Voici quelques questions fréquemment posées (FAQ) sur tout ce qui concerne la réinitialisation de mot de passe en libre-service.
Si vous avez des questions générales sur Microsoft Entra ID et la réinitialisation de mot de passe en libre-service (SSPR), auxquelles vous ne trouvez pas la réponse ici, vous pouvez demander de l’aide à la communauté via la Page des questions Microsoft Q&A pour Microsoft Entra ID. Les membres de la communauté comprennent des ingénieurs, des chefs de produit, MVP et autres professionnels de l’informatique.
Cette foire aux questions est organisée de la manière suivante :
- Questions relatives à l’inscription à la réinitialisation de mot de passe
- Questions relatives à la réinitialisation de mot de passe
- Questions relatives au changement du mot de passe
- Questions relatives aux rapports de gestion des mots de passe
- Questions relatives à la réécriture du mot de passe
Inscription à la réinitialisation de mot de passe
Mes utilisateurs peuvent-ils enregistrer leurs propres données de réinitialisation de mot de passe ?
Oui. Tant que la réinitialisation de mot de passe est activée et qu’ils disposent d’une licence, les utilisateurs peuvent accéder au portail d’inscription à la réinitialisation de mot de passe (https://aka.ms/ssprsetup) pour inscrire leurs informations d’authentification. Ils peuvent également s’inscrire par le biais du volet d’accès (https://myapps.microsoft.com). Pour s’inscrire par le biais du volet d’accès, ils doivent sélectionner l’image de leur profil, sélectionner Profil, puis sélectionner l’option S’inscrire pour réinitialiser le mot de passe.
Si vous activez l’inscription combinée, les utilisateurs peuvent s’inscrire en même temps à SSPR et à l’ authentification multifacteur Microsoft Entra.
Si j’active la réinitialisation de mot de passe pour un groupe, puis décide de l’activer pour tout le monde, mes utilisateurs doivent-ils se réenregistrer ?
Non. Les utilisateurs possédant des données d’authentification renseignées ne doivent pas s’enregistrer de nouveau.
puis-je définir des données de réinitialisation de mot de passe pour le compte de mes utilisateurs ?
Oui, vous pouvez le faire avec Microsoft Entra Connect, PowerShell, le centre d’administration Microsoft Entra ou le centre d’administration Microsoft 365. Pour plus d’informations, consultez Données utilisées par la réinitialisation de mot de passe en libre-service Microsoft Entra.
Puis-je synchroniser localement des données pour des questions de sécurité ?
Non, ce n’est actuellement pas possible.
Mes utilisateurs peuvent-ils inscrire des données de manière à ce que les autres utilisateurs ne puissent pas les voir ?
Oui. Quand les utilisateurs inscrivent des données à l’aide du portail d’inscription à la réinitialisation de mot de passe, les données sont enregistrées dans des champs d’authentification privés uniquement visibles par les Administrateurs d’authentification privilégiés et l’utilisateur.
Mes utilisateurs doivent-ils s’inscrire préalablement pour pouvoir utiliser la réinitialisation de mot de passe ?
Non. Si vous définissez suffisamment d’informations d’authentification en leur nom, les utilisateurs n’ont pas besoin de s’inscrire. La réinitialisation de mot de passe fonctionne tant que vous disposez de données correctement formatées stockées dans les champs appropriés de l’annuaire.
Puis-je synchroniser ou définir les champs Téléphone d’authentification, Adresse e-mail d’authentification ou Autre téléphone d’authentification pour le compte de mes utilisateurs ?
Les champs qui peuvent être définis par un Administrateur d’authentification privilégié sont définis dans l’article Spécifications des données SSPR.
Comment le portail d’inscription détermine-t-il quelles options proposer à mes utilisateurs ?
Le portail d’inscription de réinitialisation de mot de passe affiche uniquement les options que vous avez activées pour vos utilisateurs. Ces options se trouvent sous la section Stratégie de réinitialisation de mot de passe utilisateur de l’onglet Configurer de votre annuaire. Par exemple, si vous n’activez pas les questions de sécurité, les utilisateurs ne peuvent pas s’inscrire pour cette option.
quand un utilisateur est-il considéré comme inscrit ?
Un utilisateur est considéré comme inscrit pour la SSPR quand il a enregistré au moins le Nombre de méthodes requises pour la réinitialisation d’un mot de passe, que vous avez défini dans le centre d’administration Microsoft Entra.
Réinitialisation de mot de passe
Empêchez-vous les utilisateurs d’effectuer plusieurs tentatives de réinitialisation de mot de passe dans un bref laps de temps ?
Oui, il existe des fonctionnalités de sécurité intégrées à la réinitialisation de mot de passe pour empêcher toute utilisation malveillante.
Les utilisateurs peuvent tenter de valider leurs informations (par exemple leur numéro de téléphone), mais s’ils ne parviennent pas à prouver leur identité cinq fois dans une période de 24 heures, ils sont bloqués pour une période de 24 heures.
Les utilisateurs peuvent essayer de valider un numéro de téléphone, une application d’authentification, envoyer un SMS ou valider des questions et réponses de sécurité seulement cinq fois dans un délai d’une heure avant d’être bloqués pour une période de 24 heures.
Les utilisateurs peuvent envoyer un e-mail 10 fois maximum dans un délai de 10 minutes avant que l’envoi ne soit verrouillé pendant 24 heures.
Les compteurs sont réinitialisés dès que l’utilisateur réinitialise son mot de passe.
Combien de temps dois-je attendre avant de recevoir un email, un SMS ou un appel téléphonique de la réinitialisation de mot de passe ?
Les e-mails, SMS et appels téléphoniques doivent arriver en moins d’une minute. Le cas normal est de 5 à 20 secondes. Si vous ne recevez pas la notification dans ce laps de temps :
- Vérifiez votre dossier de courrier indésirable.
- Vérifiez que le numéro ou que l’e-mail contacté est celui que vous attendez.
- Vérifiez que les données d’authentification dans l’annuaire sont mises en forme correctement, par exemple +1 4255551234 ou user@contoso.com.
Quelles langues sont prises en charge pour la réinitialisation de mot de passe ?
L’interface utilisateur pour la réinitialisation de mot de passe, les SMS et les appels vocaux sont localisés dans les mêmes langues que celles prises en charge dans Microsoft 365.
Quelles parties de l’expérience de réinitialisation de mot de passe sont personnalisées lorsque je configure des éléments de personnalisation de l’organisation sous l’onglet Configurer de mon annuaire ?
Le portail de réinitialisation de mot de passe affiche le logo de votre organisation et vous permet également de configurer le lien « Contactez votre administrateur » pour qu’il pointe vers une URL ou une adresse e-mail personnalisée. Tout e-mail envoyé par la fonctionnalité de réinitialisation de mot de passe inclut le logo, les couleurs et le nom de votre organisation dans le corps de l’e-mail, et il est personnalisé à partir des paramètres de ce nom spécifique.
comment puis-je informer mes utilisateurs des endroits où ils peuvent aller pour réinitialiser leurs mots de passe ?
Essayez certaines des suggestions de notre article sur le déploiement de la SSPR.
Puis-je utiliser cette page à partir d’un appareil mobile ?
Oui, cette page fonctionne sur les appareils mobiles.
Prenez-vous en charge le déverrouillage des comptes Active Directory locaux quand les utilisateurs réinitialisent leur mot de passe ?
Oui. Si la réécriture du mot de passe a été déployée par le biais de Microsoft Entra Connect, le compte d’utilisateur est automatiquement déverrouillé au moment où l’utilisateur réinitialise son mot de passe.
Comment puis-je intégrer la réinitialisation de mot de passe directement dans l’expérience de connexion de Bureau de mes utilisateurs ?
Si vous êtes client Microsoft Entra ID P1 ou P2, vous pouvez installer Microsoft Identity Manager sans coût supplémentaire et déployer la solution locale de réinitialisation de mot de passe.
Puis-je définir des questions de sécurité différentes pour des paramètres régionaux différents ?
Non, ce n’est actuellement pas possible.
Combien de questions puis-je configurer pour l’option d’authentification Questions de sécurité ?
Vous pouvez configurer jusqu’à 20 questions de sécurité personnalisées dans le centre d’administration Microsoft Entra.
Quelle peut être la longueur des questions de sécurité ?
Les questions de sécurité peuvent comporter entre 3 et 200 caractères.
Quelle peut être la longueur des réponses aux questions de sécurité ?
Les réponses peuvent comprendre entre 3 et 40 caractères.
Les réponses dupliquées aux questions de sécurité sont-elles rejetées ?
Oui, nous rejetons les réponses dupliquées aux questions de sécurité.
Un utilisateur peut-il inscrire plusieurs fois la même question de sécurité ?
Non. Une fois qu’un utilisateur a inscrit une question particulière, il ne peut plus inscrire cette même question une deuxième fois.
est-il possible de définir une limite minimale pour les questions de sécurité pour l’inscription et pour la réinitialisation ?
Oui, vous pouvez définir une limite pour l’inscription et une autre pour la réinitialisation. De trois à cinq questions de sécurité peuvent être requises pour l’inscription, et de trois à cinq questions peuvent être requises pour la réinitialisation.
J’ai configuré ma stratégie de sorte qu’elle demande aux utilisateurs d’utiliser les questions de sécurité à des fins de réinitialisation, mais les administrateurs Azure semblent configurés différemment.**
Il s’agit du comportement attendu. Microsoft applique par défaut une stratégie de réinitialisation de mot de passe fort à deux verrous pour tous les rôles d’administrateur Azure. Cela empêche les administrateurs d’utiliser les questions de sécurité. Vous trouverez plus d’informations sur cette stratégie dans l’article Stratégies de mot de passe et restrictions dans Microsoft Entra ID.
Si un utilisateur a inscrit plus de questions que le nombre maximal demandé pour la réinitialisation, comment les questions de sécurité sont-elles sélectionnées lors de la réinitialisation ?
N questions de sécurité sont sélectionnées au hasard parmi le nombre total de questions qu’un utilisateur a inscrit, N correspondant à l’option Nombre de questions requises pour la réinitialisation définie. Par exemple, si un utilisateur a inscrit cinq questions de sécurité, mais que seules trois sont requises pour réinitialiser un mot de passe, trois des cinq questions sont sélectionnées au hasard et sont présentées lors de la réinitialisation. Pour éviter de poser toujours les mêmes questions, si l’utilisateur ne répond pas correctement aux questions, le processus de sélection recommence.
Quelle est la durée de validité des codes secrets à usage unique pour les e-mails et les SMS ?
La durée de vie de session pour la réinitialisation de mot de passe est de 15 minutes. À compter du début de l’opération de réinitialisation de mot de passe, l’utilisateur dispose de 15 minutes pour le réinitialiser. Les codes secrets à usage unique sont valables pendant 5 minutes lors de la session de réinitialisation de mot de passe.
Puis-je empêcher des utilisateurs de réinitialiser leur mot de passe ?
Oui, si vous utilisez un groupe pour activer la SSPR en libre-service, vous pouvez supprimer un utilisateur de ce groupe qui permet aux utilisateurs de réinitialiser leur mot de passe. Si l’utilisateur est Administrateur d’authentification privilégié, il peut réinitialiser son mot de passe et cela ne peut pas être désactivé.
Modification de mot de passe
Où mes utilisateurs doivent-ils aller pour modifier leur mot de passe ?
Les utilisateurs peuvent changer leur mot de passe partout où ils voient leur image ou leur icône de profil, par exemple en haut à droite de leur portail Office 365 ou dans le Volet d’accès. Les utilisateurs peuvent changer leurs mots de passe à partir de la page de Profil du Volet d’accès. Les utilisateurs peuvent également être invités à changer automatiquement leur mot de passe dans la page de connexion Microsoft Entra si leur mot de passe est expiré. Pour finir, ils peuvent accéder directement au portail de changement de mot de passe Microsoft Entra s’ils souhaitent modifier leur mot de passe.
Mes utilisateurs peuvent-ils être informés de l’expiration de leur mot de passe local dans le portail Office ?
Oui, c’est possible aujourd’hui si vous utilisez les services de fédération Active Directory (AD FS). Si vous utilisez les services AD FS, suivez les instructions de l’article Envoi de revendications de stratégie de mots de passe avec les services AD FS. Si vous utilisez la synchronisation de hachage du mot de passe, ceci n’est pas possible actuellement. Comme nous ne synchronisons pas les stratégies de mot de passe à partir des annuaires locaux, nous ne pouvons pas publier de notifications d’expiration dans les expériences cloud. Dans les deux cas, il est également possible de notifier les utilisateurs dont les mots de passe sont sur le point d’expirer par le biais de PowerShell.
Puis-je empêcher des utilisateurs de modifier leur mot de passe ?
Pour les utilisateurs du cloud uniquement, les modifications de mot de passe ne peuvent pas être bloquées. Pour les utilisateurs locaux, vous pouvez activer l’option l’Utilisateur ne peut pas changer de mot de passe. Les utilisateurs sélectionnés ne peuvent pas modifier leur mot de passe.
Rapports sur la gestion des mots de passe
Combien de temps faut-il pour que les données soient affichées dans les rapports de gestion des mots de passe ?
Les données doivent apparaître dans les rapports de gestion des mots de passe dans les 5 à 10 minutes. Dans certains cas, il faut attendre une heure avant qu’elles n’apparaissent.
Comment faire pour filtrer les rapports de gestion des mots de passe ?
Pour filtrer les rapports de gestion des mots de passe, sélectionnez la petite loupe qui se trouve à l’extrême droite des étiquettes de colonnes, pratiquement en haut du rapport. Pour effectuer un filtrage plus précis, vous pouvez télécharger le rapport dans Excel et créer un tableau croisé dynamique.
Quel est le nombre maximal d’événements stockés dans les rapports de gestion de mot de passe ?
Jusqu’à 75 000 événements de réinitialisation de mot de passe ou d’inscription à la réinitialisation de mot de passe sont stockés dans les rapports de gestion de mot de passe, pour une sauvegarde d’une durée de 30 jours. Nous travaillons à l’augmentation de ce nombre pour inclure davantage d’événements.
Sur quelle période les rapports de gestion des mots de passe s’étendent-ils ?
Les rapports de gestion des mots de passe affichent les opérations qui ont eu lieu durant les 30 derniers jours. Pour le moment, si vous devez archiver ces données, vous pouvez télécharger les rapports régulièrement et les enregistrer dans un emplacement distinct.
Existe-t-il une limite au nombre de lignes qui peuvent apparaître dans les rapports de gestion des mots de passe ?
Oui. 75 000 lignes au maximum peuvent apparaître sur un rapport de gestion des mots de passe, qu’elles soient téléchargées ou affichées dans l’interface utilisateur.
Existe-t-il une API pour accéder aux données des rapports sur la réinitialisation de mot de passe ou sur l’inscription à la réinitialisation de mot de passe ?
Oui, vous pouvez récupérer ces informations à partir du rapport d’activité des méthodes d’authentification ou de l’API pour accéder à l’activité de réinitialisation de mot de passe. Vous pouvez également utiliser l’API des journaux d’audit et filtrer par événement SSPR.
Réécriture du mot de passe
Comment la réécriture du mot de passe fonctionne-t-elle en arrière-plan ?
Consultez l’article Fonctionnement de la réécriture du mot de passe pour obtenir une explication de ce qui se passe quand vous activez la réécriture du mot de passe et pour comprendre la manière dont les données circulent entre le système et votre environnement local.
Combien de temps faut-il pour que la réécriture du mot de passe fonctionne ? Y a-t-il un délai de synchronisation comme avec la synchronisation du hachage de mot de passe ?
La réécriture du mot de passe est instantanée. Il s’agit d’un pipeline synchrone qui fonctionne différemment de la synchronisation de hachage du mot de passe. La réécriture du mot de passe permet aux utilisateurs d’obtenir des commentaires en temps réel quant à la réussite de la modification ou de la réinitialisation de leur mot de passe. La réécriture réussie d’un mot de passe dure en moyenne moins de 500 ms.
Si mon compte local est désactivé, comment mon accès au cloud et mon compte cloud sont-ils affectés ?
Si votre ID local est désactivé, votre ID cloud et votre accès au cloud seront également désactivés lors du prochain intervalle de synchronisation par le biais de Microsoft Entra Connect. Par défaut, cette synchronisation a lieu toutes les 30 minutes.
Si mon compte local est contraint par une stratégie de mot de passe Active Directory locale, la SSPR respecte-t-elle cette stratégie quand je modifie mon mot de passe ?
Oui, la SSPR s’appuie sur la stratégie de mot de passe Active Directory locale et la respecte. Cette stratégie inclut la stratégie de mot de passe de domaine Active Directory par défaut, ainsi que les stratégies de mot de passe affinées et définies qui ciblent un utilisateur.
Pour quels types de comptes la réécriture du mot de passe fonctionne-t-elle ?
La réécriture du mot de passe fonctionne pour les comptes d’utilisateur synchronisés entre Active Directory local et Microsoft Entra ID, y compris les utilisateurs fédérés, synchronisés avec hachage de mot de passe et à authentification directe.
La réécriture du mot de passe applique-t-elle les stratégies de mot de passe de mon domaine ?
Oui. La réécriture du mot de passe applique l’âge du mot de passe, l’historique, la complexité, les filtres et toute autre restriction que vous pouvez mettre en place sur les mots de passe dans votre domaine local.
La réécriture du mot de passe est-elle sécurisée ? Comment pourrais-je être sûr que je ne me ferai pas pirater ?
Oui, la réécriture du mot de passe est sécurisée. Pour en savoir plus sur les multiples couches de sécurité implémentées par le service de réécriture du mot de passe, consultez la section Sécurité de réécriture du mot de passe dans l’article Vue d’ensemble de la réécriture du mot de passe.
Étapes suivantes
- Comment réussir le lancement de la SSPR ?
- Réinitialiser ou modifier votre mot de passe
- S’inscrire pour la réinitialisation de mot de passe en libre-service
- Vous avez une question relative à la licence ?
- Quelles données sont utilisées par la SSPR et quelles données vous devez renseigner pour vos utilisateurs ?
- Quelles méthodes d’authentification sont accessibles aux utilisateurs ?
- Quelles sont les options de stratégie disponibles avec la SSPR ?
- Quelle est la réécriture du mot de passe et pourquoi dois-je m’y intéresser ?
- Comment puis-je générer des rapports sur l’activité dans la SSPR ?
- Quelles sont toutes les options disponibles dans la SSPR et que signifient-elles ?
- Je pense qu’il y a une panne quelque part. Comment puis-je résoudre les problèmes de la SSPR ?