basculer vers la nouvelle expérience de méthodes d’authentification.
- Sélectionnez Supprimer, puis cliquez sur Oui pour confirmer.
Supprimer l’inscription de l’application d’authentification TOTP à l’aide de l’API Microsoft Graph
Découvrez comment Supprimer la méthode d’authentification par jeton OATH logiciel d’un utilisateur à l’aide de l’API Microsoft Graph.
Étapes suivantes
- En savoir plus sur le Contrôle d’affichage TOTP et le Profil technique d’authentification multifacteur Microsoft Entra ID