Prise en main du serveur Azure Multi-Factor Authentication

Cette page vous indique comment installer le serveur et le configurer avec votre Active Directory local. Si le serveur MFA est déjà installé et que vous souhaitez effectuer une mise à niveau, voir Mise à niveau vers le serveur Azure Multi-Factor Authentication le plus récent. Pour plus d’informations sur l’installation du service web, voir Déploiement du service web de l’application mobile pour le serveur Azure Multi-Factor Authentication.

Important

En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À partir du 30 septembre 2024, les déploiements du serveur Azure Multi-Factor Authentication ne traiteront plus les requêtes d’authentification multifacteur, ce qui risque d’entraîner l’échec des authentifications pour votre organisation. Pour garantir la continuité des services d’authentification et rester dans un état pris en charge, les organisations doivent migrer les données d’authentification de leurs utilisateurs vers le service d’authentification Microsoft Entra basé sur le cloud en utilisant la version de l’utilitaire de migration la plus récente, fournie avec la mise à jour du serveur Azure Multi-Factor Authentication la plus récente. Pour plus d’informations, consultez Migration du serveur Microsoft Azure Multi-Factor Authentication.

Pour démarrer avec MFA sur le cloud, consultez Tutoriel : Sécuriser les événements de connexion des utilisateurs avec l'authentification multi-facteur Azure.

Planifier votre déploiement

Avant de télécharger le serveur Microsoft Azure Multi-Factor Authentication, pensez à vos exigences en termes de charge et de haute disponibilité. Prenez en compte ces informations pour décider de quelle manière et à quel endroit effectuer le déploiement.

Le nombre d’utilisateurs que vous souhaitez authentifier régulièrement est une bonne indication de la quantité de mémoire dont vous avez besoin.

Utilisateurs	RAM
1-10,000	4 Go
10,001-50,000	8 Go
50,001-100,000	12 Go
100,000-200,001	16 Go
200,001+	32 Go

Vous devez configurer plusieurs serveurs pour l’équilibrage de charge ou la haute disponibilité ? Il existe de nombreuses façons de définir cette configuration avec le serveur Azure Multi-Factor Authentication. Lorsque vous installez votre premier serveur Azure Multi-Factor Authentication, celui-ci devient le serveur maître. Les autres serveurs deviennent ses subordonnés et synchronisent automatiquement les utilisateurs et la configuration avec le serveur maître. Par la suite, vous pouvez configurer un serveur principal et conserver le reste des serveurs en tant que serveurs de sauvegarde. Vous pouvez aussi configurer l’équilibrage de charge parmi l’ensemble des serveurs.

Lorsqu’un serveur Azure Multi-Factor Authentication maître est hors connexion, les serveurs subordonnés peuvent continuer à traiter les requêtes de vérification en deux étapes. Toutefois, vous ne pouvez pas ajouter de nouveaux utilisateurs. Quant aux utilisateurs existants, ils ne peuvent mettre à jour leurs paramètres que lorsqu’un serveur maître est à nouveau en ligne ou qu’un serveur subordonné est promu.

Préparation de votre environnement

Assurez-vous que le serveur que vous utilisez pour l’authentification multifacteur Azure répond aux exigences suivantes.

Configuration requise du serveur Azure Multi-Factor Authentication	Description
Matériel	200 Mo d’espace disque Processeur compatible x32 ou x64 1 Go de RAM ou plus
Logiciel	Serveur Windows 20221 Serveur Windows 20191 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008/R2 (avec ESU uniquement) Windows 10 Windows 8.1, toutes les éditions Windows 8, toutes les éditions Windows 7, toutes les éditions (avec ESU uniquement) Microsoft .NET 4.0 Framework IIS 7.0 ou version ultérieure si vous installez le kit de développement logiciel du portail de l’utilisateur ou du service web
Autorisations	Compte d’administrateur de domaine ou d’administrateur d’entreprise pour l’inscription auprès d’Active Directory

¹Si le serveur Azure Multi-Factor Authentication ne parvient pas à s’activer sur une machine virtuelle Azure qui exécute Windows Server 2019 ou version ultérieure, essayez d’utiliser une version antérieure de Windows Server.

Composants du serveur Azure Multi-Factor Authentication

Trois composants web constituent le serveur Azure Multi-Factor Authentication :

• Web Service SDK – Permet la communication avec les autres composants et est installé sur le serveur d'applications d'authentification multifacteur Microsoft Entra
• Portail utilisateur : un site Web IIS qui permet aux utilisateurs de s'inscrire à l'authentification multifacteur Azure et de gérer leurs comptes.
• Service Web de l’application mobile : il permet l’utilisation d’une application mobile comme l’application Microsoft Authenticator, pour une vérification en deux étapes.

Ces trois composants peuvent être installés sur le même serveur s’il est accessible sur Internet. En cas de séparation des composants, le SDK du service Web est installé sur le serveur d'applications d'authentification multifacteur Microsoft Entra et le portail utilisateur et le service Web de l'application mobile sont installés sur un serveur accessible sur Internet.

Configuration requise du serveur Azure Multi-Factor Authentication

Chaque serveur MFA doit pouvoir communiquer sur les éléments sortants du port 443, vers les adresses suivantes :

• https://pfd.phonefactor.net
• https://pfd2.phonefactor.net
• https://css.phonefactor.net

Si les pare-feu sortants sont limités sur le port 443, ouvrez les plages d'adresses IP suivantes :

Sous-réseau IP	Masque réseau	Plage d’adresses IP
134.170.116.0/25	255.255.255.128	134.170.116.1 – 134.170.116.126
134.170.165.0/25	255.255.255.128	134.170.165.1 – 134.170.165.126
70.37.154.128/25	255.255.255.128	70.37.154.129 – 70.37.154.254
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Si vous n’utilisez pas la fonctionnalité de confirmation d’événement et que les utilisateurs ne se servent pas d’applications mobiles pour effectuer des vérifications à partir des appareils sur le réseau de l’entreprise, vous avez uniquement besoin des plages suivantes :

Sous-réseau IP	Masque réseau	Plage d’adresses IP
134.170.116.72/29	255.255.255.248	134.170.116.72 – 134.170.116.79
134.170.165.72/29	255.255.255.248	134.170.165.72 – 134.170.165.79
70.37.154.200/29	255.255.255.248	70.37.154.201 – 70.37.154.206
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Télécharger le serveur MFA

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour télécharger le serveur Azure Multi-Factor Authentication, suivez ces étapes :

Important

En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À partir du 30 septembre 2024, les déploiements du serveur Azure Multi-Factor Authentication ne traiteront plus les requêtes d’authentification multifacteur, ce qui risque d’entraîner l’échec des authentifications pour votre organisation. Pour garantir la continuité des services d’authentification et rester dans un état pris en charge, les organisations doivent migrer les données d’authentification de leurs utilisateurs vers le service d’authentification Microsoft Entra basé sur le cloud en utilisant la version de l’utilitaire de migration la plus récente, fournie avec la mise à jour du serveur Azure Multi-Factor Authentication la plus récente. Pour plus d’informations, consultez Migration du serveur Microsoft Azure Multi-Factor Authentication.

Pour démarrer avec MFA sur le cloud, consultez Tutoriel : Sécuriser les événements de connexion des utilisateurs avec l'authentification multi-facteur Azure.

Les clients existants qui ont activé le serveur MFA avant le 1er juillet 2019 peuvent télécharger la dernière version, les futures mises à jour et générer des informations d’identification d’activation comme d’habitude. Les étapes suivantes fonctionnent uniquement si vous êtes un client du Serveur Azure MFA.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

2. Parcourez Protection>Authentification multifacteur>Paramètres du serveur.

3. Cliquez sur Télécharger et suivez les instructions de la page de téléchargement pour enregistrer le programme d’installation.

   

4. Ne fermez pas cette page, car nous y faisons mention après avoir exécuté le programme d’installation.

Installer et configurer le serveur MFA

Maintenant que vous avez téléchargé le serveur, vous pouvez l’installer et le configurer. Assurez-vous que le serveur que vous installez répond aux exigences regroupées sur la liste dans la section de planification.

1. Double-cliquez sur le fichier exécutable.
2. Sur l'écran Sélectionner le dossier d’installation, assurez-vous que le dossier est correct, puis cliquez sur Suivant. Les bibliothèques suivantes sont installées :
   • Visual C++ Redistributable pour Visual Studio 2017 (x64)
   • Visual C++ Redistributable pour Visual Studio 2017 (x86)
3. Une fois l’installation terminée, sélectionnez Terminer. L’Assistant de configuration démarre.
4. Revenez à la page à partir de laquelle vous avez téléchargé le serveur, puis cliquez sur le bouton Générer des informations d’identification d’activation. Copiez ces informations dans le serveur Azure Multi-Factor Authentication dans les champs fournis, puis cliquez sur Activer.

Remarque

Seuls des administrateurs généraux peuvent générer des informations d’identification d’activation dans le Centre d’administration Microsoft Entra.

Envoi d’un e-mail aux utilisateurs

Pour faciliter le lancement, autorisez le serveur MFA à communiquer avec vos utilisateurs. Le serveur MFA peut envoyer un e-mail les informant qu’ils ont été inscrits pour la vérification en deux étapes.

L’e-mail que vous envoyez doit être déterminé par la façon dont vous configurez vos utilisateurs pour la vérification en deux étapes. Par exemple, si vous pouvez importer les numéros de téléphone à partir du répertoire de l’entreprise, l’e-mail doit inclure les numéros de téléphone par défaut afin que les utilisateurs sachent à quoi s’attendre. Si vous ne pouvez pas importer les numéros de téléphone ou si les utilisateurs doivent recourir à l’application mobile, envoyez-leur un e-mail leur demandant d’effectuer l’inscription de leur compte. Incluez un lien hypertexte vers le portail utilisateur d’authentification multifacteur Azure dans l’e-mail.

Le contenu de l’e-mail varie en fonction de la méthode de vérification définie pour l'utilisateur (appel téléphonique, SMS ou application mobile). Par exemple, si l'utilisateur doit saisir un code confidentiel pour s'authentifier, l’e-mail lui indique le code confidentiel initial qui a été défini. Les utilisateurs doivent modifier leur code PIN lors de leur première vérification.

Configuration du courrier électronique et des modèles de courrier électronique

Cliquez sur l'icône de courrier électronique sur la gauche pour configurer les paramètres d'envoi de ces e-mails. Cette page vous permet de saisir les informations SMTP de votre serveur de messagerie et d’envoyer des e-mails, en cochant la case Envoyer des e-mails aux utilisateurs.

L'onglet Contenu des e-mails présente tous les modèles d’e-mail disponibles. Selon la façon dont les utilisateurs ont été configurés pour utiliser la vérification en deux étapes, vous pouvez choisir le modèle qui correspond le mieux à vos besoins.

Importation des utilisateurs à partir d'Active Directory

Maintenant que le serveur est installé, vous pouvez ajouter des utilisateurs. Vous pouvez les créer manuellement, importer des utilisateurs à partir d’Active Directory ou configurer la synchronisation automatique avec Active Directory.

Importation manuelle à partir d’Active Directory

1. Dans le serveur Azure Multi-Factor Authentication, à gauche, sélectionnez Utilisateurs.

2. En bas de la page, sélectionnez Importer à partir d’Active Directory.

3. Vous pouvez désormais rechercher des utilisateurs individuels ou bien le répertoire Active des unités d'organisation, composé lui-même d’utilisateurs. Dans ce cas, nous spécifions l'unité d'organisation des utilisateurs.

4. Mettez en surbrillance tous les utilisateurs mentionnés sur la droite, puis cliquez sur Importer. Vous devriez recevoir un message vous indiquant que l’opération a été réalisée avec succès. Fermez la fenêtre d'importation.

   

Synchronisation automatique avec Active Directory

1. Dans le serveur Azure Multi-Factor Authentication, à gauche, sélectionnez Intégration d’annuaire.
2. Accédez à l’onglet Synchronisation.
3. En bas, choisissez Ajouter
4. Dans la zone Ajouter objet à synchroniser qui s’affiche, choisissez le domaine, l’unité d’organisation ou le groupe de sécurité, les paramètres, la méthode et la langue par défaut de cette tâche de synchronisation, puis cliquez sur Ajouter.
5. Vérifiez la zone intitulée Activer la synchronisation avec Active Directory et choisissez un Intervalle de synchronisation compris entre une minute et 24 heures.

Comment le serveur Azure Multi-Factor Authentication gère les données utilisateur

Lorsque vous utilisez le serveur Multi-Factor Authentication localement, les données utilisateur sont stockées sur les serveurs locaux. Aucune donnée utilisateur persistante n'est stockée dans le cloud. Lorsque l'utilisateur effectue une vérification en deux étapes, le serveur MFA envoie des données au service cloud d'authentification multifacteur Microsoft Entra pour effectuer la vérification. Lorsque ces demandes d’authentification sont envoyées au service cloud, les champs suivants sont envoyés dans la demande et les journaux d’activité afin qu’ils soient disponibles dans les rapports d’utilisation/d’authentification du client. Certains champs étant facultatifs, ils peuvent être activés ou désactivés sur le serveur Multi-Factor Authentication. La communication du serveur MFA au service cloud MFA utilise SSL/TLS sur le port 443 sortant. Ces champs sont les suivants :

• ID unique : nom d'utilisateur ou ID du serveur MFA interne
• Prénom et nom (facultatif)
• Adresse de messagerie (facultatif)
• Numéro de téléphone : en cas d'authentification par appel vocal ou SMS
• Jeton du périphérique : en cas d'authentification par application mobile
• Mode d'authentification
• Résultat de l'authentification
• Nom du serveur MFA
• Adresse IP du serveur MFA
• Adresse IP du client (si disponible)

En plus des champs ci-dessus, le résultat de la vérification (réussite/échec) et le motif de refus sont également stockés avec les données d'authentification et disponibles dans les rapports d'utilisation/d'authentification.

Important

À partir de mars 2019, les options d’appel téléphonique ne seront plus disponibles pour les utilisateurs du serveur d’authentification multifacteur dans les locataires Microsoft Entra gratuits/d’essai. Cette modification n’affecte pas les messages SMS. Les appels téléphoniques continueront d’être disponibles pour les utilisateurs des locataires Microsoft Entra payants. Ce changement n’affecte que les locataires Microsoft Entra gratuits/d’essai.

Sauvegardez et restaurez le serveur Azure Multi-Factor Authentication

Être sûr de disposer d’une sauvegarde valide est une étape importante dans l’utilisation de n’importe quel système.

Pour sauvegarder le serveur Azure Multi-Factor Authentication, veillez à disposer d’une copie du dossier C:\Program Files\Multi-Factor Authentication Server\Data, avec le fichier PhoneFactor.pfdata.

Si une restauration est nécessaire, procédez comme suit :

1. Réinstallez le serveur Azure Multi-Factor Authentication sur un nouveau serveur.
2. Activez le nouveau serveur Azure Multi-Factor Authentication.
3. Arrêtez le service MultiFactorAuth.
4. Remplacez le fichier PhoneFactor.pfdata par la copie sauvegardée.
5. Démarrez le service MultiFactorAuth.

Le nouveau serveur est maintenant en place, avec les données d’utilisateur et de configuration d’origine que vous aviez sauvegardées.

Gestion des protocoles TLS/SSL et des suites de chiffrement

Une fois que vous avez installé la version 8.x ou ultérieure du serveur MFA ou que vous avez effectué une mise à niveau vers cette dernière, il est recommandé que les suites de chiffrement plus anciennes et plus faible soient désactivées ou supprimées, à moins qu’elles ne soient requises par votre organisation. Vous trouverez plus d’informations sur la manière d’effectuer cette tâche dans l’article Gestion des protocoles SSL/TLS et des suites de chiffrement pour AD FS

Étapes suivantes

• Installez et configurez le portail utilisateur pour une utilisation en libre-service.
• Installez et configurez le serveur Azure Multi-Factor Authentication avec Active Directory Federation Service, l’authentification RADIUS ou l’authentification LDAP.
• Installez et configurez la passerelle des services Bureau à distance et Azure Multi-Factor Authentication Server avec RADIUS.
• Déployez le service web de l’application mobile du serveur Azure Multi-Factor Authentication.
• Scénarios avancés avec l'authentification multifacteur Azure et les VPN tiers.