Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Azure Active Directory ?
Microsoft recommande les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés de sécurité FIDO2 et l’application Microsoft Authenticator car elles fournissent l’expérience de connexion la plus sécurisée. Bien qu’un utilisateur puisse se connecter à l’aide d’autres méthodes courantes comme un nom d’utilisateur et un mot de passe, les mots de passe doivent être remplacés par des méthodes d’authentification plus sécurisées.
Azure AD Multi-Factor Authentication (MFA) renforce la sécurité par rapport à l’utilisation d’un simple mot de passe lors de la connexion. L’utilisateur peut être invité à fournir des formes d’authentification supplémentaires, par exemple répondre à une notification push, entrer un code à partir d’un jeton logiciel ou matériel, ou répondre à un SMS ou à un appel téléphonique.
Pour simplifier l’expérience d’intégration des utilisateurs et s’inscrire à MFA et à la réinitialisation de mot de passe en libre-service (SSPR), nous vous recommandons d’activer l’inscription d’informations de sécurité combinée. À des fins de résilience, nous vous recommandons de demander aux utilisateurs d’enregistrer plusieurs méthodes d’authentification. Lorsqu’une méthode n’est pas disponible pour un utilisateur lors d’une connexion ou SSPR, il peut choisir de s’authentifier avec une autre méthode. Pour plus d’informations, consultez Créer une stratégie de gestion du contrôle d’accès résiliente dans Azure AD.
Voici une vidéo que nous avons créée pour vous aider à choisir la meilleure méthode d’authentification pour assurer la sécurité de votre organisation.
Robustesse et sécurité des méthodes d’authentification
Lorsque vous déployez des fonctionnalités telles qu'Azure AD Multi-Factor Authentication au sein de votre organisation, passez en revue les méthodes d'authentification disponibles. Optez pour des méthodes qui remplissent ou dépassent vos exigences en termes de sécurité, de facilité d’utilisation et de disponibilité. Dans la mesure du possible, utilisez des méthodes d’authentification avec le niveau de sécurité le plus élevé.
Le tableau suivant décrit les considérations relatives à la sécurité pour les méthodes d’authentification disponibles. La disponibilité indique que l’utilisateur est en mesure d’utiliser la méthode d’authentification, et ne se réfère pas à la disponibilité du service dans Azure AD :
| Méthode d'authentification | Sécurité | Facilité d'utilisation | Disponibilité |
|---|---|---|---|
| Windows Hello Entreprise | Élevé | Élevé | Élevé |
| Microsoft Authenticator | Élevé | Élevé | Élevé |
| Authenticator Lite | Élevé | Élevé | Élevé |
| Clé de sécurité FIDO2 | Élevé | Élevé | Élevé |
| Authentification basée sur un certificat (préversion) | Élevé | Élevé | Élevé |
| Jetons matériels OATH (version préliminaire) | Moyenne | Moyenne | Élevé |
| Jetons logiciels OATH | Moyenne | Moyenne | Élevé |
| SMS | Moyenne | Élevé | Moyenne |
| Voix | Moyenne | Moyenne | Moyenne |
| Mot de passe | Faible | Élevé | Élevé |
Pour obtenir les informations les plus récentes concernant la sécurité, consultez nos billets de blog :
- Il est temps de dire au revoir aux méthodes d’authentification par téléphone
- Vulnérabilités de l’authentification et vecteurs d’attaque
Conseil
Pour plus de flexibilité et de facilité d’utilisation, nous vous recommandons d’utiliser l’application Microsoft Authenticator. Cette méthode d’authentification offre une expérience utilisateur optimale, ainsi que plusieurs modes (authentification sans mot de passe, notifications push MFA et codes OATH, notamment).
Fonctionnement de chaque méthode d’authentification
Certaines méthodes d’authentification peuvent être utilisées en tant que facteur principal lorsque vous vous connectez à une application ou un appareil, par exemple à l’aide d’une clé de sécurité FIDO2 ou d’un mot de passe. Les autres méthodes d'authentification sont uniquement disponibles en tant que facteur secondaire lorsque vous utilisez Azure AD Multi-Factor Authentication ou SSPR.
Le tableau suivant décrit quand une méthode d’authentification peut être utilisée lors d’un événement de connexion :
| Méthode | Authentification principale | Authentification secondaire |
|---|---|---|
| Windows Hello Entreprise | Oui | MFA* |
| Microsoft Authenticator | Oui | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Authenticator Lite | Non | MFA |
| Clé de sécurité FIDO2 | Oui | MFA |
| Authentification par certificat | Oui | Non |
| Jetons matériels OATH (version préliminaire) | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Jetons logiciels OATH | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| SMS | Oui | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Appel vocal | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Mot de passe | Oui |
* La fonctionnalité Windows Hello Entreprise, en soi, ne sert pas d’informations d’identification MFA de niveau supérieur. Par exemple, une demande d’authentification MFA liée à la fréquence de connexion ou à une requête SAML contenant forceAuthn=true. La fonctionnalité Windows Hello Entreprise peut servir d’informations d’identification MFA de niveau supérieur en étant utilisée dans l’authentification FIDO2. Pour que cela fonctionne correctement, l’authentification FIDO2 doit être activée chez les utilisateurs.
Toutes ces méthodes d’authentification peuvent être configurées dans le portail Azure, et de plus en plus à l’aide de l’API REST Microsoft Graph.
Pour en savoir plus sur le fonctionnement de chaque méthode d’authentification, consultez les articles conceptuels suivants :
- Windows Hello Entreprise
- Application Microsoft Authenticator
- Clé de sécurité FIDO2
- Authentification par certificat
- Jetons matériels OATH (version préliminaire)
- Jetons logiciels OATH
- Connexion SMS et vérification
- Vérification par appel téléphonique
- Mot de passe
Notes
Dans Azure AD, un mot de passe constitue souvent l’une des méthodes d’authentification principales. Vous ne pouvez pas désactiver la méthode d’authentification par mot de passe. Si vous utilisez un mot de passe en tant que facteur d'authentification principal, renforcez la sécurité des événements de connexion à l'aide d'Azure AD Multi-Factor Authentication.
Les méthodes de vérification supplémentaires suivantes peuvent être utilisées dans certains scénarios :
- Mots de passe d'application : utilisés pour les anciennes applications qui ne prennent pas en charge l'authentification moderne et peuvent être configurés pour Azure AD Multi-Factor Authentication par utilisateur.
- Questions de sécurité : utilisées uniquement pour SSPR
- Adresse e-mail : utilisée uniquement pour SSPR
Étapes suivantes
Pour commencer, consultez le tutoriel sur la réinitialisation du mot de passe en libre-service et l’authentification multifacteur Azure AD.
Pour en savoir plus sur les concepts de SSPR, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service dans Azure AD.
Pour plus d'informations sur les concepts MFA, consultez Fonctionnement d'Azure AD Multi-Factor Authentication.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.
Pour connaître les méthodes d'authentification utilisées, consultez Analyse de la méthode d'authentification Azure AD Multi-Factor Authentication avec PowerShell.