Authentification multifacteur à partir de locataires externes
S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)
L’authentification multifacteur (MFA) ajoute une couche de sécurité à vos applications en demandant aux utilisateurs de fournir une deuxième méthode pour vérifier leur identité lors de l’inscription ou de la connexion. Les locataires externes prennent en charge deux méthodes d’authentification comme deuxième facteur :
- Code secret à usage unique par e-mail
- Authentification par SMS, disponible en tant que module complémentaire (voir les détails).
L’activation de l’authentification multifacteur renforce la sécurité de votre organisation en ajoutant une vérification supplémentaire, compliquant ainsi l’accès pour les utilisateurs non autorisés.
Création d’une stratégie d’authentification multifacteur
En utilisant Microsoft Entra Conditional Access, créez une stratégie d’accès conditionnel dans votre locataire externe qui invite les utilisateurs à effectuer une authentification MFA quand ils s’inscrivent ou se connectent à votre application. Vous créez cette stratégie dans le centre d’administration Microsoft Entra sous Accès conditionnel dans la section Protection. Vous pouvez déterminer les utilisateurs et les groupes auxquels la stratégie s’applique, y compris l’ensemble des utilisateurs, tout en excluant les comptes d’accès d’urgence ou de secours.
Dans la stratégie, vous définissez les applications qui nécessitent l’authentification multifacteur. Vous pouvez appliquer la stratégie à toutes les applications cloud ou sélectionner des applications spécifiques, tout en excluant les applications qui ne nécessitent pas d’authentification multifacteur. Ensuite, vous configurez la stratégie pour n’accorder l’accès qu’aux utilisateurs qui satisfont aux exigences de l’authentification multifacteur.
Pour plus d’informations, consultez comment créer une stratégie d’accès conditionnel dans un locataire externe.
Activer les méthodes MFA
Lorsque vous choisissez des options de fournisseur d’identité pour vos flux d’utilisateurs, vous configurez les méthodes d’authentification de premier facteur pour l’enregistrement et la connexion. Les méthodes de vérification du second facteur pour l’authentification multifacteur se configurent dans une section dédiée du centre d’administration Microsoft Entra, sous Méthodes d’authentification dans la section Protection.
Selon l’option que vous choisissez comme premier facteur, différentes méthodes de vérification de second facteur sont disponibles pour l’authentification multifacteur (MFA).
- E-mail avec des fournisseurs d’identité sociale et de mot de passe : vous pouvez activer l’authentification par mot de passe à usage unique par e-mail ou SMS, ou les deux, en tant que méthodes de vérification du second facteur pour l’authentification multifacteur, pour l’une de ces méthodes de premier facteur.
- Mot de passe à usage unique par e-mail : si l’authentification par mot de passe à usage unique par e-mail est sélectionnée comme méthode de premier facteur, elle ne peut pas servir pour la vérification de second facteur. Par conséquent, seule la vérification par SMS peut être activée pour l’authentification multifacteur.
Pour plus d’informations, découvrez comment activer les méthodes MFA dans un locataire externe.
Code secret à usage unique d’e-mail
L’authentification par mot de passe à usage unique par e-mail est disponible dans un locataire externe en tant que méthode de vérification de premier et deuxième facteur. Pour autoriser l’utilisation de mots de passe à usage unique par e-mail pour l’authentification multifacteur, votre méthode d’authentification de compte local doit être définie sur Mot de passe à usage unique par e-mail. En sélectionnant Mot de passe à usage unique par e-mail, les clients qui choisissent cette méthode comme premier facteur ne peuvent pas l’utiliser pour la vérification du second facteur.
Lorsque l’authentification multifacteur est configurée avec un mot de passe à usage unique par e-mail, l’utilisateur se connecte via sa méthode principale et est notifié qu’un code sera envoyé à son adresse e-mail. Après avoir demandé l’envoi du code, l’utilisateur récupère le code secret dans sa boîte de réception et le saisit dans la fenêtre de connexion. L’utilisateur doit effectuer ce processus de vérification dans les 10 minutes.
Authentification par SMS
L’authentification par SMS est disponible à un coût supplémentaire pour la vérification du second facteur dans les locataires externes. Actuellement, l’authentification par SMS n’est pas disponible pour l’authentification en premier facteur ou la réinitialisation de mot de passe en libre-service dans les clients externes.
Lorsque l’authentification multifacteur par SMS est activée, les utilisateurs se connectent avec leur méthode principale et sont invités à vérifier leur identité avec un code envoyé par message texte. Ils entrent leur numéro de téléphone et reçoivent un SMS avec le code de vérification.
External ID atténue les inscriptions et les connexions frauduleuses via SMS en appliquant les mesures suivantes :
- Les limitations en matière de téléphonie permettent d’éviter les pannes et les ralentissements. Consultez Restrictions et limites du service.
- Le CAPTCHA pour l’authentification multifacteur par SMS aide à prévenir les attaques automatisées en distinguant les utilisateurs humains des robots automatisés. En cas de détection d’un utilisateur à risque, nous empêchons la connexion ou exigeons qu’il complète un CAPTCHA avant de lui envoyer un code de vérification par SMS.
Niveaux tarifaires de l’authentification multifacteur par SMS par pays/région
Le tableau suivant fournit des détails sur les différents niveaux tarifaires des services d’authentification multifacteur par SMS dans différents pays ou régions. Si vous souhaitez obtenir plus d’informations sur les prix, consultez Tarification ID externe Microsoft Entra.
SMS est une fonctionnalité d’extension et nécessite un abonnement lié. Si votre abonnement expire ou est annulé, les utilisateurs finaux ne pourront plus s’authentifier à l’aide de SMS, ce qui peut les empêcher de se connecter en fonction de votre stratégie MFA.
Niveau | Pays/régions |
---|---|
Authentification par téléphone à faible coût | Australie, Brésil, Brunéi Darussalam, Canada, Chili, Chine, Colombie, Chypre, Macédoine du Nord, Pologne, Portugal, Corée du Sud, Thaïlande, Turquie, États-Unis |
Authentification par téléphone à coût moyennement faible | Groenland, Albanie, Samoa américaines, Autriche, Bahamas, Bahreïn, Bosnie-Herzégovine, Botswana, Costa Rica, République tchèque, Danemark, Estonie, Îles Féroé, Finlande, France, Grèce, Hong Kong, Hongrie, Irlande, Islande, Italie, Japon, Lettonie, Lituanie, Luxembourg, Macao, Malte, Mexique, Micronésie, Moldavie, Namibie, Nicaragua, Norvège, Nouvelle-Zélande, Roumanie, São Tomé et Príncipe, République des Seychelles, Singapour, Slovaquie, Îles Salomon, Espagne, Suède, Suisse, Taïwan, Royaume-Uni, Îles Vierges américaines, Uruguay |
Authentification par téléphone à coût moyennement élevé | Andorre, Angola, Anguilla, Antarctique, Antigua-et-Barbuda, Argentine, Arménie, Aruba, Ascension, Barbade, Belgique, Bénin, Bolivie, Îles Vierges britanniques, Bulgarie, Burkina Faso, Cameroun, Îles Caïmans, République centrafricaine, Îles Cook, Croatie, Diego Garcia, Djibouti, République dominicaine, République dominicaine, République dominicaine, Timor oriental, Équateur, El Salvador, Érythrée, Îles Falkland, Fidji, Guyane française, Polynésie française, Gambie, Géorgie, Allemagne, Gibraltar, Grenade, Guadeloupe, Guam, Guinée, Guyane, Honduras, Inde, Côte d'Ivoire, Kenya, Kiribati, Laos, Libéria, Malaisie, Îles Marshall, Martinique, Maurice, Monaco, Monténégro, Montserrat, Pays-Bas, Antilles néerlandaises, Nouvelle-Calédonie, Niue, Oman, Palau, Panama, Paraguay, Pérou, Porto Rico, Réunion, Rwanda, Sainte-Hélène, Saint-Kitts-et-Nevis, Sainte-Lucie, Saint-Pierre-et-Miquelon, Saint-Vincent-et-les-Grenadines, Saipan, Samoa, Saint-Marin, Arabie saoudite, Saint-Martin, Slovénie, Afrique du Sud, Soudan du Sud, Suriname, Swaziland (le nouveau nom est Royaume d'Eswatini), Tokelau, Tonga, Turks & Caicos, Tuvalu, Émirats arabes unis, Vanuatu, Venezuela, Viêt Nam, Wallis-et-Futuna |
Authentification par téléphone à coût élevé | Liechtenstein, Bermudes, Cambodge, Cap-Vert, République démocratique du Congo, Dominique, Égypte, Guinée équatoriale, Ghana, Guatemala, Guinée-Bissau, Israël, Jamaïque, Kosovo, Lesotho, Maldives, Mali, Maroc, Mauritanie, Mozambique, Papouasie-Nouvelle-Guinée, Philippines, Qatar, Sierra Leone, Trinité-et-Tobago, Ukraine, Zimbabwe, Afghanistan, Algérie, Azerbaïdjan, Bangladesh, Biélorussie, Belize, Bhoutan, Burundi, Comores, Congo, Éthiopie, République gabonaise, Haïti, Indonésie, Irak, Jordanie, Koweït, Kirghizstan, Liban, Libye, Madagascar, Malawi, Mongolie, Myanmar, Nauru, Népal, Niger, Tchad, Nigeria, Pakistan, Autorité nationale palestinienne, Russie, Sénégal, Serbie, Somalie, Sri Lanka, Soudan, Tadjikistan, Tanzanie, République togolaise, Tunisie, Turkménistan, Ouganda, Ouzbékistan, Yémen, Zambie |
Étapes suivantes
Ajouter l’authentification multifacteur (MFA) à une application