Préremplir les coordonnées relatives à l’authentification utilisateur pour la réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra
Pour permettre l’utilisation de la fonctionnalité SSPR (réinitialisation de mot de passe en libre-service) de Microsoft Entra, les informations relatives à l’authentification d’un utilisateur doivent être présentes. La plupart des organisations ont des utilisateurs qui inscrivent eux-mêmes leurs données d’authentification tout en collectant des informations pour l’authentification multifacteur. Certaines organisations préfèrent démarrer ce processus via la synchronisation des données d’authentification qui existent déjà dans Active Directory Domain Services (AD DS). Ces données synchronisées sont accessibles à Microsoft Entra ID et SSPR sans nécessiter d’interaction de l’utilisateur. Quand les utilisateurs doivent changer ou réinitialiser leur mot de passe, ils peuvent le faire même s’ils n’ont pas inscrit leurs coordonnées.
Vous pouvez préremplir les coordonnées relatives à l’authentification si vous respectez les exigences suivantes :
- Vous avez correctement préparé les données au format approprié dans votre annuaire local.
- Vous avez configuré Microsoft Entra Connect pour votre locataire Microsoft Entra.
Les numéros de téléphone doivent être au format +CountryCode PhoneNumber, par exemple +1 4251234567.
Remarque :
un espace est obligatoire entre l’indicatif téléphonique international et le numéro de téléphone.
La réinitialisation de mot de passe ne prend pas en charge les extensions de téléphone. Même au format +1 4251234567X12345, les extensions sont supprimées avant l’appel.
Champs renseignés
Si vous utilisez les paramètres par défaut dans Microsoft Entra Connect, les mappages suivants sont effectués afin que les coordonnées relatives à l’authentification soient renseignées pour SSPR :
Active Directory local | Microsoft Entra ID |
---|---|
telephoneNumber | Téléphone de bureau |
mobile | Téléphone mobile |
Une fois qu’un utilisateur confirme son numéro de téléphone mobile, le champ Téléphone situé sous Coordonnées d’authentification dans Microsoft Entra ID est également renseigné avec ce numéro.
Coordonnées d’authentification
Sur la page Méthodes d’authentification d’un utilisateur Microsoft Entra dans le centre d’administration Microsoft Entra, les personnes ayant au moins le rôle d’Administrateur d’authentification privilégié peuvent définir manuellement les coordonnées d’authentification pour tout le monde. Vous pouvez passer en revue les méthodes existantes sous la section Méthodes d’authentification utilisables ou Ajouter des méthodes d’authentification, comme indiqué dans la capture d’écran suivante :
Les considérations suivantes s’appliquent pour ces coordonnées relatives à l’authentification :
- Si le champ Téléphone est renseigné et si l’option Téléphone mobile est activée dans la stratégie SSPR, l’utilisateur voit ce numéro sur la page d’inscription de réinitialisation de mot de passe et lors du workflow de réinitialisation du mot de passe.
- Si le champ Adresse e-mail est renseigné et si l’option Adresse e-mail est activée dans la stratégie SSPR, l’utilisateur voit cette adresse e-mail sur la page d’inscription de réinitialisation de mot de passe et lors du workflow de réinitialisation du mot de passe.
Questions et réponses de sécurité
Les questions et réponses de sécurité sont stockées de manière sécurisée dans votre locataire Microsoft Entra et sont uniquement accessibles aux utilisateurs par le biais de l’expérience d’inscription combinée My Security Info. Les administrateurs ne peuvent pas voir, définir ou modifier le contenu des questions et réponses des autres utilisateurs.
Ce qu’il se passe lorsqu’un utilisateur s’inscrit
Lorsqu’un utilisateur s’inscrit, la page d’inscription définit les champs suivants :
- Téléphone d’authentification
- Adresse e-mail d’authentification
- Questions et réponses de sécurité
Si vous avez fourni une valeur pour Téléphone mobile ou Adresse e-mail alternative, les utilisateurs peuvent immédiatement s’en servir pour réinitialiser leur mot de passe, même s’ils ne se sont pas inscrits au service.
Les utilisateurs voient également ces valeurs quand ils s’inscrivent pour la première fois, et peuvent les modifier s’ils le souhaitent. Une fois l’inscription des utilisateurs correctement effectuée, ces valeurs sont conservées dans les champs Téléphone d’authentification et Adresse e-mail d’authentification, respectivement.
Définir et lire les données d’authentification par le biais de PowerShell
Vous pouvez définir les champs suivants par le biais de PowerShell :
- Adresse e-mail alternative
- Téléphone mobile
- Téléphone de bureau
- À définir uniquement en l’absence de synchronisation avec un annuaire local.
Vous pouvez utiliser Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID ou utiliser l’API REST Microsoft Graph pour gérer les méthodes d’authentification.
Utiliser Microsoft Graph PowerShell
Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell.
Pour effectuer une installation rapide à partir de versions récentes de PowerShell qui prennent en charge Install-Module
, exécutez les commandes suivantes. La première ligne vérifie si le module est déjà installé :
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Une fois le module installé, suivez les étapes suivantes pour configurer chaque champ.
Définir les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Lire les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Étapes suivantes
Une fois les coordonnées relatives à l’authentification préremplies pour les utilisateurs, suivez le tutoriel ci-après pour activer la réinitialisation de mot de passe en libre-service :