Partage via


Fonctionnement : Réinitialisation de mot de passe en libre-service Microsoft Entra

La réinitialisation de mot de passe en libre-service (SPSPR) Microsoft Entra permet aux utilisateurs de changer ou de réinitialiser leur mot de passe, sans l’intervention d’un administrateur ou d’un agent du support technique. Si le compte d’un utilisateur est verrouillé ou si ce dernier oublie son mot de passe, il peut suivre des invites afin de se débloquer et de reprendre son travail. Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. Nous vous recommandons cette vidéo sur comment activer et configurer la SSPR dans Microsoft Entra ID.

Important

Cet article conceptuel explique à un administrateur le fonctionnement de la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Fonctionnement du processus de réinitialisation de mot de passe

Un utilisateur peut réinitialiser ou changer son mot de passe à l’aide du portail SSPR. Il doit d’abord inscrire les méthodes d’authentification souhaitées. Lorsqu’un utilisateur accède au portail SSPR, la plateforme Microsoft Entra prend en compte les facteurs suivants :

  • Comment la page doit être localisée ?
  • Le compte d’utilisateur est-il valide ?
  • À quelle organisation l’utilisateur appartient-il ?
  • Où le mot de passe de l’utilisateur est-il géré ?

Lorsqu’un utilisateur sélectionne le lien Impossible d’accéder à votre compte à partir d’une application ou d’une page, ou qu’il accède directement à l’adresse https://aka.ms/sspr, la langue utilisée dans le portail SSPR est basée sur les options suivantes :

  • Par défaut, les paramètres régionaux du navigateur sont utilisés pour afficher le portail SSPR dans la langue appropriée. L’expérience de réinitialisation de mot de passe est localisée dans les mêmes langues que celles prises en charge par Microsoft 365.
  • Si vous souhaitez créer un lien vers le portail SSPR dans une langue localisée spécifique, ajoutez ?mkt= à la fin de l’URL de réinitialisation de mot de passe avec les paramètres régionaux nécessaires.

Une fois le portail SSPR affiché dans la langue appropriée, l’utilisateur est invité à entrer un identifiant utilisateur et à réussir un captcha. Microsoft Entra ID vérifie ensuite que l’utilisateur peut utiliser la fonctionnalité SSPR en procédant aux vérifications suivantes :

  • Vérifie que la SSPR est activée pour l’utilisateur.
    • Si la SSPR n’est pas activée pour l’utilisateur, l’utilisateur est invité à contacter son administrateur pour réinitialiser son mot de passe.
  • Il vérifie que l’utilisateur a défini les méthodes d'authentification appropriées sur son compte, conformément à la stratégie de l’administrateur.
    • Si la stratégie nécessite une seule méthode, vérifiez que l’utilisateur dispose des données appropriées définies pour au moins une des méthodes d’authentification activées par la stratégie de l’administrateur.
      • Si les méthodes d’authentification ne sont pas configurées, l’utilisateur est invité à contacter l’administrateur pour réinitialiser son mot de passe.
    • Si la stratégie nécessite deux méthodes, vérifiez que l’utilisateur dispose des données appropriées définies pour au moins deux des méthodes d’authentification activées par la stratégie de l’administrateur.
      • Si les méthodes d’authentification ne sont pas configurées, l’utilisateur est invité à contacter l’administrateur pour réinitialiser son mot de passe.
    • Si un rôle d’administrateur Azure est affecté à l’utilisateur, la stratégie de mot de passe fort à deux verrous est appliquée. Pour plus d’informations, consultez Différences en matière de stratégie de réinitialisation par l’administrateur.
  • Cela vérifie si le mot de passe de l’utilisateur est géré localement, par exemple si le locataire Microsoft Entra utilise l’authentification fédérée directe ou la synchronisation du code de hachage de mot de passe :
    • Si la réécriture SSPR est configurée et si le mot de passe de l’utilisateur est géré localement, ce dernier est autorisé à s’authentifier et à réinitialiser son mot de passe.
    • Si la réécriture SSPR n’est pas déployée et si le mot de passe de l’utilisateur est géré localement, ce dernier est invité à contacter son administrateur pour qu’il réinitialise son mot de passe.

Si toutes les vérifications précédentes sont correctement effectuées, l’utilisateur est guidé tout au long du processus de réinitialisation ou de changement de son mot de passe.

Notes

La SSPR peut envoyer des notifications par e-mail aux utilisateurs dans le cadre du processus de réinitialisation de mot de passe. Ces e-mails sont envoyés à l’aide du service de relais SMTP, qui fonctionne en mode actif/actif dans plusieurs régions.

Les services de relais SMTP reçoivent et traitent le corps de l’e-mail, mais ne le stockent pas. Le corps de l’e-mail SSPR, qui peut éventuellement contenir des informations fournies par le client, n’est pas stocké dans les journaux du service de relais SMTP. Les journaux contiennent uniquement des métadonnées de protocole.

Pour bien démarrer avec SSPR, suivez le tutoriel suivant :

Obliger les utilisateurs à s’inscrire durant la connexion

Vous pouvez activer l’option qui permet d’obliger un utilisateur à s’inscrire à SSPR s’il utilise l’authentification moderne ou un navigateur web pour se connecter à des applications via Microsoft Entra ID. Ce workflow inclut les applications suivantes :

  • Microsoft 365
  • Centre d'administration Microsoft Entra
  • Volet d'accès
  • Applications fédérées
  • Applications personnalisées utilisant Microsoft Entra ID

Quand vous ne rendez pas l’inscription obligatoire, les utilisateurs ne sont pas sollicités au moment de la connexion. Toutefois, ils peuvent s’inscrire manuellement. Ils peuvent visiter https://aka.ms/ssprsetup ou sélectionner le lien Réinitialiser mon mot de passe sous l’onglet Profil dans le volet d’accès.

Capture d’écran de l’inscription de réinitialisation de mot de passe pour Microsoft Entra ID.

Remarque

Les utilisateurs peuvent ignorer le portail d’inscription SSPR en sélectionnant annuler ou en fermant la fenêtre. Toutefois, ils sont invités à s’inscrire chaque fois qu’ils se connectent jusqu’à ce qu’ils aient effectué leur inscription.

L’interruption de l’inscription à SSPR ne rompt pas la connexion de l’utilisateur, s’il est déjà connecté.

Reconfirmer les informations d’authentification

Si vous souhaitez vérifier que les méthodes d’authentification sont correctes quand elles sont nécessaires pour réinitialiser ou changer un mot de passe, vous pouvez demander aux utilisateurs de confirmer leurs informations inscrites après un certain temps. Cette option est disponible uniquement si vous activez l’option Obliger les utilisateurs à s’inscrire durant la connexion.

Les valeurs valides pour inviter un utilisateur à confirmer ses méthodes inscrites sont comprises entre 0 et 730 jours. L’affectation de la valeur 0 signifie que les utilisateurs ne sont jamais invités à confirmer leurs informations d’authentification. Lorsque vous utilisez l’expérience d’inscription combinée, les utilisateurs doivent confirmer leur identité avant de reconfirmer leurs informations.

Méthodes d’authentification

Quand SSPR est activé pour un utilisateur, celui-ci doit inscrire au moins une méthode d’authentification. Nous vous recommandons vivement de choisir au moins deux méthodes d’authentification pour que les utilisateurs disposent d’une plus grande flexibilité au cas où l’une des méthodes nécessaires ne serait pas accessible. Pour plus d'informations, consultez Quelles sont les méthodes d'authentification ?.

Les méthodes d’authentification suivantes sont disponibles pour SSPR :

  • Notification sur l’application mobile
  • Code de l’application mobile
  • E-mail
  • Téléphone mobile
  • Téléphone de bureau (réservé aux locataires disposant d’abonnements payants)
  • Questions de sécurité

Les utilisateurs peuvent uniquement réinitialiser leur mot de passe s’ils inscrivent une méthode d’authentification que l’administrateur a activée.

Avertissement

Les rôles Administrateur Azure affectés aux comptes sont nécessaires pour utiliser les méthodes définies dans la section Différences en matière de stratégie de réinitialisation par l’administrateur.

Capture d’écran de la stratégie des méthodes d’authentification pour Microsoft Entra ID.

Nombre de méthodes d’authentification requises

Vous pouvez configurer le nombre de méthodes d’authentification disponibles qu’un utilisateur doit fournir pour réinitialiser ou déverrouiller son mot de passe. Cette valeur peut être définie à 1 ou 2.

Les utilisateurs doivent inscrire plusieurs méthodes d’authentification pour pouvoir se connecter d’une autre manière, s’ils ne peuvent pas accéder à une méthode particulière.

Si un utilisateur n’inscrit pas le nombre minimal de méthodes nécessaires, il voit une page d’erreur s’afficher quand il tente d’utiliser la réinitialisation SSPR. Il doit demander à un administrateur de réinitialiser son mot de passe. Pour plus d’informations, consultez Changer les méthodes d’authentification.

Application mobile et réinitialisation de mot de passe en libre-service

Quand vous utilisez une application mobile en tant que méthode de réinitialisation de mot de passe, par exemple Microsoft Authenticator, les considérations suivantes s’appliquent si une organisation n’a pas migré vers la stratégie des méthodes d’authentification centralisée :

  • Lorsque les administrateurs demandent d’utiliser une méthode de réinitialisation de mot de passe, le code de vérification est la seule option disponible.
  • Quand les administrateurs imposent l’utilisation de deux méthodes de réinitialisation de mot de passe, les utilisateurs peuvent effectuer la réinitialisation à l’aide d’une notification OU à l’aide d’un code de vérification en plus des autres méthodes activées.
Nombre de méthodes requises pour la réinitialisation Une Deux
Fonctionnalités d’application mobile disponibles Code Code ou notification

Les utilisateurs peuvent inscrire leur application mobile sur https://aka.ms/mfasetup ou effectuer une inscription combinée des informations de sécurité sur https://aka.ms/setupsecurityinfo.

Important

Authenticator ne peut pas être la seule méthode d’authentification sélectionnée quand une seule méthode est imposée. De même, vous ne pouvez pas sélectionner Authenticator et une seule méthode supplémentaire, si deux méthodes sont obligatoires.

Durant la configuration de stratégies SSPR qui incluent l’application Authenticator en tant que méthode, au moins une méthode supplémentaire doit être sélectionnée quand une seule méthode est obligatoire, et au moins deux méthodes supplémentaires doivent être sélectionnées quand deux méthodes sont obligatoires.

Changer les méthodes d’authentification

Si vous démarrez avec une stratégie qui présente une seule méthode d’authentification requise pour la réinitialisation ou le déverrouillage et que vous optez ensuite pour deux méthodes, que se passe-t-il ?

Nombre de méthodes inscrites Nombre de méthodes requises Résultats
1 ou plus 1 Réinitialisation ou déverrouillage possible
1 2 Réinitialisation ou déverrouillage impossible
2 ou plus 2 Réinitialisation ou déverrouillage possible

Le changement des méthodes d’authentification disponibles peut également entraîner des problèmes pour les utilisateurs. Si vous changez les méthodes d’authentification disponibles, les utilisateurs qui ne disposent pas de la quantité minimale de données ne peuvent pas utiliser la réinitialisation SSPR.

Examinez l’exemple de scénario suivant :

  1. La stratégie d’origine est configurée avec deux méthodes d’authentification requises. Elle utilise uniquement le numéro de téléphone professionnel et les questions de sécurité.
  2. L’administrateur change la stratégie pour ne plus utiliser les questions de sécurité, mais permet l’utilisation d’un téléphone mobile et d’une autre adresse de messagerie.
  3. Désormais, les utilisateurs dont les champs de téléphone mobile ou d’adresse e-mail de secours ne sont pas renseignés ne peuvent pas réinitialiser leur mot de passe.

Notifications

Pour améliorer l’accès aux événements relatifs aux mots de passe, SSPR vous permet de configurer des notifications destinées aux utilisateurs et aux administrateurs d’identité.

Notifier les utilisateurs lors des réinitialisations de mot de passe ?

Si cette option a la valeur Oui, les utilisateurs qui réinitialisent leur mot de passe reçoivent une notification par e-mail les avertissant que leur mot de passe a été changé. L’e-mail est envoyé via le portail SSPR à leur adresse e-mail principale et leur adresse e-mail de secondaire stockées dans Microsoft Entra ID. Si aucune adresse e-mail principale ou secondaire n’est définie, SSPR tente de notification par e-mail au moyen du nom d’utilisateur principal (UPN) de l’utilisateur. Personne d’autre n’est informé de l’événement de réinitialisation.

Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ?

Si cette option a la valeur Oui, les administrateurs généraux reçoivent un e-mail à leur adresse e-mail principale stockée dans Microsoft Entra ID. Cet e-mail les informe qu’un autre administrateur a changé son mot de passe à l’aide de SSPR.

Remarque

Les notifications par e-mail du service SSPR sont envoyées à partir des adresses suivantes en fonction du cloud Azure que vous utilisez :

  • Public : msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure exploité par 21Vianet (Azure en Chine) : msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure pour US Government : msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Si vous constatez des problèmes de réception des notifications, vérifiez vos paramètres de courrier indésirable.

Si vous souhaitez que les administrateurs personnalisés reçoivent les e-mails de notification, utilisez les personnalisations SSPR et configurez un lien de support technique personnalisé ou un e-mail.

Intégration locale

Dans un environnement hybride, vous pouvez configurer la synchronisation cloud Microsoft Entra Connect pour réécrire les événements de changement de mot de passe de Microsoft Entra ID vers un annuaire local.

Capture d’écran de la réécriture du mot de passe activée pour Microsoft Entra ID dans une intégration locale.

Microsoft Entra ID vérifie votre connectivité hybride actuelle et fournit les messages dans le centre d’administration Microsoft Entra. Pour obtenir de l’aide sur la résolution des erreurs possibles, consultez Résoudre les problèmes liés à Microsoft Entra Connect.

Pour bien démarrer avec la réécriture SSPR, suivez le tutoriel suivant :

Réécriture du mot de passe dans votre répertoire local

Vous pouvez activer la réécriture du mot de passe en utilisant le Centre d’administration Microsoft Entra. Vous pouvez également désactiver temporairement la réécriture du mot de passe sans avoir à reconfigurer Microsoft Entra Connect.

  • Si l’option a la valeur Oui, la réécriture est activée. Les utilisateurs fédérés, ou ceux qui ont recours à l’authentification directe ou à la synchronisation du code de hachage de mot de passe peuvent réinitialiser leurs mots de passe.
  • Si l’option a la valeur Non, la réécriture est désactivée. Les utilisateurs fédérés, ou ceux qui ont recours à l’authentification directe ou à la synchronisation du code de hachage de mot de passe ne peuvent pas réinitialiser leurs mots de passe.

Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe

Par défaut, Microsoft Entra ID déverrouille les comptes quand il effectue une réinitialisation de mot de passe. Pour plus de flexibilité, vous pouvez choisir d’autoriser les utilisateurs à déverrouiller leurs comptes locaux sans avoir à réinitialiser leur mot de passe. Utilisez ce paramètre pour séparer ces deux opérations.

  • Si la valeur est Oui, les utilisateurs peuvent réinitialiser leur mot de passe et déverrouiller leur compte. Ils peuvent également déverrouiller leur compte sans devoir réinitialiser le mot de passe.
  • Si la valeur est Non, les utilisateurs peuvent uniquement effectuer une opération combinée qui comprend la réinitialisation de mot de passe et le déverrouillage de compte.

Filtres de mot de passe Active Directory locaux

SSPR effectue l’équivalent d’une réinitialisation de mot de passe lancée par l’administrateur dans Active Directory. Si vous utilisez un filtre de mot de passe tiers afin d’appliquer des règles de mot de passe personnalisées, et si vous avez besoin que ce filtre de mot de passe soit vérifié au cours de la réinitialisation de mot de passe en libre-service Microsoft Entra, vérifiez que la solution de filtre de mot de passe tiers est configurée pour le scénario de réinitialisation de mot de passe administrateur. La protection par mot de passe Microsoft Entra pour Active Directory Domain Services est prise en charge par défaut.

Réinitialisation de mot de passe pour les utilisateurs B2B

La réinitialisation et la modification du mot de passe sont totalement prises en charge sur toutes les configurations B2B. La réinitialisation du mot de passe utilisateur B2B est prise en charge dans les trois cas suivants :

  • Utilisateurs d’une organisation partenaire ayant un tenant (locataire) Microsoft Entra existant : si votre partenaire a un tenant Microsoft Entra, nous respectons les stratégies de réinitialisation de mot de passe activées sur ce tenant. Pour que la réinitialisation de mot de passe puisse fonctionner, l’organisation partenaire doit simplement vérifier que la SSPR de Microsoft Entra est activée. Il n’existe aucun autre frais pour les clients Microsoft 365.
  • Utilisateurs qui s’inscrivent via l’inscription en libre-service : si votre partenaire a utilisé la fonctionnalité d’inscription en libre-service pour accéder à un tenant, nous le laissons réinitialiser le mot de passe à l’aide de l’e-mail qu’il a utilisé pour s’inscrire.
  • Utilisateurs B2B : tous les utilisateurs B2B créés à l’aide des nouvelles fonctionnalités B2B de Microsoft Entra peuvent également réinitialiser leur mot de passe à l’aide de l’adresse e-mail indiquée lors de l’inscription.

Pour tester ce scénario, accédez à https://passwordreset.microsoftonline.com avec l’un de ces utilisateurs partenaires. Si l’utilisateur a défini une adresse e-mail alternative ou une adresse e-mail d’authentification, la réinitialisation de mot de passe fonctionne comme prévu.

Remarque

Les comptes Microsoft qui disposent d’un accès invité à votre tenant Microsoft Entra, par exemple les comptes Hotmail.com, Outlook.com ou ceux correspondant à d’autres adresses e-mail personnelles, ne peuvent pas utiliser la réinitialisation SSPR Microsoft Entra. Pour plus d’informations, consultez Je ne parviens pas à me connecter à mon compte Microsoft.

Étapes suivantes

Pour bien démarrer avec SSPR, suivez le tutoriel suivant :