Partager via

Authentification multifacteur dans Microsoft 365

Les mots de passe sont la méthode la plus courante d’authentification des utilisateurs, mais ils sont également les plus vulnérables. Personnes utilisent souvent des mots de passe faibles et faciles à deviner et utilisent les mêmes informations d’identification pour différents services.

Pour fournir un niveau de sécurité supplémentaire, l’authentification multifacteur (également appelée MFA, authentification à deux facteurs ou 2FA) nécessite une deuxième méthode de vérification pour les connexions utilisateur basée sur :

  • Quelque chose qu’un utilisateur a qui n’est pas facilement dupliqué. Par exemple, un téléphone intelligent.
  • Quelque chose d’unique pour l’utilisateur. Par exemple, une empreinte digitale ou d’autres attributs biométriques.

La méthode de vérification supplémentaire est utilisée uniquement après la vérification du mot de passe. Même si un mot de passe utilisateur fort est compromis, l’attaquant n’a pas le téléphone intelligent ou les empreintes digitales de l’utilisateur pour terminer la connexion.

Les méthodes disponibles pour activer l’authentification multifacteur dans les organisations Microsoft 365, y compris Microsoft 365 pour les entreprises, sont décrites dans les sections suivantes.

Pour obtenir des instructions de configuration, consultez Configurer l’authentification multifacteur pour Microsoft 365.

Paramètres de sécurité par défaut

La sécurité par défaut est un ensemble de stratégies non modifiables dans toutes les organisations Microsoft 365 via Microsoft Entra ID Gratuit.

Les fonctionnalités de sécurité par défaut incluent les fonctionnalités de sécurité suivantes :

  • Demandez à tous les utilisateurs et administrateurs de s’inscrire à Microsoft Entra’authentification multifacteur (MFA) à l’aide de l’application Microsoft Authenticator ou de toute application d’authentification non-Microsoft qui prend en charge OATH TOTP.
  • Exiger l’authentification multifacteur pour les comptes d’administrateur à chaque connexion.
  • Exiger l’authentification multifacteur pour les utilisateurs si nécessaire (par exemple, sur les nouveaux appareils).
  • Bloquer les protocoles d’authentification hérités (par exemple, POP3 et IMAP4 dans les anciens clients de messagerie).
  • Exiger l’authentification multifacteur pour les utilisateurs et les administrateurs qui accèdent aux services Azure Resource Manager (par exemple, microsoft Portail Azure).

Les valeurs de sécurité par défaut sont activées ou désactivées dans un organization. Les organisations Microsoft 365 créées après octobre 2019 ont des paramètres de sécurité par défaut (par conséquent, MFA) activés par défaut. Vous n’avez donc rien à faire pour activer les paramètres de sécurité par défaut ou l’authentification multifacteur dans une nouvelle organization. Pour de nombreuses organisations, les paramètres de sécurité par défaut offrent un bon niveau de sécurité de base de connexion.

Pour plus d’informations sur les paramètres de sécurité par défaut et les stratégies appliquées, consultez Stratégies de sécurité appliquées dans les paramètres de sécurité par défaut.

Pour configurer les paramètres de sécurité par défaut, consultez Gérer les paramètres de sécurité par défaut.

Stratégies d’accès conditionnel

En guise d’alternative à l’utilisation des paramètres de sécurité par défaut, les stratégies d’accès conditionnel sont disponibles pour les organisations qui ont Microsoft Entra ID P1 ou P2. Les exemples incluent :

  • Microsoft 365 Business Premium (ID Microsoft Entra P1)
  • Microsoft 365 E3 (ID Microsoft Entra P1)
  • Microsoft 365 E5 (ID Microsoft Entra P2)
  • Un abonnement d’extension

Conseil

Les organisations avec l’ID Microsoft Entra P2 ont également accès à Protection Microsoft Entra ID. Vous pouvez créer une stratégie d’accès conditionnel pour exiger l’authentification multifacteur pour les risques de connexion élevés. Pour plus d’informations, consultez Qu’est-ce que Protection Microsoft Entra ID ?.

Vous créez des stratégies d’accès conditionnel qui réagissent aux événements de connexion avant qu’un utilisateur ne soit autorisé à accéder à une application ou à un service. Si votre organization a des exigences de sécurité complexes ou si vous avez besoin d’un contrôle précis sur les stratégies de sécurité, vous pouvez utiliser des stratégies d’accès conditionnel au lieu des paramètres de sécurité par défaut.

Importante

Les organisations peuvent utiliser des stratégies de sécurité par défaut ou d’accès conditionnel, mais pas les deux en même temps. Les stratégies d’accès conditionnel nécessitent que les paramètres de sécurité par défaut soient désactivés. Il est donc important de recréer les stratégies à partir des valeurs par défaut de sécurité dans les stratégies d’accès conditionnel comme base de référence pour tous les utilisateurs.

Pour plus d’informations sur les stratégies d’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel ?.

Pour configurer des stratégies d’accès conditionnel, consultez Gérer les stratégies d’accès conditionnel.

Si vous ne pouvez pas utiliser les paramètres de sécurité par défaut ou l’accès conditionnel pour des raisons professionnelles, votre dernière option consiste à utiliser l’authentification multifacteur héritée pour des comptes d’ID Microsoft Entra individuels. Cette option est disponible avec l’ID Microsoft Entra Plan Gratuit. Nous recommandons vivement l’authentification multifacteur pour les comptes avec des rôles d’administrateur, en particulier le rôle Administrateur général.

Pour obtenir des instructions de configuration, consultez Activer l’authentification multifacteur par utilisateur Microsoft Entra pour sécuriser les événements de connexion.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant. Pour en savoir plus, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.

Comparaison des méthodes MFA

Le tableau suivant présente les résultats de l’activation de l’authentification multifacteur avec des paramètres de sécurité par défaut, des stratégies d’accès conditionnel ou des paramètres de compte par utilisateur.

Méthode Méthode activée Méthode désactivée Méthodes d’authentification disponibles
Paramètres de sécurité par défaut Si les paramètres de sécurité par défaut sont activés, vous pouvez créer de nouvelles stratégies d’accès conditionnel, mais vous ne pouvez pas les activer. Après avoir désactivé les paramètres de sécurité par défaut, vous pouvez activer les stratégies d’accès conditionnel. Application Microsoft Authenticator ou toute application d’authentification non-Microsoft qui prend en charge OATH TOTP.
Stratégies d’accès conditionnel Si une ou plusieurs stratégies d’accès conditionnel existent dans un état (Désactivé, Activé ou Rapport uniquement), vous ne pouvez pas activer les paramètres de sécurité par défaut. S’il n’existe aucune stratégie d’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut. Application Microsoft Authenticator ou toute application d’authentification non-Microsoft qui prend en charge OATH TOTP.

D’autres méthodes d’authentification peuvent également être disponibles, en fonction de la force d’authentification configurée.
Authentification multifacteur héritée par utilisateur (non recommandé) Remplace les paramètres de sécurité par défaut et les stratégies d’accès conditionnel nécessitant l’authentification multifacteur à chaque connexion. Remplacé par les paramètres de sécurité par défaut ou les stratégies d’accès conditionnel Utilisateur spécifié lors de l’inscription à l’authentification multifacteur

Étapes suivantes

Contenu connexe

Activer l’authentification multifacteur (vidéo)
Activer l’authentification multi-facteurs sur votre téléphone (vidéo)

  • Last updated on