Présentation de l’inscription combinée des informations de sécurité pour Microsoft Entra
Avant l'inscription combinée, les utilisateurs enregistraient séparément les méthodes d'authentification pour l'authentification multifacteur Microsoft Entra et pour la SSPR. Ils ne comprenaient pas trop pourquoi ils devaient s’inscrire aux deux fonctionnalités alors que des méthodes similaires étaient utilisées pour l’authentification multifacteur et la réinitialisation SSPR. Désormais, avec l’inscription combinée, les utilisateurs peuvent s’inscrire une seule fois et bénéficier des avantages de l’authentification multifacteur et de la réinitialisation SSPR. Nous vous recommandons de regarder cette vidéo sur la façon d’activer et de configurer SSPR dans Microsoft Entra ID.
Avant d’activer la nouvelle expérience, passez en revue cette documentation axée sur l’administrateur et la documentation orientée utilisateur pour vous assurer de bien comprendre les fonctions et l’effet de cette fonctionnalité. Basez votre formation sur la documentation pour les utilisateurs afin de préparer vos utilisateurs à cette nouvelle expérience et de favoriser un déploiement réussi.
Les pages Mon compte sont localisées en fonction des paramètres linguistiques de l’ordinateur qui y accède. Microsoft stocke la dernière langue utilisée dans le cache du navigateur, afin que les tentatives suivantes d’accès aux pages continuent de s’afficher dans la dernière langue utilisée. Si vous effacez le cache, les pages sont réaffichées.
Pour imposer l’utilisation d’une langue spécifique, vous pouvez ajouter ?lng=<language>
à la fin de l’URL, où <language>
est le code de la langue que vous souhaitez utiliser.
Méthodes disponibles dans l’inscription combinée
L’inscription combinée prend en charge les méthodes et les actions d’authentification du tableau suivant.
Méthode | Inscrire | Modifier | DELETE |
---|---|---|---|
Microsoft Authenticator | Oui (jusqu'à 5) | Non | Oui |
Autre application d’authentification | Oui (jusqu'à 5) | Non | Oui |
Jeton matériel | Non | Non | Oui |
Téléphone | Oui (jusqu'à 2) | Oui | Oui |
Autre téléphone | Oui | Oui | Oui |
Téléphone (bureau)* | Oui | Oui | Oui |
Oui | Oui | Oui | |
Questions de sécurité | Oui | No | Oui |
Mots de passe | Non | Oui | No |
Mots de passe d’application* | Oui | No | Oui |
Clé d’accès (FIDO2)* | Oui (jusqu'à 10) | Non | Oui |
Notes
Si vous activez Microsoft Authenticator pour le mode d’authentification sans mot de passe dans la stratégie Méthodes d’authentification, les utilisateurs doivent également activer la connexion sans mot de passe dans l’application Authenticator.
Un autre téléphone ne peut être inscrit qu’en mode de gestion dans les Informations de sécurité et nécessite que les appels vocaux soient activés dans la stratégie Méthodes d’authentification.
Téléphone (bureau) peut uniquement être enregistré en mode Interruption si la propriété Téléphone professionnel des utilisateurs a été définie. Un téléphone de travail peut être ajouté par les utilisateurs en mode de gestion dans les Informations de sécurité sans cette condition.
Les mots de passe d’application sont disponibles uniquement pour les utilisateurs qui ont été paramétrés pour l’authentification multifacteur par utilisateur. Les mots de passe d’application ne sont pas disponibles pour les utilisateurs autorisés pour l’authentification multifacteur Microsoft Entra via une stratégie d’accès conditionnel.
Les clés d’accès (FIDO2) peuvent également être provisionnées à l’aide d’un client personnalisé ou d’une intégration de partenaire à Microsoft Graph. Pour plus d’informations, consultez nos API.
Les utilisateurs peuvent définir l’une des options suivantes comme méthode d’authentification multifacteur par défaut.
- Microsoft Authenticator - notification Push ou sans mot de passe
- Application Microsoft Authenticator ou jeton matériel (code)
- appel téléphonique
- SMS
Notes
Les numéros de téléphone virtuels ne sont pas pris en charge pour les appels vocaux ou les messages SMS.
Les applications d’authentification tierces ne proposent pas de notification Push. Au fur et à mesure que nous ajoutons de nouvelles méthodes d’authentification à Microsoft Entra ID, ces méthodes deviendront disponibles dans le cadre d’une inscription combinée.
Modes d’inscription combinée
Il existe deux modes d’inscription combinée :
- le mode d’interruption est une expérience de type Assistant, présentée aux utilisateurs lorsqu’ils s’inscrivent ou actualisent les informations de sécurité à la connexion.
- Le mode de gestion fait partie du profil utilisateur et permet aux utilisateurs de gérer leurs informations de sécurité.
Pour ces deux modes, les utilisateurs qui se sont inscrits à une méthode pouvant être utilisée pour l’authentification multifacteur Microsoft Entra doivent effectuer une authentification multifacteur avant de pouvoir accéder à leurs informations de sécurité. Les utilisateurs doivent confirmer leurs informations avant de continuer à utiliser leurs méthodes précédemment inscrites.
Mode d’interruption
L’inscription combinée respecte les stratégies d’authentification multifacteur et de SSPR, si les deux sont activées pour votre locataire. Ces stratégies contrôlent le fait que l’inscription d’un utilisateur est interrompue ou non pendant la connexion, ainsi que les méthodes d’inscription disponibles. Si seule une stratégie de SSPR est activée, les utilisateurs peuvent ignorer (indéfiniment) l’interruption de l’inscription et la terminer ultérieurement.
Voici quelques exemples de scénarios dans lesquels les utilisateurs peuvent être invités à s’inscrire ou à actualiser leurs informations de sécurité :
- inscription à l’authentification multifacteur imposée via Protection des ID Microsoft Entra : les utilisateurs sont invités à s’inscrire lors de la connexion. Ils s’inscrivent à des méthodes d’authentification multifacteur et de réinitialisation SSPR (si l’utilisateur est activé pour SSPR).
- inscription à l’authentification multifacteur imposée via l’authentification multifacteur par utilisateur : les utilisateurs sont invités à s’inscrire lors de la connexion. Ils s’inscrivent à des méthodes d’authentification multifacteur et de réinitialisation SSPR (si l’utilisateur est activé pour SSPR).
- inscription à l’authentification multifacteur imposée via l’accès conditionnel ou d’autres stratégies : les utilisateurs sont invités à s’inscrire quand ils utilisent une ressource qui exige une authentification multifacteur. Ils s’inscrivent à des méthodes d’authentification multifacteur et de réinitialisation SSPR (si l’utilisateur est activé pour SSPR).
- Inscription à la réinitialisation de mot de passe en libre-service appliquée : les utilisateurs sont invités à s’inscrire lors de la connexion. Ils s’inscrivent uniquement aux méthodes SSPR.
- Actualisation de la réinitialisation de mot de passe en libre-service appliquée : les utilisateurs doivent vérifier leurs informations de sécurité à la fréquence définie par l’administrateur. Les informations sont montrées aux utilisateurs et ces derniers peuvent confirmer les informations actuelles ou apporter des modifications si nécessaire.
Lorsque l’inscription est appliquée, les utilisateurs peuvent voir le nombre minimal de méthodes nécessaires pour être conformes aux stratégies d’authentification multifacteur et SSPR, de la plus à la moins sécurisée. Les utilisateurs qui utilisent l’enregistrement combiné, où l’authentification MFA et l’enregistrement SSPR sont appliqués et la stratégie SSPR nécessite deux méthodes, doivent d’abord inscrire une méthode MFA comme première méthode et sélectionner une autre méthode d’authentification multifacteur ou SSPR comme deuxième méthode enregistrée (par exemple, une adresse e-mail, des questions de sécurité, etc.)
Examinez l’exemple de scénario suivant :
- Un utilisateur est activé pour la réinitialisation SSPR. La stratégie SSPR exige deux méthodes de réinitialisation et a activé l’application Microsoft Authenticator, l’adresse e-mail et le numéro de téléphone.
- Lorsque l’utilisateur choisit de s’inscrire, deux méthodes sont requises :
- L’utilisateur voit l’application Microsoft Authenticator et le numéro de téléphone par défaut.
- L’utilisateur peut choisir d’inscrire l’adresse e-mail à la place de l’application Microsoft Authenticator ou du numéro de téléphone.
Quand il configure Microsoft Authenticator, l’utilisateur peut cliquer sur Je souhaite configurer une autre méthode pour inscrire d’autres méthodes d’authentification. La liste des méthodes disponibles est déterminée par la stratégie Méthodes d’authentification pour le locataire.
L’organigramme suivant décrit les méthodes qui sont montrées à un utilisateur quand son inscription est interrompue pendant la connexion :
Si vous avez activé l’authentification multifacteur et la réinitialisation SSPR, nous vous recommandons d’appliquer l’inscription à l’authentification multifacteur.
Si la stratégie SSPR nécessite que les utilisateurs vérifient leurs informations de sécurité à intervalles réguliers, les utilisateurs sont interrompus pendant la connexion et toutes leurs méthodes inscrites leur sont montrées. Ils peuvent confirmer les informations actuelles si elle sont à jour, ou apporter des modifications si nécessaire. Les utilisateurs doivent se soumettre à l’authentification multifacteur pour accéder à cette page.
Mode de gestion
Les utilisateurs peuvent accéder aux Informations de sécurité ou sélectionner Informations de sécurité à partir de Mon compte. Là, les utilisateurs peuvent ajouter des méthodes, supprimer ou modifier les méthodes existantes, modifier la méthode par défaut et bien plus encore.
Contrôles de session pour l’inscription combinée
Par défaut, l’inscription combinée impose à tous les utilisateurs capables de MFA de s’authentifier fortement avant d’inscrire ou de gérer leurs informations de sécurité. Si un utilisateur est actuellement connecté et a déjà procédé à une authentification MFA dans le cadre d’une session valide, aucune authentification MFA supplémentaire n’est requise par défaut, sauf si un utilisateur tente d’ajouter ou de modifier une méthode à clé d’accès (FIDO2). L’ajout ou la modification d’une méthode à clé d’accès (FIDO2) oblige les utilisateurs à s’authentifier fortement au cours des 5 minutes précédentes. Si aucune authentification MFA n’a été effectuée au cours des 5 minutes précédentes, l’utilisateur est invité à se connecter et à procéder à une nouvelle authentification MFA. Les organisations peuvent modifier les exigences d’authentification en définissant des stratégies d’accès conditionnel pour sécuriser l’inscription des informations de sécurité.
Les sessions d’inscription combinée ne sont valides que pendant 15 minutes. Si des actions d’inscription ou de gestion des utilisateurs prennent plus de temps que le délai prévu, la session expire et l’utilisateur est invité à se reconnecter pour continuer.
Principaux scénarios d’utilisation
Modifier un mot de passe dans MySignIns
Un utilisateur accède aux Informations de sécurité. Une fois connecté, l’utilisateur peut modifier son mot de passe. Si l’utilisateur s’authentifie avec un mot de passe et une méthode d’authentification multifacteur, il pourra utiliser l’expérience utilisateur améliorée pour modifier son mot de passe sans entrer son mot de passe existant. Lorsque vous avez terminé, le nouveau mot de passe est mis à jour sur la page Informations de sécurité. Les méthodes d’authentification telles que le Passe d’accès temporaire (TAP) ne sont pas prises en charge pour les modifications de mot de passe, à moins que l’utilisateur ne connaisse son mot de passe existant.
Remarque
Si vous avez des liens qui pointent vers l’ancienne expérience de changement de mot de passe, mettez-les à jour vers le lien de transfert suivant pour diriger les utilisateurs vers la nouvelle expérience de changement de mot de passe My Sign Ins : https://go.microsoft.com/fwlink/?linkid=2224198.
Protéger l’inscription des informations de sécurité avec l’Accès conditionnel
Pour sécuriser le moment et la manière dont les utilisateurs s'inscrivent à l'authentification multifacteur Microsoft Entra et à la réinitialisation du mot de passe en libre-service, vous pouvez utiliser les actions utilisateur dans la stratégie d'accès conditionnel. Cette fonctionnalité peut être activée dans les organisations qui souhaitent que les utilisateurs s'inscrivent à l'authentification multifacteur Microsoft Entra et au SSPR à partir d'un emplacement central, tel qu'un emplacement réseau approuvé lors de l'intégration des RH. Découvrez comment configurer des stratégies d’accès conditionnel courantes pour sécuriser l’inscription des informations de sécurité.
Configurer les informations de sécurité pendant la connexion
Un administrateur a appliqué l’inscription.
Un utilisateur n’a pas configuré toutes les informations de sécurité requises et accède au centre d’administration Microsoft Entra. Lorsque l’utilisateur a entré son nom d’utilisateur et mot de passe, il est invité à configurer les informations de sécurité. Ensuite, l’utilisateur suit les étapes indiquées dans l’Assistant pour configurer les informations de sécurité requises. Si vos paramètres le permettent, l’utilisateur peut choisir de configurer d’autres méthodes que celles affichées par défaut. Lorsque les utilisateurs ont terminé l’Assistant, ils passent en revue les méthodes qu’ils configurent et leur méthode par défaut pour l’authentification multifacteur. Pour terminer le processus de configuration, l’utilisateur confirme les informations et continue vers le centre d’administration Microsoft Entra.
Configurer les informations de sécurité à partir de Mon compte
Un administrateur n’a pas appliqué l’inscription.
Un utilisateur qui n’a pas encore configuré toutes les informations de sécurité requises accède à https://myaccount.microsoft.com. L’utilisateur sélectionne Informations de sécurité dans le volet gauche. Là, l’utilisateur choisit d’ajouter une méthode, sélectionne une des méthodes disponibles et suit la procédure requise pour configurer cette méthode. Quand il a terminé, l’utilisateur voit la méthode configurée sur la page Informations de sécurité.
Configurer d’autres méthodes après l’inscription partielle
Si un utilisateur a partiellement rempli l’inscription MFA ou SSPR en raison des inscriptions à des méthodes d’authentification existantes effectuées par l’utilisateur ou l’administrateur, il lui sera juste demandé d’enregistrer des informations supplémentaires autorisées par les paramètres de stratégie des méthodes d’authentification lorsque l’inscription est obligatoire. Si plusieurs autres méthodes d’authentification sont disponibles pour que l’utilisateur puisse choisir et s’inscrire, une option sur l’expérience d’inscription intitulée Je veux configurer une autre méthode s’affiche et permet à l’utilisateur de configurer la méthode d’authentification qu’il souhaite.
Supprimer les informations de sécurité à partir de Mon compte
Un utilisateur qui a configuré précédemment au moins une méthode accède aux Informations de sécurité. L’utilisateur choisit de supprimer une des méthodes précédemment inscrites. Une fois terminé, l’utilisateur ne voit plus cette méthode sur la page Informations de sécurité.
Modifier la méthode par défaut à partir de Mon compte
Un utilisateur qui a configuré précédemment au moins une méthode pouvant être utilisée pour l’authentification multifacteur accède aux Informations de sécurité. L’utilisateur remplace la méthode par défaut actuelle par une autre méthode par défaut. Une fois terminé, l’utilisateur voit la nouvelle méthode par défaut sur la page Informations de sécurité.
Changer d’annuaire
Une identité externe telle qu’un utilisateur B2B peut avoir besoin de changer de répertoire pour modifier les informations de l’inscription de sécurité pour un locataire tiers. De plus, les utilisateurs qui accèdent à un locataire de ressources peuvent être déroutés lorsqu’ils modifient les paramètres dans leur locataire de base, mais ne voient pas les modifications reflétées dans le locataire de ressources.
Par exemple, un utilisateur définit la notification Push de l’application Microsoft Authenticator comme principale méthode d’authentification pour se connecter à son locataire de base et dispose également de l’option SMS. Cet utilisateur est également configuré avec l’option SMS sur un locataire de ressources. Si cet utilisateur supprime l’option SMS des options d’authentification sur son locataire de base, il sera confus lorsque l’accès au locataire de ressources lui demandera de répondre à un SMS.
Pour changer de répertoire dans le centre d’administration Microsoft Entra, cliquez sur le nom du compte d’utilisateur dans le coin supérieur droit puis sur Changer de répertoire.
Vous pouvez également spécifier un locataire par URL pour accéder aux informations de sécurité.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Remarque
Les clients qui tentent d’inscrire ou de gérer des informations de sécurité via l’inscription combinée ou la page Mes connexions doivent utiliser un navigateur moderne tel que Microsoft Edge.
Internet Explorer 11 n’est pas officiellement pris en charge pour la création d’une vue web ou d’un navigateur dans des applications, car il ne fonctionne pas comme prévu dans tous les scénarios.
Les applications qui n’ont pas été mises à jour et qui utilisent encore la bibliothèque Azure AD Authentication (ADAL) qui s’appuie sur des vues web héritées peuvent revenir aux versions antérieures d’Internet Explorer. Dans ces scénarios, une page vide s’affiche aux utilisateurs lorsqu’ils sont dirigés vers la page Mes connexions. Pour résoudre ce problème, passez à un navigateur moderne.
Étapes suivantes
Pour commencer, consultez les tutoriels consacrés à l'activation de la réinitialisation de mot de passe en libre-service et à l'activation de l’authentification multifacteur Microsoft Entra.
Découvrez comment activer l’inscription combinée dans votre locataire ou obliger les utilisateurs à se réinscrire à certaines méthodes d’authentification.
Vous pouvez également consulter les méthodes disponibles pour l’authentification multifacteur Microsoft Entra et la SSPR.