Partage via

Activer l’authentification multifacteur par utilisateur Microsoft Entra pour sécuriser les événements de connexion

  • Article

Pour sécuriser les événements de connexion des utilisateurs dans Microsoft Entra ID, vous pouvez exiger une authentification multifacteur Microsoft Entra. La meilleure façon de protéger les utilisateurs avec une authentification multifacteur Microsoft Entra consiste à créer une stratégie d’accès conditionnel. L’accès conditionnel est une fonctionnalité Microsoft Entra ID P1 ou P2 qui vous permet d’appliquer des règles pour exiger l’authentification multifacteur selon les besoins dans certains scénarios. Pour commencer à utiliser l’accès conditionnel, consultez Tutoriel : Événements de connexion utilisateur sécurisée avec l’authentification multifacteur Microsoft Entra.

Pour les locataires Microsoft Entra ID Free sans accès conditionnel, vous pouvez utiliser les paramètres de sécurité par défaut pour protéger les utilisateurs. Les utilisateurs sont invités à utiliser l’authentification multifacteur le cas échéant, mais vous ne pouvez pas définir vos propres règles pour contrôler le comportement.

À la place, et si nécessaire, vous pouvez activer l’authentification multifacteur Microsoft Entra par utilisateur, sur chaque compte. Lorsque vous activez l’authentification multifacteur individuellement pour chaque utilisateur, ils l’effectuent chaque fois qu’ils se connectent. Vous pouvez ajouter des exceptions, comme lorsqu’ils se connectent à partir d’adresses IP approuvées ou quand la fonctionnalité Se souvenir de l’authentification multifacteur sur les appareils approuvés est activée.

Il n’est pas recommandé de changer les états utilisateur, sauf si vos licences Microsoft Entra ID n’incluent pas l’accès conditionnel et si vous ne souhaitez pas utiliser les paramètres de sécurité par défaut. Pour plus d’informations sur les différentes façons d’activer l’authentification multifacteur, consultez Fonctionnalités et licences pour l’authentification multifacteur Microsoft Entra.

Important

Cet article explique comment afficher et modifier l’état de l’authentification multifacteur Microsoft Entra par utilisateur. Si vous utilisez l’accès conditionnel ou les paramètres de sécurité par défaut, vous ne passez pas en revue ni n’activez les comptes d’utilisateur en suivant ces étapes.

L'activation de l’authentification multifacteur Microsoft Entra via une stratégie d'accès conditionnel ne modifie pas l’état de l’utilisateur. Ne soyez pas surpris si les utilisateurs sont signalés comme étant désactivés. L’accès conditionnel ne change pas l’état.

N’activez pas ou n’appliquez pas l’authentification multifacteur Microsoft Entra par utilisateur si vous utilisez des stratégies d’accès conditionnel.

États utilisateur de l’authentification multifacteur Microsoft Entra

Le statut d’un utilisateur indique si un Administrateur d’authentification a inscrit cet utilisateur à l’authentification multifacteur Microsoft Entra par utilisateur. Les comptes d’utilisateur dans l’authentification multifacteur Microsoft Entra ont les trois états distincts suivants :

State Description Authentification héritée affectée Applications du navigateur affectées Authentification moderne affectée
Désactivé L’état par défaut d'un utilisateur non inscrit à l’authentification multifacteur Microsoft Entra par utilisateur. No Non Non
Enabled L’utilisateur est inscrit à l’authentification multifacteur Microsoft Entra par utilisateur, mais peut toujours utiliser son mot de passe pour une authentification héritée. Si l’utilisateur ne possède pas encore de méthode d’authentification multifacteur enregistrée, il recevra une invitation à s’inscrire la prochaine fois qu’il se connecte à l’aide de l’authentification moderne (par exemple, via un navigateur web). Non. L’authentification héritée continue de fonctionner jusqu’à ce que le processus d’inscription soit terminé. Oui. Une fois la session expirée, l’inscription à l’authentification multifacteur Microsoft Entra est requise. Oui. Une fois le jeton d’accès expiré, l’inscription à l’authentification multifacteur Microsoft Entra est requise.
Appliquée L’utilisateur est inscrit à l’authentification multifacteur Microsoft Entra par utilisateur. Si l’utilisateur ne possède pas encore de méthode d’authentification enregistrée, il recevra une invitation à s’inscrire la prochaine fois qu’il se connecte à l’aide de l’authentification moderne (par exemple, via un navigateur web). Les utilisateurs qui s’inscrivent et dont le statut est Activé passent automatiquement au statut Appliqué. Oui. Les applications requièrent des mots de passe d'application. Oui. L’authentification multifacteur Microsoft Entra est requise lors de la connexion. Oui. L’authentification multifacteur Microsoft Entra est requise lors de la connexion.

Tous les utilisateurs commencent avec l’état Désactivé. Dès lors qu'ils sont inscrits à l’authentification multifacteur Microsoft Entra par utilisateur, leur état devient Activé. Lorsque les utilisateurs activés se connectent et suivent le processus d’inscription, leur état passe à Appliqué. Les administrateurs peuvent passer des utilisateurs d’un état à un autre, notamment d’Appliqué à Activé ou Désactivé.

Notes

Si l’authentification multifacteur par utilisateur est réactivée sur un utilisateur et que celui-ci ne se réinscrit pas, son état d’authentification multifacteur ne passe pas d’Activé à Appliqué dans l’interface utilisateur de la gestion de l’authentification multifacteur. L’administrateur doit passer l’utilisateur directement à l’état Appliqué.

Afficher l’état d’un utilisateur

L’expérience d’administration de l’authentification multifacteur par utilisateur dans le centre d’administration Microsoft Entra a été récemment améliorée. Pour afficher et gérer les états des utilisateurs, effectuez les étapes suivantes :

  1. Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  3. Sélectionnez un compte d’utilisateur, puis cliquez sur Paramètres d’authentification multifacteur de l’utilisateur.

  4. Si vous apportez des modifications, cliquez sur Enregistrer.

    Capture d’écran montrant un exemple de paramètres d’authentification multifacteur pour un utilisateur.

    Si vous essayez de trier plusieurs milliers d’utilisateurs, cela peut renvoyer le message Il n’y a aucun utilisateur à afficher. Essayez d’entrer des critères de recherche plus spécifiques pour affiner la recherche ou d’appliquer des filtres de Statut ou d’Affichage spécifiques.

    Capture d’écran montrant un exemple de comment filtrer un tri d’utilisateurs volumineux.

Pendant la transition vers la nouvelle expérience d’authentification multifacteur par utilisateur, vous pouvez également accéder à l’expérience d’authentification multifacteur par utilisateur héritée. Le format est le suivant :

https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}

Pour obtenir le userTenantID, copiez l’ID de locataire sur la page Vue d’ensemble dans le centre d’administration Microsoft Entra. Suivez ensuite ces étapes pour afficher le statut d’un utilisateur avec l’expérience héritée :

  1. Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez MFA par utilisateur. Capture d’écran de la sélection de l’authentification multifacteur par utilisateur.
  4. Une nouvelle page s’ouvre et affiche l’état de l’utilisateur, comme illustré dans l’exemple suivant. Capture d’écran montrant des exemples d’informations de statut d’utilisateur pour l’authentification multifacteur Microsoft Entra.

Modifier l’état d’un utilisateur

Pour modifier l’état d'un utilisateur pour l’authentification multifacteur Microsoft Entra par utilisateur, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  3. Sélectionnez un compte d’utilisateur, puis cliquez sur Activer l’authentification multifacteur. Capture d’écran montrant comment activer l’authentification multifacteur Microsoft Entra pour un utilisateur.

    Conseil

    Les utilisateurs activés basculent automatiquement vers l’état Appliqué lorsqu’ils s'inscrivent à l’authentification multifacteur Microsoft Entra. Ne modifiez pas manuellement l’état de l’utilisateur en Appliqué, sauf si l’utilisateur est déjà inscrit ou s’il est acceptable que l’utilisateur subisse une interruption de connexion aux protocoles d’authentification hérités.

  4. Confirmez votre sélection dans la fenêtre contextuelle qui s’ouvre.

Lorsque vous activez l’authentification multifacteur pour des utilisateurs, informez-les-en par e-mail. Informez les utilisateurs qu’une invite s’affiche et leur demande de s’inscrire la prochaine fois qu’ils se connectent. Si votre organisation utilise des applications qui ne s’exécutent pas dans un navigateur ou qui ne prennent pas en charge l’authentification moderne, vous pouvez créer des mots de passe d’application. Pour plus d’informations, consultez Appliquer l’authentification multifacteur Microsoft Entra avec des applications héritées en utilisant des mots de passe d’application.

Utiliser Microsoft Graph pour gérer la MFA par utilisateur

Vous pouvez gérer les paramètres de MFA par utilisateur à l’aide de la version bêta de l’API REST Microsoft Graph. Vous pouvez utiliser le type de ressource d’authentification pour exposer les états de méthode d’authentification pour les utilisateurs.

Pour gérer la MFA par utilisateur, utilisez la propriété perUserMfaState dans users/id/authentication/requirements. Pour plus d’informations, consultez le type de ressource strongAuthenticationRequirements.

Afficher l’état de la MFA par utilisateur

Pour récupérer l’état de l’authentification multifacteur par utilisateur pour un utilisateur :

GET /users/{id | userPrincipalName}/authentication/requirements

Par exemple :

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

Si l’utilisateur est activé pour la MFA par utilisateur, la réponse est la suivante :

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

Pour plus d’informations, consultez Obtenir les états de méthode d’authentification.

Modifier l’état de MFA pour un utilisateur

Pour modifier l’état d’authentification multifacteur pour un utilisateur, utilisez les strongAuthenticationRequirements de l’utilisateur. Par exemple :

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

Si l’opération réussit, la réponse est la suivante :

HTTP/1.1 204 No Content

Pour plus d’informations, consultez Mettre à jour les états de méthode d’authentification.

Étapes suivantes

Pour configurer les paramètres d’authentification multifacteur Microsoft Entra, consultez Configurer les paramètres d’authentification multifacteur Microsoft Entra.

Pour gérer les paramètres utilisateur pour l’authentification multifacteur Microsoft Entra, consultez Gérer les paramètres utilisateur avec l’authentification multifacteur Microsoft Entra.

Afin de comprendre la raison pour laquelle un utilisateur est invité ou non à effectuer une authentification multifacteur, consultez Rapports sur l’authentification multifacteur Microsoft Entra.