Configurer les paramètres de l’authentification multifacteur Microsoft Entra

Pour personnaliser l’expérience de l’utilisateur final au niveau de l’authentification multifacteur Microsoft Entra, vous pouvez configurer des options pour les paramètres comme les seuils de verrouillage de compte ou les alertes et notifications de fraude.

Les paramètres d’authentification multifacteur Microsoft Entra suivants sont disponibles :

Fonctionnalité Description
Verrouillage de compte (serveur MFA uniquement) Verrouille temporairement des comptes pour empêcher l’utilisation de l’authentification multifacteur Microsoft Entra si un trop grand nombre de tentatives d'authentification successives sont refusées. Cette fonctionnalité s’applique uniquement aux utilisateurs qui utilisent un serveur MFA pour entrer un code PIN pour s’authentifier.
Blocage/déblocage des utilisateurs Empêche des utilisateurs spécifiques de recevoir des demandes d’authentification multifacteur Microsoft Entra. Toutes les tentatives d’authentification des utilisateurs bloqués sont automatiquement refusées. Les utilisateurs restent bloqués pendant 90 jours à partir de leur blocage ou jusqu’à ce qu’ils soient débloqués manuellement.
Alerte de fraude Configurez les paramètres qui permettent aux utilisateurs de signaler les demandes de vérification frauduleuses.
Signaler une activité suspecte Configurez les paramètres qui permettent aux utilisateurs de signaler les demandes de vérification frauduleuses.
Notifications Activez les notifications des événements provenant de MFA Server.
Jetons OATH Utilisé dans les environnements d’authentification multifacteur Microsoft Entra basés sur le cloud pour gérer les jetons OATH des utilisateurs.
Paramètres de l’appel téléphonique Configurez les paramètres liés aux appels téléphoniques et aux messages d’accueil pour les environnements cloud et locaux.
Fournisseurs Cette opération montre tous les fournisseurs d’authentification existants que vous avez associés à votre compte. L’ajout de nouveaux fournisseurs est désactivé depuis le 1er septembre 2018.

Microsoft Entra multifactor authentication settings

Verrouillage de compte (serveur MFA uniquement)

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Remarque

Le verrouillage de compte affecte uniquement les utilisateurs qui se connectent à l’aide du serveur MFA local.

Pour éviter les tentatives d’authentification multifacteur répétées dans le cadre d’une attaque, utilisez les paramètres de verrouillage de compte pour spécifier le nombre d’échecs de tentatives autorisé avant que le compte ne soit verrouillé pendant un certain temps. Les paramètres de verrouillage de compte sont appliqués uniquement quand un code PIN est entré pour l’invite d’authentification multifacteur (MFA) à l’aide du serveur MFA local.

Les options suivantes sont disponibles :

  • Nombre de refus MFA entraînant le déclenchement du verrouillage de compte
  • Nombre de minutes après lequel le nombre de verrouillages de compte est réinitialisé
  • Nombre de minutes avant que le compte soit déverrouillé automatiquement

Pour configurer les paramètres de verrouillage de compte, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Authentification multifacteur>Verrouillage du compte.

  3. Entrez les valeurs pour votre environnement, puis sélectionnez Enregistrer.

    Screenshot that shows the account lockout settings.

Bloquer et débloquer des utilisateurs

En cas de perte ou de vol de l’appareil d’un utilisateur, vous pouvez bloquer les tentatives d’authentification multifacteur Microsoft Entra pour le compte associé. Toutes les tentatives d’authentification multifacteur Microsoft Entra des utilisateurs bloqués sont automatiquement refusées. Les utilisateurs restent bloqués pendant 90 jours à partir du moment du blocage. Pour voir une vidéo qui explique comment procéder, consultez Bloquer et débloquer des utilisateurs dans votre locataire.

Bloquer un utilisateur

Pour bloquer un utilisateur, procédez comme suit.

Regardez une brève vidéo qui décrit ce processus.

  1. Accédez à Protection>Authentification multifacteur>Bloquer/débloquer des utilisateurs.
  2. Sélectionnez Ajouter pour bloquer un utilisateur.
  3. Entrez le nom d’utilisateur de l’utilisateur bloqué au format username@domain.com, puis entrez un commentaire dans la zone Raison.
  4. Sélectionnez OK pour bloquer l’utilisateur.

Débloquer un utilisateur

Pour débloquer un utilisateur, effectuez les étapes suivantes :

  1. Accédez à Protection>Authentification multifacteur>Bloquer/débloquer des utilisateurs.
  2. Dans la colonne Action à côté de l’utilisateur, sélectionnez Débloquer.
  3. Entrez un commentaire dans la zone Motif du déblocage.
  4. Sélectionnez OK pour débloquer l’utilisateur.

Alerte de fraude

La fonctionnalité d’alerte de fraude permet aux utilisateurs de signaler les tentatives frauduleuses d’accès à leurs ressources. Quand ils reçoivent une invite MFA inconnue et suspecte, les utilisateurs peuvent signaler la tentative de fraude via l’application Microsoft Authenticator ou par téléphone.

Microsoft recommande d’utiliser signaler des activités suspectes au lieu d’une alerte de fraude en raison de son intégration à Identity Protection pour la correction basée sur les risques, de meilleures fonctionnalités de création de rapports et d’administration à privilèges minimum.

Les options de configuration des alertes de fraude suivantes sont disponibles :

  • Bloquer automatiquement les utilisateurs qui signalent une fraude. Si un utilisateur signale une fraude, les tentatives d’authentification multifactorielle Azure AD pour le compte utilisateur sont bloquées pendant 90 jours ou jusqu’à ce qu’un administrateur débloque le compte. Un administrateur peut consulter les connexions à l’aide du rapport de connexion et prendre les mesures appropriées pour empêcher les fraudes futures. Un administrateur peut ensuite débloquer le compte de l’utilisateur.

  • Code pour signaler une fraude lors du message d’accueil initial. Quand les utilisateurs reçoivent un appel téléphonique pour effectuer l’authentification multifacteur, ils appuient normalement sur # pour confirmer leur connexion. Pour signaler une fraude, l’utilisateur doit saisir un code avant d’appuyer sur #. Ce code est 0 par défaut, mais vous pouvez le personnaliser. Si le blocage automatique est activé, une fois que l’utilisateur appuie sur 0# pour signaler la fraude, il doit appuyer sur 1 pour confirmer le blocage du compte.

    Remarque

    Le message d’accueil par défaut de Microsoft demande aux utilisateurs d’appuyer sur 0# pour envoyer une alerte de fraude. Si vous souhaitez utiliser un code autre que 0, enregistrez et chargez vos propres messages d’accueil vocaux personnalisés avec les instructions appropriées pour vos utilisateurs.

Pour activer et configurer les alertes de fraude, effectuez les étapes suivantes :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Protection>Authentification multifacteur>Alerte à la fraude.
  3. Définissez Autoriser les utilisateurs à envoyer des alertes de fraude sur la valeur Activé.
  4. Configurez le paramètre Bloquer automatiquement les utilisateurs qui signalent une fraude ou Code pour signaler une fraude lors du message d’accueil initial selon vos besoins.
  5. Sélectionnez Enregistrer.

Signaler une activité suspecte

Signaler une activité suspecte, la fonctionnalité MFA d’alerte à la fraude mise à jour, est désormais disponible. Quand ils reçoivent une invite MFA inconnue et suspecte, les utilisateurs peuvent signaler la tentative de fraude via Microsoft Authenticator ou par téléphone. Ces alertes sont intégrées à Identity Protection pour une couverture et des fonctionnalités plus complètes.

Les utilisateurs qui signalent une invite MFA comme suspecte sont définis sur Risque utilisateur élevé. Les administrateurs peuvent utiliser des stratégies basées sur les risques pour limiter l’accès de ces utilisateurs, ou activer la réinitialisation de mot de passe en libre-service (SSPR) pour que les utilisateurs corrigent eux-mêmes les problèmes. Si vous avez déjà utilisé la fonctionnalité de blocage automatique Alerte fraude et que vous ne disposez pas d’une licence Microsoft Entra ID P2 pour les stratégies basées sur les risques, vous pouvez utiliser des événements de détection des risques pour identifier et désactiver les utilisateurs concernés et empêcher automatiquement leur connexion. Pour plus d’informations sur l’utilisation de stratégies basées sur les risques, consultez Stratégies d’accès basées sur les risques.

Pour activer Signaler une activité suspecte à partir des paramètres des méthodes d’authentification :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Paramètres>des méthodes d’authentification> de protection.
  3. Définissez Signaler une activité suspecte sur Activé. La fonctionnalité reste désactivée si vous choisissez Managé par Microsoft. Pour plus d’informations sur les valeurs managées par Microsoft, consultez Protection des méthodes d’authentification dans Microsoft Entra ID.
  4. Sélectionnez Tous les utilisateurs ou un groupe spécifique.
  5. Sélectionnez un code de rapport.
  6. Cliquez sur Enregistrer.

Remarque

Si vous activez Signaler des activités suspectes et spécifiez une valeur de rapport vocal personnalisée alors que l’alerte de fraude est toujours activée pour le locataire en parallèle avec un numéro de rapport vocal personnalisé configuré, la valeur Signaler une activité suspecte est utilisée à la place de l’alerte de fraude.

Afficher les événements d’activités suspectes

Lorsqu’un utilisateur signale une invite MFA comme suspecte, l’événement s’affiche dans le rapport des connexions (en tant que connexion rejetée par l’utilisateur), dans les journaux d’audit et dans le rapport Détections de risques.

  • Pour afficher le rapport de détections de risques, sélectionnez Protection>Protection des identités>Détection des risques. L’événement à risque fait partie du rapport Détections des risques standard et s’affiche comme type de détection Activité suspecte signalée par l’utilisateur, niveau de risque élevé, et source utilisateur final signalé.

  • Pour afficher les rapports de fraudes dans le rapport de connexions, sélectionnez Identité>Surveillance et intégrité>Journaux de connexions>Détails de l’authentification. Le rapport sur les fraudes fait partie du rapport de connexions Microsoft Entra standard et apparaît dans Détails du résultat comme MFA refusé, Code fraude entré.

  • Pour consulter les rapports de fraudes dans des journaux d’audit, sélectionnez Identité>Surveillance et intégrité>Journal d’audit. Le rapport sur les fraudes s’affiche sous Type d’activité Fraude signalée : l’utilisateur ne peut pas utiliser la MFA ou Fraude signalée : aucune action entreprise selon les paramètres de niveau de locataire pour le rapport sur les fraudes.

Remarque

Un utilisateur n’est pas signalé comme étant à risque élevé s’il effectue une authentification sans mot de passe.

Gérer les événements d’activités suspectes

Une fois qu’un utilisateur a signalé une invite comme suspecte, le risque doit être examiné et corrigé avec Identity Protection.

Signaler une activité suspecte et une alerte de fraude

Signaler une activité suspecte et l’implémentation Alerte à la fraude héritée peuvent fonctionner en parallèle. Vous pouvez conserver la fonctionnalité Alerte à la fraude à l’échelle du locataire pendant que vous commencez à utiliser Signaler une activité suspecte avec un groupe de tests ciblé.

Si Alerte à la fraude est activé avec blocage automatique et que Signaler une activité suspecte est activé, l’utilisateur est ajouté à la liste de refus et défini comme « à haut risque » et « surveillé » pour toutes les autres stratégies configurées. Pour leur permettre de se connecter avec MFA, ces utilisateurs doivent être supprimés de la liste de refus et leurs risques doivent être corrigés.

Notifications

Vous pouvez configurer Microsoft Entra ID pour envoyer des notifications par e-mail quand les utilisateurs signalent des alertes de fraude. Ces notifications sont généralement envoyées aux administrateurs d’identité, car les informations d’identification du compte de l’utilisateur sont susceptibles d’être compromises. L’exemple suivant montre à quoi ressemble un e-mail de notification d’alerte de fraude :

Screenshot that shows a fraud alert notification email.

Pour configurer les notifications d’alerte de fraude :

  1. Accédez à Protection>Authentification multifacteur>Notifications.
  2. Entrez l’adresse e-mail à laquelle envoyer la notification.
  3. Pour supprimer une adresse e-mail existante, sélectionnez ... à côté de l’adresse e-mail, puis sélectionnez Supprimer.
  4. Sélectionnez Enregistrer.

Jetons OATH

Microsoft Entra ID prend en charge l’utilisation de jetons OATH-TOTP SHA-1 qui actualisent les codes toutes les 30 ou 60 secondes. Vous pouvez acheter ces jetons auprès du fournisseur de votre choix.

Les jetons matériels OATH TOTP sont généralement fournis avec une clé secrète, ou valeur initiale, préprogrammée dans le jeton. Vous devez entrer ces clés dans Microsoft Entra ID comme décrit dans les étapes suivantes. Les clés secrètes sont limitées à 128 caractères. Cette limite peut ne pas être compatible avec tous les jetons. La clé secrète peut contenir uniquement les caractères a-z ou A-Z et les chiffres 1-7. Elle doit être encodée en Base32.

Vous pouvez également configurer des jetons matériels OATH TOTP programmables qui peuvent être réamorcés avec Microsoft Entra ID dans le processus d’installation des jetons logiciels.

Les jetons matériels OATH sont pris en charge dans le cadre d’une préversion publique. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Screenshot that shows the OATH tokens section.

Après avoir acquis des jetons, vous devez les charger dans un format de fichier de valeurs séparées par des virgules (CSV). Incluez l’UPN, le numéro de série, la clé secrète, l’intervalle de temps, le fabricant et le modèle, comme dans cet exemple :

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Remarque

Veillez à inclure la ligne d’en-tête dans votre fichier CSV.

Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur général, accédez à Protection>Authentification multifacteur>Jetons OATH, puis chargez le fichier CSV.

L’opération peut durer plusieurs minutes selon la taille du fichier CSV. Sélectionnez Actualiser pour afficher l’état. Si le fichier contient des erreurs, vous pouvez télécharger un fichier CSV qui les répertorie. Les noms de champs dans le fichier CSV téléchargé sont différents de ceux de la version chargée.

Une fois que les erreurs éventuelles ont été résolues, l’administrateur peut activer chaque clé en sélectionnant Activer pour le jeton et en entrant le mot de passe OTP affiché sur le jeton.

Les utilisateurs peuvent combiner jusqu’à cinq jetons matériels OATH ou applications d’authentification, comme l’application Microsoft Authenticator, configurées pour une utilisation à tout moment.

Important

Veillez à n'attribuer chaque jeton qu'à un seul utilisateur. À l’avenir, la prise en charge de l’attribution d’un seul jeton à plusieurs utilisateurs s’arrêtera pour éviter un risque de sécurité.

Paramètres de l’appel téléphonique

Si les utilisateurs reçoivent des appels téléphoniques pour les invites MFA, vous pouvez configurer leur expérience, comme l’ID d’appelant ou le message d’accueil vocal qu’ils entendent.

Aux États-Unis, si vous n’avez pas configuré l’ID de l’appelant de l’authentification multifacteur (MFA), les appels vocaux de Microsoft proviennent des numéros ci-dessous. Les utilisations avec des filtres anti-spam doivent exclure ces numéros.

Numéro par défaut : +1 (855) 330-8653

Le tableau suivant répertorie d’autres numéros pour différents pays.

Pays/région Numéro(s)
Autriche +43 6703062076
Bangladesh +880 9604606026
Croatie +385 15507766
Équateur +593 964256042
Estonie +372 6712726
France +33 744081468
Ghana +233 308250245
Grèce +30 2119902739
Guatemala +502 23055056
Hong Kong (R.A.S.) +852 25716964
Inde +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordanie +962 797639442
Kenya +254 709605276
Pays-Bas +31 202490048
Nigéria +234 7080627886
Pakistan +92 4232618686
Pologne +48 699740036
Arabie saoudite +966 115122726
Afrique du Sud +27 872405062
Espagne +34 913305144
Sri Lanka +94 117750440
Suède +46 701924176
Taïwan +886 277515260
Türkiye +90 8505404893
Ukraine +380 443332393
Émirats Arabes Unis +971 44015046
Vietnam +84 2039990161

Remarque

Lorsque des appels d’authentification multifacteur Microsoft Entra sont passés sur le réseau téléphonique public, ils sont parfois acheminés par le biais d’un opérateur qui ne prend pas en charge les ID d’appelant. C’est la raison pour laquelle les ID d’appelant ne sont pas garantis, même si l’authentification multifacteur Microsoft Entra les envoie toujours. Cela s’applique à la fois aux appels téléphoniques et aux SMS fournis par l’authentification multifacteur Microsoft Entra. Si vous devez confirmer qu'un SMS provient d’une authentification multifacteur Microsoft Entra, consultez Quels sont les codes courts utilisés pour envoyer des SMS ?.

Pour configurer votre propre numéro d’ID d’appelant, effectuez les étapes suivantes :

  1. Accédez à Protection>Authentification multifacteur>Paramètres des appels téléphoniques.
  2. Définissez le Numéro d’ID de l’appelant MFA sur le numéro qui doit s’afficher sur le téléphone des utilisateurs. Seuls les numéros basés aux États-Unis sont autorisés.
  3. Sélectionnez Enregistrer.

Remarque

Lorsque des appels d’authentification multifacteur Microsoft Entra sont passés sur le réseau téléphonique public, ils sont parfois acheminés par le biais d’un opérateur qui ne prend pas en charge les ID d’appelant. C’est la raison pour laquelle les ID d’appelant ne sont pas garantis, même si l’authentification multifacteur Microsoft Entra les envoie toujours. Cela s’applique à la fois aux appels téléphoniques et aux SMS fournis par l’authentification multifacteur Microsoft Entra. Si vous devez confirmer qu'un SMS provient d’une authentification multifacteur Microsoft Entra, consultez Quels sont les codes courts utilisés pour envoyer des SMS ?.

Messages vocaux personnalisés

Vous pouvez utiliser vos propres enregistrements ou messages d’accueil pour l’authentification multifacteur Microsoft Entra. Ces messages peuvent servir à compléter ou à remplacer les enregistrements Microsoft par défaut.

Avant de commencer, tenez compte des restrictions suivantes :

  • Les formats de fichiers pris en charge sont .wav et .mp3.
  • La taille limite des fichiers est de 1 Mo.
  • Les messages d’authentification doivent durer moins de 20 secondes. Les messages de plus de 20 secondes peuvent faire échouer la vérification. Si l’utilisateur ne répond pas avant la fin du message, la vérification expire.

Comportement lié à la langue du message personnalisé

Quand un message vocal personnalisé est lu à l’utilisateur, la langue du message dépend des facteurs suivants :

  • Langue de l’utilisateur.
    • La langue détectée par le navigateur de l’utilisateur.
    • D’autres scénarios d’authentification peuvent se comporter différemment.
  • La langue des messages personnalisés disponibles.
    • Cette langue est choisie par l’administrateur quand un message personnalisé est ajouté.

Par exemple, s’il n’existe qu’un seul message personnalisé et qu’il est en allemand :

  • Un utilisateur qui s’authentifie en allemand entend le message allemand personnalisé.
  • Un utilisateur qui s’authentifie en anglais entend le message anglais standard.

Valeurs par défaut des messages vocaux personnalisés

Vous pouvez utiliser les exemples de scripts ci-dessous pour créer vos propres messages personnalisés. Ces textes de script sont utilisés par défaut si vous ne configurez pas vos propres messages personnalisés.

Nom du message Script
Authentification réussie Votre connexion a bien été vérifiée. Au revoir.
Invite à entrer une extension Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour continuer.
Confirmation de fraude Une alerte de fraude a été envoyée. Pour débloquer votre compte, veuillez contacter le support informatique de votre société.
Message d’accueil en cas de fraude (standard) Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification. Si vous n’êtes pas à l’origine de cette vérification, quelqu’un tente peut-être d’accéder à votre compte. Veuillez appuyer sur zéro puis sur dièse pour envoyer une alerte de fraude. Cela avertira l’équipe informatique de votre entreprise et bloquera les autres tentatives de vérification.
Fraude signalée Une alerte de fraude a été envoyée. Pour débloquer votre compte, veuillez contacter le support informatique de votre société.
Activation Merci d’utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification.
Nouvelle tentative d'authentification refusée Vérification refusée.
Nouvelle tentative (standard) Merci d’utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification.
Message d’accueil (standard) Merci d’utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification.
Message d'accueil (PIN) Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Veuillez entrer votre code PIN suivi de la clé dièse pour terminer votre vérification.
Message d'accueil en cas de fraude (PIN) Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Veuillez entrer votre code PIN suivi de la clé dièse pour terminer votre vérification. Si vous n’êtes pas à l’origine de cette vérification, quelqu’un tente peut-être d’accéder à votre compte. Veuillez appuyer sur zéro puis sur dièse pour envoyer une alerte de fraude. Cela avertira l’équipe informatique de votre entreprise et bloquera les autres tentatives de vérification.
Nouvelle tentative (PIN) Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Veuillez entrer votre code PIN suivi de la clé dièse pour terminer votre vérification.
Invite à entrer une extension après les chiffres Si vous utilisez déjà cette extension, appuyez sur la touche dièse pour continuer.
Authentification refusée Désolé, nous ne pouvons pas vous connecter pour le moment. Veuillez réessayer plus tard.
Message d’accueil lors de l’activation (standard) Merci d’utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification.
Nouvelle tentative d’activation (standard) Merci d’utiliser le système de vérification de connexion de Microsoft. Appuyez sur la touche dièse pour terminer la vérification.
Message d'accueil lors de l'activation (PIN) Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Veuillez entrer votre code PIN suivi de la clé dièse pour terminer votre vérification.
Invite à entrer une extension avant les chiffres Merci d'avoir choisi d'utiliser le système de vérification de connexion de Microsoft. Veuillez transférer cet appel vers l’extension <extension>.

Configurer un message personnalisé

Pour utiliser vos propres messages personnalisés, effectuez les étapes suivantes :

  1. Accédez à Protection>Authentification multifacteur>Paramètres des appels téléphoniques.
  2. Sélectionnez Ajouter un message d’accueil.
  3. Choisissez un type de message d’accueil, par exemple Message d’accueil (standard) ou Authentification réussie.
  4. Sélectionnez la langue. Consultez la section précédente sur le comportement lié à la langue du message personnalisé.
  5. Recherchez et sélectionnez un fichier audio .mp3 ou .wav à charger.
  6. Sélectionnez Ajouter puis Enregistrer.

Paramètres du service MFA

Les paramètres pour les mots de passe d’application, les adresses IP approuvées, les options de vérification et la mémorisation de l’authentification multifacteur sur les appareils approuvés sont disponibles dans les paramètres de service. Il s’agit d’un portail hérité.

Vous pouvez accéder aux paramètres du service à partir du centre d'administration Microsoft Entra en accédant à Protection>Authentification multifacteur>Mise en route>Configurer>des paramètres MFA supplémentaires basés sur le cloud. Une fenêtre ou un onglet s’ouvre avec des options supplémentaires pour les paramètres de service.

Adresses IP approuvées

La fonctionnalité Adresses IP approuvées de l’authentification multifacteur Microsoft Entra contourne les invites d’authentification multifacteur pour les utilisateurs qui se connectent à partir d’une plage d’adresses IP définie. Vous pouvez définir des plages d’adresses IP approuvées pour vos environnements locaux. Quand les utilisateurs se trouvent à l’un de ces emplacements, ils ne reçoivent aucune invite d’authentification multifacteur Microsoft Entra. La fonctionnalité Adresses IP approuvées nécessite l’édition Microsoft Entra ID P1.

Remarque

Les adresses IP approuvées peuvent inclure des plages d’adresses IP privées uniquement si vous utilisez le serveur MFA. Pour l’authentification multifacteur Microsoft Entra basée sur le cloud, vous pouvez uniquement utiliser des plages d’adresses IP publiques.

Les plages d’adresses IPv6 sont uniquement prises en charge dans l’interface Emplacements nommés (préversion).

Si votre organisation utilise l’extension de serveur NPS pour fournir l’authentification multifacteur (MFA) aux applications locales, l’adresse IP source apparaît toujours comme étant le serveur NPS utilisé pour la tentative d’authentification.

Type de locataire Microsoft Entra Options de la fonctionnalité Adresses IP approuvées
Gérée Plage d’adresses IP spécifiques : Les administrateurs spécifient une plage d’adresses IP pouvant contourner les authentifications multifacteurs pour les utilisateurs qui se connectent à partir de l’intranet de l’entreprise. Un maximum de 50 plages d’adresses IP approuvées peuvent être configurées.
Adresses IP fédérées Tous les utilisateurs fédérés : Tous les utilisateurs fédérés qui se connectent au sein de l’organisation peuvent contourner les authentifications multifacteurs. Les utilisateurs contournent les vérifications à l’aide d’une revendication émise par les services de fédération Active Directory (AD FS).
Plage d’adresses IP spécifiques : Les administrateurs spécifient une plage d’adresses IP pouvant contourner l’authentification multifacteur pour les utilisateurs qui se connectent à partir de l’intranet de l’entreprise.

Le contournement de la vérification des adresses IP approuvées fonctionne uniquement au sein de l’intranet de l’entreprise. Si vous sélectionnez l’option Tous les utilisateurs fédérés et qu’un utilisateur se connecte en dehors de l’intranet de l’entreprise, celui-ci doit utiliser l’authentification multifacteur. Le processus est le même, même si l’utilisateur présente une revendication AD FS.

Remarque

Si des stratégies d’accès conditionnel et d’authentification multifacteur (MFA) par utilisateur sont configurées dans le tenant (locataire), vous devez ajouter des adresses IP approuvées à la stratégie d’accès conditionnel et mettre à jour les paramètres du service MFA.

Expérience utilisateur au sein du réseau d’entreprise

Quand la fonctionnalité Adresses IP approuvées est désactivée, l’authentification multifacteur est obligatoire pour les flux de navigateur. Les mots de passe d’application sont requis pour les anciennes applications client riche.

Avec des adresses IP approuvées, l’authentification multifacteur n’est pas obligatoire pour les flux de navigateur. Les mots de passe d’application ne sont pas obligatoires pour les anciennes applications client riche si l’utilisateur n’a pas créé de mot de passe d’application. Si un mot de passe d’application est utilisé, il est obligatoire.

Expérience utilisateur en dehors du réseau d’entreprise

Avec ou sans adresses IP approuvées, l’authentification multifacteur est obligatoire pour les flux de navigateur. Les mots de passe d’application sont requis pour les anciennes applications client riche.

Activer les emplacements nommés à l’aide de l’accès conditionnel

Vous pouvez utiliser les règles d’accès conditionnel pour définir des emplacements nommés en procédant comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel>Emplacement nommé.
  3. Sélectionnez Nouvel emplacement.
  4. Entrez le nom de l’emplacement.
  5. Sélectionnez Marquer comme emplacement approuvé.
  6. Entrez la plage d’adresses IP pour votre environnement en notation CIDR. Par exemple 40.77.182.32/27.
  7. Sélectionnez Créer.

Activer la fonctionnalité Adresses IP approuvées à l’aide de l’accès conditionnel

Pour activer les adresses IP approuvées à l’aide de stratégies d’accès conditionnel, procédez comme suit :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel>Emplacement nommé.

  3. Sélectionnez Configurer des adresses IP approuvées MFA.

  4. Dans la page Paramètres de service, sous Adresses IP approuvées, choisissez l’une de ces options :

    • Pour les requêtes issues d’utilisateurs fédérés provenant de mon intranet : pour choisir cette option, cochez la case. Tous les utilisateurs fédérés qui se connectent à partir du réseau d’entreprise contournent les authentifications multifacteurs en utilisant une revendication émise par AD FS. Vérifiez qu’AD FS possède une règle pour ajouter la revendication de l’intranet au trafic approprié. Si la règle n’existe pas, créez la règle suivante dans AD FS :

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Remarque

      L’option Ignorer l’authentification multifacteur pour les demandes des utilisateurs fédérés sur mon intranet affecte l’évaluation de l’accès conditionnel pour les emplacements. Toute requête avec la revendication insidecorporatenetwork serait traitée comme provenant d’un emplacement approuvé si cette option est sélectionnée.

    • Pour les requêtes provenant d’une plage spécifique d’adresses IP : pour choisir cette option, saisissez les adresses IP dans la zone de texte en notation CIDR.

      • Pour les adresses IP qui se trouvent entre xxx.xxx.xxx.1 et xxx.xxx.xxx.254, utilisez la notation xxx.xxx.xxx.0/24.
      • Pour une adresse IP unique, utilisez une notation de type xxx.xxx.xxx.xxx/32.
      • Vous pouvez saisir jusqu’à 50 plages d’adresses IP. Les utilisateurs qui se connectent à partir de ces adresses IP contournent les authentifications multifacteurs.
  5. Cliquez sur Enregistrer.

Activer la fonctionnalité Adresses IP approuvées à l’aide des paramètres de service

Si vous ne souhaitez pas utiliser de stratégies d’accès conditionnel pour activer les adresses IP approuvées, vous pouvez configurer les paramètres de service pour l’authentification multifacteur Microsoft Entra en suivant ces étapes :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez aux paramètres du service>d'authentification multifacteur>de protection.

  3. Sur la page Paramètres du service, sous Adresses IP approuvées, choisissez l'une ou les deux options suivantes :

    • Pour les requêtes issues d’utilisateurs fédérés sur mon intranet : pour choisir cette option, cochez la case. Tous les utilisateurs fédérés qui se connectent à partir du réseau d’entreprise contournent l’authentification multifacteur en utilisant une revendication émise par AD FS. Vérifiez qu’AD FS possède une règle pour ajouter la revendication de l’intranet au trafic approprié. Si la règle n’existe pas, créez la règle suivante dans AD FS :

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Pour les requêtes provenant d’une plage d’adresses IP spécifique : pour choisir cette option, entrez les adresses IP dans la zone de texte en notation CIDR.

      • Pour les adresses IP qui se trouvent entre xxx.xxx.xxx.1 et xxx.xxx.xxx.254, utilisez la notation xxx.xxx.xxx.0/24.
      • Pour une adresse IP unique, utilisez une notation de type xxx.xxx.xxx.xxx/32.
      • Vous pouvez saisir jusqu’à 50 plages d’adresses IP. Les utilisateurs qui se connectent à partir de ces adresses IP contournent les authentifications multifacteurs.
  4. Cliquez sur Enregistrer.

Méthodes de vérification

Vous pouvez choisir les méthodes de vérification mises à la disposition des utilisateurs dans le portail des paramètres de service. Quand vos utilisateurs inscrivent leurs comptes pour l’authentification multifacteur Microsoft Entra, ils choisissent leur méthode de vérification préférée parmi les options que vous avez activées. Vous trouverez de l’aide sur le processus d’inscription des utilisateurs dans Configurer mon compte pour l’authentification multifacteur.

Les méthodes de vérification disponibles sont les suivantes :

Méthode Description
Appel vers le téléphone Passe un appel vocal automatisé. L’utilisateur décroche et appuie sur la touche # du téléphone pour s’authentifier. Ce numéro de téléphone n’est pas synchronisé avec Active Directory en local.
Message texte vers le téléphone Envoie un message texte contenant un code de vérification. L’utilisateur est invité à entrer le code de vérification dans l’interface de connexion. On parle alors « SMS unidirectionnel ». Ce terme signifie que l’utilisateur doit renvoyer par SMS dans un code spécifique. Le SMS bidirectionnel est déconseillé et ne sera plus pris en charge après le 14 novembre 2018. Les administrateurs doivent activer une autre méthode pour les utilisateurs qui utilisaient précédemment des SMS bidirectionnels.
Notification via une application mobile Envoie une notification Push sur le téléphone de l’utilisateur ou sur l’appareil inscrit. L’utilisateur consulte la notification et sélectionne Vérifier pour terminer la vérification. L’application Microsoft Authenticator est disponible pour Windows Phone, Android et iOS.
Code de vérification provenant d’une application mobile ou d’un jeton matériel L’application Microsoft Authenticator génère un nouveau code de vérification OATH toutes les 30 secondes. L’utilisateur entre ce code de vérification dans l’interface de connexion. L’application Microsoft Authenticator est disponible pour Windows Phone, Android et iOS.

Pour plus d’informations, consultez Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?.

Activer et désactiver des méthodes de vérification

Pour activer ou désactiver les méthodes de vérification, effectuez les étapes suivantes :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Identité>Utilisateurs.
  3. Sélectionnez MFA par utilisateur.
  4. Sous Authentification multifacteur en haut de la page, sélectionnez Paramètres du service.
  5. Sur la page Paramètres du service, sous Options de vérification, cochez ou décochez les cases appropriées.
  6. Sélectionnez Enregistrer.

Mémoriser l’authentification multifacteur

La fonctionnalité Mémoriser l’authentification multifacteur permet aux utilisateurs de contourner les vérifications suivantes pendant un nombre spécifié de jours après une connexion réussie à un appareil via l’authentification multifacteur. Pour améliorer la convivialité et réduire le nombre de fois qu’un utilisateur doit effectuer une authentification multifacteur (MFA) sur un appareil donné, sélectionnez une durée de 90 jours ou plus.

Important

Si un appareil ou un compte est compromis, la mémorisation MFA des appareils de confiance est susceptible d’affecter la sécurité. En cas de violation d’un compte d’entreprise ou de perte/vol d’un appareil fiable, vous devez révoquer les sessions MFA.

L’action de révocation révoque le statut approuvé de tous les appareils et oblige l’utilisateur à procéder de nouveau à l’authentification multifacteur. Vous pouvez également demander aux utilisateurs de restaurer l’état MFA d’origine sur leurs propres appareils, comme cela est indiqué dans Gérer vos paramètres pour l’authentification multifacteur.

Fonctionnement de la fonctionnalité

La fonctionnalité Mémoriser l’authentification multifacteur définit un cookie persistant sur le navigateur lorsqu’un utilisateur sélectionne l’option Ne plus me demander pendant X jours lorsqu’il se connecte. L’utilisateur ne reçoit plus d’invite MFA sur ce navigateur tant que le cookie n’est pas arrivé à expiration. Si l’utilisateur ouvre un autre navigateur sur le même appareil ou s’il efface les cookies, il reçoit de nouveau l’invite de vérification.

L’option Ne plus me demander pendant X jours ne s’affiche pas dans les applications sans navigateur, qu’elles prennent en charge l’authentification moderne ou non. Ces applications utilisent des jetons d’actualisation qui fournissent de nouveaux jetons d’accès toutes les heures. Quand un jeton d’actualisation est validé, Microsoft Entra ID vérifie que la dernière authentification multifacteur est intervenue dans le nombre spécifié de jours.

La fonctionnalité réduit le nombre d’authentifications sur les applications web, qui interviennent normalement à chaque fois. La fonctionnalité peut augmenter le nombre d’authentifications pour les clients d’authentification modernes qui, normalement, reçoivent une invite tous les 180 jours, si une durée inférieure est configurée. Elle peut également augmenter le nombre d’authentifications quand elle est combinée avec des stratégies d’accès conditionnel.

Important

La fonctionnalité Mémoriser l’authentification multifacteur n’est pas compatible avec la fonctionnalité Maintenir la connexion d’AD FS, quand les utilisateurs procèdent à l’authentification multifacteur pour AD FS via le serveur MFA ou via une solution d’authentification multifacteur tierce.

Si votre utilisateur sélectionne Maintenir la connexion dans AD FS et marque son appareil comme approuvé pour MFA, il n’est pas vérifié automatiquement à l’issue du délai en jours spécifiés dans Mémoriser l’authentification multifacteur. Microsoft Entra ID demande une nouvelle authentification multifacteur, mais AD FS retourne un jeton avec la revendication MFA et la date associée d’origine, au lieu d’effectuer de nouveau l’authentification multifacteur. Cette réaction déclenche une boucle de vérification entre Microsoft Entra ID et AD FS.

La fonctionnalité Mémoriser l’authentification multifacteur n’est pas compatible avec les utilisateurs B2B. Elle n’est pas visible pour les utilisateurs B2B quand ils se connectent aux locataires invités.

La fonctionnalité Mémoriser l’authentification multifacteur n’est pas compatible avec le contrôle d’accès conditionnel de fréquence de connexion. Pour plus d’informations, consultez Configurer la gestion de session d’authentification avec l’accès conditionnel.

Activer Mémoriser l’authentification multifacteur

Pour activer et configurer l’option permettant aux utilisateurs de mémoriser l’état MFA et de contourner les invites, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Identité>Utilisateurs.
  3. Sélectionnez MFA par utilisateur.
  4. Sous Authentification multifacteur en haut de la page, sélectionnez Paramètres du service.
  5. Dans la page Paramètres du service, sous Mémoriser l’authentification multifacteur, sélectionnez Autoriser les utilisateurs à mémoriser l’authentification multifacteur sur des appareils de confiance.
  6. Définissez le nombre de jours pendant lesquels les appareils approuvés peuvent contourner les authentifications multifacteurs. Pour une expérience utilisateur optimale, étendez la durée à 90 jours ou plus.
  7. Sélectionnez Enregistrer.

Marquer un appareil en tant qu’appareil de confiance

Après avoir activé la fonctionnalité Mémoriser l’authentification multifacteur, les utilisateurs peuvent marquer un appareil comme approuvé quand ils se connectent, en sélectionnant Ne plus me demander.

Étapes suivantes

Pour en savoir plus, consultez Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?