Préremplir les informations de contact relatives à l’authentification utilisateur pour la réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra
Pour permettre l’utilisation de la fonctionnalité SSPR (réinitialisation de mot de passe en libre-service) de Microsoft Entra, les informations relatives à l’authentification d’un utilisateur doivent être présentes. La plupart des organisations ont des utilisateurs qui inscrivent eux-mêmes leurs données d’authentification tout en collectant des informations pour l’authentification multifacteur. Certaines organisations préfèrent démarrer ce processus via la synchronisation des données d’authentification qui existent déjà dans Active Directory Domain Services (AD DS). Ces données synchronisées sont accessibles à Microsoft Entra ID et SSPR sans nécessiter d’interaction de l’utilisateur. Quand les utilisateurs doivent changer ou réinitialiser leur mot de passe, ils peuvent le faire même s’ils n’ont pas inscrit leurs informations de contact.
Vous pouvez préremplir les informations de contact relatives à l’authentification si vous respectez les exigences suivantes :
- Vous avez correctement préparé les données au format approprié dans votre annuaire local.
- Vous avez configuré Microsoft Entra Connect pour votre locataire Microsoft Entra.
Les numéros de téléphone doivent être au format +IndicatifTéléphoniqueInternational NuméroTéléphone, par exemple +1 4251234567.
Notes
Un espace est obligatoire entre l’indicatif téléphonique international et le numéro de téléphone.
La réinitialisation du mot de passe ne prend pas en charge les extensions de téléphone. Même au format +1 4251234567X12345, les extensions sont supprimées avant l’appel.
Champs renseignés
Si vous utilisez les paramètres par défaut dans Microsoft Entra Connect, les mappages suivants sont effectués afin que les informations de contact relatives à l’authentification soient renseignées pour SSPR :
| Active Directory local | Microsoft Entra ID |
|---|---|
| telephoneNumber | Téléphone de bureau |
| mobile | Téléphone mobile |
Une fois qu’un utilisateur confirme son numéro de téléphone mobile, le champ Téléphone situé sous Informations de contact d’authentification dans Microsoft Entra ID est également renseigné avec ce numéro.
Informations de contact d’authentification
Dans la page Méthodes d’authentification d’un utilisateur Microsoft Entra dans le Centre d’administration Microsoft Entra, un administrateur général peut définir manuellement les informations de contact d’authentification. Vous pouvez passer en revue les méthodes existantes sous la section Méthodes d’authentification utilisables ou Ajouter des méthodes d’authentification, comme indiqué dans la capture d’écran suivante :
Les considérations suivantes s’appliquent pour ces informations de contact relatives à l’authentification :
- Si le champ Téléphone est renseigné et si l’option Téléphone mobile est activée dans la stratégie SSPR, l’utilisateur voit ce numéro sur la page d’inscription de réinitialisation du mot de passe et lors du workflow de réinitialisation du mot de passe.
- Si le champ Adresse e-mail est renseigné et si l’option Adresse e-mail est activée dans la stratégie SSPR, l’utilisateur voit cette adresse e-mail sur la page d’inscription de réinitialisation du mot de passe et lors du workflow de réinitialisation du mot de passe.
Questions et réponses de sécurité
Les questions et les réponses de sécurité sont stockées de manière sécurisée dans votre locataire Microsoft Entra et sont uniquement accessibles aux utilisateurs par le biais de l’expérience d’inscription combinée My Security Info. Les administrateurs ne peuvent pas voir, définir ou modifier le contenu des questions et des réponses des autres utilisateurs.
Ce qu’il se passe lorsqu'un utilisateur s'inscrit
Lorsqu’un utilisateur s'inscrit, la page d’inscription définit les champs suivants :
- Téléphone d’authentification
- E-mail d’authentification
- Questions et réponses de sécurité
Si vous avez fourni une valeur pour Téléphone mobile ou Adresse e-mail de secours, les utilisateurs peuvent immédiatement s’en servir pour réinitialiser leur mot de passe, même s’ils ne se sont pas inscrits au service.
Les utilisateurs voient également ces valeurs quand ils s’inscrivent pour la première fois, et peuvent les modifier s’ils le souhaitent. Une fois l’inscription des utilisateurs correctement effectuée, ces valeurs sont conservées dans les champs Téléphone d’authentification et E-mail d’authentification, respectivement.
Définir et lire les données d’authentification par le biais de PowerShell
Vous pouvez définir les champs suivants par le biais de PowerShell :
- Adresse électronique secondaire
- Téléphone mobile
- Téléphone de bureau
- À définir uniquement en l’absence de synchronisation avec un annuaire local.
Vous pouvez utiliser Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID ou utiliser l’API REST Microsoft Graph pour gérer les méthodes d’authentification.
Utiliser Microsoft Graph PowerShell
Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell.
Pour effectuer une installation rapide à partir de versions récentes de PowerShell qui prennent en charge Install-Module, exécutez les commandes suivantes. La première ligne vérifie si le module est déjà installé :
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Une fois le module installé, suivez les étapes suivantes pour configurer chaque champ.
Définir les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Lire les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Étapes suivantes
Une fois les informations de contact relatives à l’authentification préremplies pour les utilisateurs, suivez le tutoriel ci-après pour activer la réinitialisation de mot de passe en libre-service :