Fonctionnement de la force d’authentification de l’accès conditionnel pour les utilisateurs externes
La stratégie des méthodes d’authentification est particulièrement utile pour restreindre l’accès externe aux applications sensibles de votre organisation, car vous pouvez appliquer des méthodes d’authentification spécifiques, telles que des méthodes résistantes au hameçonnage, pour les utilisateurs externes.
Lorsque vous appliquez une stratégie Accès conditionnel de force d’authentification aux utilisateurs Microsoft Entra externes, la stratégie fonctionne avec les paramètres d’approbation de l’authentification multifacteur dans vos paramètres d’accès inter-locataires pour déterminer où et comment l’utilisateur externe doit effectuer l’authentification multifacteur. Un utilisateur Microsoft Entra s’authentifie dans son locataire Microsoft Entra d’origine. Ensuite, lorsqu’il accède à votre ressource, Microsoft Entra ID applique la stratégie et vérifie si vous avez activé l’approbation multifacteur. Notez que l’activation de l’approbation MFA est facultative pour la collaboration B2B, mais qu’elle est requise pour la connexion directe B2B.
Dans les scénarios d’utilisateurs externes, les méthodes d’authentification qui peuvent satisfaire la force d’authentification varient, selon que l’utilisateur effectue l’authentification multifacteur dans son locataire d’origine ou dans le locataire de ressources. Le tableau suivant indique les méthodes autorisées dans chaque locataire. Si un locataire de ressources a choisi d’approuver des revendications provenant d’organisations Microsoft Entra externes, seules les revendications répertoriées dans la colonne « Locataire d’origine » ci-dessous sont acceptées par le locataire de ressources pour l’authentification multifacteur. Si le locataire de ressources a désactivé l’approbation de l’authentification multifacteur, l’utilisateur externe doit effectuer l’authentification multifacteur dans le locataire de ressources à l’aide de l’une des méthodes répertoriées dans la colonne « Locataire de ressources ».
| Méthode d’authentification | Locataire d’origine | Locataire de la ressource |
|---|---|---|
| SMS en tant que deuxième facteur | ✅ | ✅ |
| Appel vocal | ✅ | ✅ |
| Microsoft Authenticator (notification Push) | ✅ | ✅ |
| Connexion par téléphone avec Microsoft Authenticator | ✅ | |
| Jeton logiciel OATH | ✅ | ✅ |
| Jetons matériels OATH | ✅ | |
| Clé de sécurité FIDO2 | ✅ | |
| Windows Hello Entreprise | ✅ | |
| Authentification par certificat | ✅ |
Pour plus d’informations sur la définition des forces d’authentification pour les utilisateurs externes, consultez Accès conditionnel : Exiger une force d’authentification pour les utilisateurs externes.
Expérience utilisateur pour les utilisateurs externes
Une stratégie d’accès conditionnel de force d’authentification fonctionne avec les paramètres d’approbation de l’authentification multifacteur dans vos paramètres d’accès interlocataire. Tout d’abord, un utilisateur Microsoft Entra s’authentifie avec son propre compte dans son locataire d’origine. Ensuite, lorsque cet utilisateur tente d’accéder à votre ressource, Microsoft Entra ID applique la stratégie d’accès conditionnel de force d’authentification et vérifie si vous avez activé l’approbation d’authentification multifacteur.
- Si la confiance d’ADG est activée, Microsoft Entra ID vérifie que la session d’authentification de l’utilisateur ne contient pas de revendication indiquant que l’ADG a été réalisée dans le client d’origine de l’utilisateur. Consultez le tableau précédent pour connaître les méthodes d’authentification acceptables pour l’authentification multifacteur lorsqu’elles sont effectuées dans le locataire d’origine d’un utilisateur externe. Si la session contient une revendication indiquant que les stratégies d’authentification multifacteur sont déjà remplies dans le client d’origine de l’utilisateur et que les méthodes répondent aux exigences de force d’authentification, l’utilisateur est autorisé à accéder. Dans le cas contraire, Microsoft Entra ID présente à l’utilisateur un défi pour effectuer l’authentification multifacteur dans le locataire d’origine à l’aide d’une méthode d’authentification acceptable.
- Si l’approbation multifacteur est désactivée, Microsoft Entra ID présente à l’utilisateur un défi pour effectuer l’authentification multifacteur dans le locataire de ressources à l’aide d’une méthode d’authentification acceptable. Consultez la table précédente pour connaître les méthodes d’authentification acceptables pour l’ADG par un utilisateur externe.
Étapes suivantes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour