Gérer les méthodes d’authentification pour Microsoft Entra ID
Microsoft Entra ID permet d’utiliser diverses méthodes d’authentification pour prendre en charge un large éventail de scénarios de connexion. Les administrateurs peuvent configurer spécifiquement chaque méthode pour atteindre leurs objectifs en matière d’expérience utilisateur et de sécurité. Cette rubrique explique comment gérer les méthodes d’authentification pour Microsoft Entra ID et comment les options de configuration affectent les scénarios de connexion utilisateur et de réinitialisation de mot de passe.
Stratégie des méthodes d’authentification
La stratégie Méthodes d’authentification constitue le moyen recommandé de gérer les méthodes d’authentification, y compris les méthodes modernes telles que l’authentification sans mot de passe. Les administrateurs de stratégie d’authentification peuvent modifier cette stratégie pour définir des méthodes d’authentification pour tous les utilisateurs ou propres à des groupes spécifiques.
Les méthodes activées dans la stratégie Méthodes d’authentification sont généralement utilisables partout dans Microsoft Entra ID, dans les scénarios d’authentification comme de réinitialisation de mot de passe. Seule exception, certaines méthodes sont intrinsèquement limitées à l’authentification (par exemple FIDO2 et Windows Hello Entreprise), d’autres à la réinitialisation de mot de passe (par exemple les questions de sécurité). Pour mieux contrôler les méthodes applicables dans un scénario d’authentification donné, vous pouvez utiliser la fonctionnalité Points forts de l’authentification .
La plupart des méthodes comportent également des paramètres de configuration permettant un contrôle plus précis de leur utilisation. Par exemple, si vous activez la méthode Appels vocaux, vous pouvez également spécifier si un téléphone de bureau peut être utilisé en plus d’un téléphone mobile.
Supposons maintenant que vous souhaitiez activer l’authentification sans mot de passe avec Microsoft Authenticator. Vous avez la possibilité de définir des paramètres supplémentaires tels que l’affichage de l’emplacement de connexion de l’utilisateur ou le nom de l’application à laquelle il se connecte. Ces options donnent plus de contexte aux utilisateurs lorsqu’ils se connectent et permettent d’empêcher les approbations MFA accidentelles.
Pour gérer la stratégie Méthodes d’authentification, connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification et accédez à Protection>Méthodes d’authentification>Stratégies.
Seule l’expérience d’inscription convergée prend en charge la stratégie Méthodes d’authentification. Les utilisateurs couverts par la stratégie Méthodes d’authentification mais non concernés par l’expérience d’inscription convergée n’ont pas accès aux méthodes appropriées pour s’inscrire.
Stratégies MFA et SSPR héritées
Deux autres stratégies, situées dans les paramètres Authentification multifacteur et Réinitialisation de mot de passe, constituent un moyen hérité de gérer certaines méthodes d’authentification pour tous les utilisateurs du locataire. Vous ne pouvez pas contrôler qui utilise une méthode d’authentification activée ni comment celle-ci peut être employée. Un administrateur général est nécessaire pour gérer ces stratégies.
Important
En mars 2023, nous avons annoncé la dépréciation de la gestion des méthodes d’authentification dans les stratégies héritées de l’authentification multifacteur et de la réinitialisation de mot de passe en libre-service (SSPR). À compter du 30 septembre 2025, les méthodes d’authentification ne pourront pas être managées dans ces stratégies MFA et SSPR héritées. Nous recommandons aux clients d’utiliser le contrôle de migration manuel pour migrer vers la stratégie des méthodes d’authentification avant la date de dépréciation.
Pour gérer la stratégie MFA héritée, cliquez sur Sécurité>Authentification multifacteur>Paramètres supplémentaires d’authentification multifacteur cloud.
Pour gérer les méthodes d’authentification dans le cadre de la réinitialisation de mot de passe en libre-service (SSPR, Self-Service Password Reset), cliquez sur Réinitialisation de mot de passe>Méthodes d’authentification. L’option Téléphone mobile de cette stratégie permet d’émettre des appels vocaux ou d’envoyer des SMS à un téléphone mobile. L’option Téléphone de bureau autorise uniquement les appels vocaux.
Combinaisons de stratégies
Les paramètres ne sont pas synchronisés entre les stratégies, ce qui permet aux administrateurs de les gérer indépendamment les unes des autres. Microsoft Entra ID respecte les paramètres de toutes les stratégies afin qu’un utilisateur disposant d’une méthode d’authentification dans n’importe quelle stratégie puisse s’inscrire suivant cette méthode. Pour empêcher les utilisateurs d’utiliser une méthode, vous devez la désactiver dans toutes les stratégies.
Passons en revue un exemple dans lequel un utilisateur qui appartient au groupe Comptabilité souhaite inscrire Microsoft Authenticator. Le processus d’inscription vérifie d’abord la stratégie Méthodes d’authentification. Si l’option Microsoft Authenticator est activée pour le groupe Comptabilité, l’utilisateur peut l’inscrire.
Dans le cas contraire, le processus d’inscription vérifie la stratégie MFA héritée. Selon cette stratégie, un utilisateur peut inscrire Microsoft Authenticator si l’un des paramètres suivants est activé pour l’authentification multifacteur :
- Notification via une application mobile
- Code de vérification provenant d’une application mobile ou d’un jeton matériel
Si l’utilisateur ne peut pas inscrire Microsoft Authenticator sur la base de ces stratégies, le processus d’inscription vérifie la stratégie SSPR héritée. Selon cette stratégie également, un utilisateur peut inscrire Microsoft Authenticator si l’option SSPR et l’un des paramètres suivants sont activés :
- Notification sur l’application mobile
- Code de l’application mobile
Dans le cas des utilisateurs qui disposent de l’option Téléphone mobile pour la réinitialisation de mot de passe en libre-service, le contrôle indépendant entre les stratégies peut avoir un impact sur le comportement de connexion. Lorsque les autres stratégies proposent des options distinctes pour les SMS et les appels vocaux, l’option Téléphone mobile pour la réinitialisation de mot de passe en libre-service active les deux. Par conséquent, toute personne qui utilise l’option Téléphone mobile pour SSPR peut également se servir des appels vocaux pour la réinitialisation de mot de passe, même si les autres stratégies n’autorisent pas les appels vocaux.
De même, supposons que vous activiez l’option Appels vocaux pour un groupe. Vous constatez alors que même les utilisateurs qui ne sont pas membres du groupe peuvent se connecter avec un appel vocal. Dans ce cas, il est probable qu’ils disposent de l’option Téléphone mobile de la stratégie SSPR héritée ou de l’option Appel au téléphone de la stratégie MFA héritée.
Migration entre les stratégies
La stratégie Méthodes d’authentification constitue un chemin de migration vers l’administration unifiée de toutes les méthodes d’authentification. Toutes les méthodes souhaitées peuvent être activées dans la stratégie méthodes d’authentification, en supposant qu’elle a été définie sur les groupes d’utilisateurs requis pour chaque stratégie de méthode d’authentification (sauf si elle s’applique à tous les utilisateurs). Une fois cette activité d’administration de groupes d’utilisateurs terminée, les méthodes des stratégies MFA et SSPR héritées peuvent être désactivées. La migration comporte trois paramètres pour vous permettre d’avancer à votre propre rythme et d’éviter les problèmes de connexion et de réinitialisation de mot de passe pendant la transition. Une fois la migration effectuée, vous centraliserez le contrôle des méthodes d’authentification pour la connexion et la réinitialisation de mot de passe en libre-service. Les stratégies MFA et SSPR héritées, elles, seront désactivées.
Remarque
Les questions de sécurité ne peuvent être activées aujourd’hui qu’à l’aide de la stratégie SSPR héritée. À l’avenir, elles seront disponibles dans la stratégie Méthodes d’authentification. Si vous vous servez de questions de sécurité que vous ne souhaitez pas désactiver, veillez à les laisser activées dans la stratégie SSPR héritée jusqu’à ce que le nouveau contrôle soit disponible. Vous pouvez migrer le reste de vos méthodes d’authentification tout en continuant à gérer les questions de sécurité dans la stratégie SSPR héritée.
Pour afficher les options de migration, ouvrez la stratégie Méthodes d’authentification, puis cliquez sur Gérer la migration.
Le tableau suivant décrit chaque option.
| Option | Description |
|---|---|
| Prémigration | La stratégie Méthodes d’authentification n’est utilisée que pour l’authentification. Les paramètres de stratégie hérités sont respectés. |
| Migration en cours | La stratégie Méthodes d’authentification est utilisée pour l’authentification et la réinitialisation de mot de passe en libre-service. Les paramètres de stratégie hérités sont respectés. |
| Migration terminée | Seule la stratégie Méthodes d’authentification est utilisée pour l’authentification et la réinitialisation de mot de passe en libre-service. Les paramètres de stratégie hérités sont ignorés. |
Les locataires sont définis sur Prémigration ou Migration en cours par défaut, en fonction de l’état actuel de leur locataire. Si vous commencez dans Prémigration, vous pouvez passer à n’importe lequel des états à tout moment. Si vous avez commencé à l’état Migration en cours, vous pouvez passer de cet état à Migration terminée à tout moment, mais vous ne pouvez pas passer à Prémigration. Si vous passez à Migration terminée, puis choisissez de revenir à un état antérieur, nous vous demanderons pourquoi afin de pouvoir évaluer les performances du produit.
Remarque
Une fois toutes les méthodes d’authentification entièrement migrées, les éléments suivants de la stratégie SSPR héritée restent actifs :
- Nombre de méthodes requises pour réinitialiser le contrôle : les administrateurs peuvent continuer à modifier le nombre de méthodes d’authentification qui doivent être vérifiées avant qu’un utilisateur puisse effectuer une authentification unique.
- Stratégie d’administrateur SSPR : les administrateurs peuvent continuer à s’inscrire et à utiliser toutes les méthodes répertoriées sous la stratégie d’administrateur SSPR héritée ou les méthodes qu’ils sont autorisés à utiliser dans la stratégie Méthodes d’authentification.
À l’avenir, ces deux fonctionnalités seront intégrées à la stratégie Méthodes d’authentification.
Problèmes connus et limitations
- La possibilité de cibler des utilisateurs individuels a été supprimée dans les dernières mises à jour. Les utilisateurs précédemment ciblés restent dans la stratégie, mais nous vous recommandons de les déplacer vers un groupe ciblé.
- L’inscription des clés de sécurité FIDO2 peut échouer pour certains utilisateurs, si la stratégie de méthode d’authentification FIDO2 est ciblée pour un groupe et que la stratégie globale des méthodes d’authentification compte plus de 20 groupes configurés. Nous travaillons à l’augmentation de la taille limite de la stratégie et nous recommandons de limiter le nombre de cibles du groupe à 20 maximum entre temps.
Étapes suivantes
- Guide pratique pour migrer les paramètres de stratégie MFA et SSPR vers la stratégie Méthodes d’authentification
- Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
- Comment fonction l’authentification multifacteur Microsoft Entra
- API REST Microsoft Graph