Partage via

Tutoriel : Sécuriser les événements de connexion des utilisateurs avec l'authentification multifacteur Microsoft Entra

  • Article

L'authentification multifacteur est un processus dans lequel un utilisateur est invité à fournir des formes d'identification supplémentaires lors d'un événement de connexion. Par exemple, il peut s’agir en ce qui le concerne d’entrer un code sur son téléphone portable ou de scanner son empreinte digitale. Quand vous exigez une deuxième forme d’authentification, la sécurité est renforcée parce que ce facteur supplémentaire n’est pas facile à obtenir ou dupliquer pour un attaquant.

L'authentification multifacteur Microsoft Entra et les politiques d'accès conditionnel vous offrent la possibilité d'exiger l'authentification MFA des utilisateurs pour des événements de connexion spécifiques.

Important

Ce didacticiel montre à un administrateur comment activer l'authentification multifacteur Microsoft Entra. Pour parcourir l’authentification multifacteur en tant qu’utilisateur, consultez Se connecter à votre compte professionnel ou scolaire à l’aide de votre méthode de vérification en deux étapes.

Si votre équipe informatique n'a pas activé la possibilité d'utiliser l'authentification multifacteur Microsoft Entra, ou si vous rencontrez des problèmes lors de la connexion, contactez votre service d'assistance pour obtenir une assistance supplémentaire.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Créez une stratégie d’accès conditionnel pour activer l’authentification multifacteur Microsoft Entra pour un groupe d’utilisateurs.
  • Configurer les conditions de stratégie qui demandent l’authentification multifacteur.
  • Testez la configuration et l’utilisation de l’authentification multifacteur en tant qu’utilisateur.

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

Créer une stratégie d’accès conditionnel

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

La méthode recommandée pour activer et utiliser l’authentification multifacteur Microsoft Entra consiste à utiliser des stratégies d’accès conditionnel. L’accès conditionnel vous permet de créer et de définir des stratégies qui réagissent aux événements de connexion en demandant des actions supplémentaires avant d’autoriser un utilisateur à accéder à une application ou à un service.

Diagramme de vue d’ensemble du fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion

Les stratégies d’accès conditionnel peuvent être appliquées à des utilisateurs, des groupes et des applications spécifiques. L’objectif est de protéger votre organisation tout en fournissant également les niveaux d’accès appropriés aux utilisateurs qui en ont besoin.

Dans ce tutoriel, nous allons créer une stratégie d’accès conditionnel de base pour demander l’authentification multifacteur lorsqu’un utilisateur se connecte. Dans un didacticiel ultérieur de cette série, nous configurons l’authentification multifacteur Microsoft Entra à l’aide d’une stratégie d’accès conditionnel basée sur les risques.

Tout d’abord, créez une stratégie d’accès conditionnel et affectez votre groupe test d’utilisateurs comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel, sélectionnez + Nouvelle stratégie, puis Créer une stratégie.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez « Nouvelle stratégie », puis « Créer une stratégie ».

  3. Entrez le nom de la stratégie, par exemple Pilote MFA.

  4. Sous Affectations, sélectionnez la valeur actuelle sous Utilisateurs ou identités de charge de travail.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez la valeur actuelle sous « Utilisateurs ou identités de charge de travail ».

  5. Sous À quoi cette stratégie s’applique-t-elle ?, vérifiez que l’option Utilisateurs et groupes est sélectionnée.

  6. Sous Inclure, choisissez Sélectionner des utilisateurs et des groupes, puis sélectionnez des utilisateurs et des groupes.

    Capture d’écran de la page de création d’une stratégie, où vous sélectionnez des options pour spécifier les utilisateurs et les groupes.

    Comme aucun groupe ni utilisateur n’est encore affecté, la liste des utilisateurs et des groupes (affichée à l’étape suivante) s’ouvre automatiquement.

  7. Recherchez et sélectionnez votre groupe Microsoft Entra, tel que MFA-Test-Group, puis choisissez Sélectionner.

    Capture d’écran de la liste des utilisateurs et des groupes, où les résultats sont filtrés en fonction des lettres MFA, et où « MFA-Test-Group » est sélectionné.

Nous avons sélectionné le groupe auquel appliquer la stratégie. Dans la section suivante, nous allons configurer les conditions dans lesquelles appliquer la stratégie.

Configurer les conditions de l'authentification multifacteur

À présent que la stratégie d’accès conditionnel est créée et un groupe test d’utilisateurs attribué, définissez les actions ou les applications cloud qui déclenchent la stratégie. Ces applications ou actions cloud correspondent aux scénarios qui, selon vous, nécessitent un traitement supplémentaire, par exemple une demande d'authentification multifacteur. Ainsi, vous pouvez décider que l’accès à une application financière ou l’utilisation d’outils de gestion nécessite une invite supplémentaire pour l’authentification.

Configurer les applications nécessitant une authentification multifacteur

Pour ce didacticiel, configurez la stratégie d'accès conditionnel pour exiger une authentification multifacteur lorsqu'un utilisateur se connecte.

  1. Sélectionnez la valeur actuelle sous Applications cloud ou actions, puis sous Sélectionner ce à quoi cette stratégie s’applique, vérifiez que l’option Applications cloud est sélectionnée.

  2. Sous Inclure, choisissez Sélectionner des ressources.

    Dans la mesure où aucune application n’est sélectionnée, la liste des applications (affichée à l’étape suivante) s’ouvre automatiquement.

    Conseil

    Vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à toutes les ressources (anciennement « Toutes les applications cloud ») ou sélectionner des ressources. Pour assurer la flexibilité, vous pouvez également exclure certaines applications de la stratégie.

  3. Parcourez la liste des événements de connexion disponibles qui peuvent être utilisés. Pour ce tutoriel, sélectionnez API Gestion des services Windows Azure afin que la politique s’applique aux événements de connexion. Choisissez ensuite Sélectionner.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez l’application, l’API Gestion des services Microsoft Azure, à laquelle la nouvelle stratégie s’applique.

Configurer l’authentification multifacteur pour l’accès

Nous allons ensuite configurer des contrôles d’accès. Les contrôles d’accès vous permettent de définir les conditions que doit remplir un utilisateur pour obtenir le droit d’accès. Ils peuvent être amenés à utiliser une application client approuvée ou un appareil connecté de manière hybride à Microsoft Entra ID.

Dans ce didacticiel, configurez les contrôles d'accès pour exiger une authentification multifacteur lors d'un événement de connexion.

  1. Sous Contrôles d’accès, sélectionnez la valeur actuelle sous Accorder, puis Accorder l’accès.

    Capture d’écran de la page Accès conditionnel, où vous sélectionnez « Octroyer », puis « Octroyer l’accès ».

  2. Sélectionnez Exiger une authentification multifacteur, puis choisissez Sélectionner.

    Capture d’écran des options d’octroi de l’accès, où vous sélectionnez « Exiger l’authentification multifacteur ».

Activer la stratégie

Les stratégies d’accès conditionnel peuvent être définies sur Rapport seul si vous souhaitez voir comment la configuration affecte les utilisateurs, ou sur Désactivée si vous ne voulez pas utiliser la stratégie pour le moment. Étant donné qu’un groupe test d’utilisateurs est ciblé pour ce didacticiel, activons la stratégie, puis testons l’authentification multifacteur Microsoft Entra.

  1. Sous Activer une stratégie, sélectionnez Activé.

    Capture d’écran du contrôle situé près du bas de la page web, où vous spécifiez si la stratégie est activée.

  2. Pour appliquer la stratégie d’accès conditionnel, sélectionnez Créer.

Testez l’authentification multifacteur Microsoft Entra

Voyons votre politique d'accès conditionnel et l'authentification multifacteur Microsoft Entra en action.

Commencez par vous connecter à une ressource qui ne nécessite pas d’authentification multifacteur :

  1. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, et accédez à https://account.activedirectory.windowsazure.com.

    L’utilisation d’un mode privé pour votre navigateur empêche les informations d’identification existantes d’affecter cet événement de connexion.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Veillez à inclure @ et le nom de domaine pour le compte d’utilisateur.

    Si vous vous connectez pour la première fois avec ce compte, vous êtes invité à changer le mot de passe. Cependant, aucune invite ne vous invite à configurer ou à utiliser l'authentification multifacteur.

  3. Fermez la fenêtre du navigateur.

Vous avez configuré la stratégie d’accès conditionnel pour exiger une authentification supplémentaire pour la connexion. En raison de cette configuration, vous êtes invité à utiliser l'authentification multifacteur Microsoft Entra ou à configurer une méthode si vous ne l'avez pas encore fait. Testez cette nouvelle exigence en vous connectant au Centre d’administration Microsoft Entra :

  1. Ouvrez une nouvelle fenêtre du navigateur en mode InPrivate ou incognito et connectez-vous au Centre d’administration Microsoft Entra.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Veillez à inclure @ et le nom de domaine pour le compte d’utilisateur.

    Vous devez vous inscrire et utiliser l’authentification multifacteur Microsoft Entra.

    Invite indiquant que des informations supplémentaires sont nécessaires. Il s’agit d’une invite permettant de configurer une méthode d’authentification multifacteur pour cet utilisateur.

  3. Sélectionnez Suivant pour démarrer le processus.

    Vous pouvez choisir de configurer un téléphone d’authentification, un téléphone de bureau ou une application mobile pour l’authentification. Le téléphone d’authentification prend en charge les SMS et appels téléphoniques, le téléphone de bureau prend en charge les appels aux numéros qui ont une extension et l’application mobile prend en charge l’utilisation d’une application mobile pour recevoir des notifications d’authentification ou pour générer des codes d’authentification.

    Invite indiquant « Vérification de sécurité supplémentaire ». Il s’agit d’une invite permettant de configurer une méthode d’authentification multifacteur pour cet utilisateur. Vous pouvez choisir une méthode basée sur un téléphone d’authentification, un téléphone de bureau ou une application mobile.

  4. Suivez les instructions à l'écran pour configurer la méthode d'authentification multifacteur que vous avez sélectionnée.

  5. Fermez la fenêtre du navigateur, puis reconnectez-vous Centre d’administration Microsoft Entra pour tester la méthode d’authentification que vous avez configurée. Par exemple, si vous avez configuré une application mobile pour l’authentification, vous devriez recevoir une invite semblable à la suivante.

    Pour vous connecter, suivez les invites de votre navigateur, puis celles de l'appareil que vous avez enregistré pour l'authentification multifacteur.

  6. Fermez la fenêtre du navigateur.

Nettoyer les ressources

Si vous ne souhaitez plus utiliser la stratégie d’accès conditionnel que vous avez configurée dans le cadre de ce tutoriel, supprimez la stratégie en procédant comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel, puis sélectionnez la stratégie que vous avez créée, telle que Pilote MFA.

  3. Sélectionnez Supprimer, puis confirmez que vous souhaitez supprimer la stratégie.

    Pour supprimer la stratégie d’accès conditionnel que vous avez ouverte, sélectionnez Supprimer, sous le nom de la stratégie.

Étapes suivantes

Dans ce didacticiel, vous avez activé l'authentification multifacteur Microsoft Entra à l'aide de stratégies d'accès conditionnel pour un groupe d'utilisateurs sélectionné. Vous avez appris à :

  • Créez une stratégie d'accès conditionnel pour activer l'authentification multifacteur Microsoft Entra pour un groupe d'utilisateurs Microsoft Entra.
  • Configurez les conditions de stratégie qui demandent une authentification multifacteur.
  • Testez la configuration et l’utilisation de l’authentification multifacteur en tant qu’utilisateur.

Activer la réécriture du mot de passe pour la réinitialisation de mot de passe en libre-service (SSPR)