Partager via

Gérer les méthodes d’authentification pour Microsoft Entra ID

  • Article

Microsoft Entra ID permet d’utiliser diverses méthodes d’authentification pour prendre en charge un large éventail de scénarios de connexion. Les administrateurs peuvent configurer spécifiquement chaque méthode pour atteindre leurs objectifs en matière d’expérience utilisateur et de sécurité. Cette rubrique explique comment gérer les méthodes d’authentification pour Microsoft Entra ID et comment les options de configuration affectent les scénarios de connexion utilisateur et de réinitialisation de mot de passe.

Stratégie des méthodes d’authentification

La stratégie Méthodes d’authentification constitue le moyen recommandé de gérer les méthodes d’authentification, y compris les méthodes modernes telles que l’authentification sans mot de passe. Les administrateurs de stratégie d’authentification peuvent modifier cette stratégie pour définir des méthodes d’authentification pour tous les utilisateurs ou propres à des groupes spécifiques.

Les méthodes activées dans la stratégie Méthodes d’authentification sont généralement utilisables partout dans Microsoft Entra ID, dans les scénarios d’authentification comme de réinitialisation de mot de passe. Seule exception, certaines méthodes sont intrinsèquement limitées à l’authentification (par exemple FIDO2 et Windows Hello Entreprise), d’autres à la réinitialisation de mot de passe (par exemple les questions de sécurité). Pour mieux contrôler les méthodes applicables dans un scénario d’authentification donné, vous pouvez utiliser la fonctionnalité Points forts de l’authentification.

La plupart des méthodes comportent également des paramètres de configuration permettant un contrôle plus précis de leur utilisation. Par exemple, si vous activez la méthode Appels vocaux, vous pouvez également spécifier si un téléphone de bureau peut être utilisé en plus d’un téléphone mobile.

Supposons maintenant que vous souhaitiez activer l’authentification sans mot de passe avec Microsoft Authenticator. Vous avez la possibilité de définir des paramètres supplémentaires tels que l’affichage de l’emplacement de connexion de l’utilisateur ou le nom de l’application à laquelle il se connecte. Ces options donnent plus de contexte aux utilisateurs lorsqu’ils se connectent et permettent d’empêcher les approbations MFA accidentelles.

Pour gérer la stratégie Méthodes d’authentification, connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’administrateur de stratégie d’authentification et accédez à Protection>Méthodes d’authentification>Stratégies.

Capture d’écran de la stratégie Méthodes d’authentification.

Seule l’expérience d’inscription convergée prend en charge la stratégie Méthodes d’authentification. Les utilisateurs couverts par la stratégie Méthodes d’authentification mais non concernés par l’expérience d’inscription convergée n’ont pas accès aux méthodes appropriées pour s’inscrire.

Stratégies MFA et SSPR héritées

Deux autres stratégies, situées dans les paramètres Authentification multifacteur et Réinitialisation de mot de passe, constituent un moyen hérité de gérer certaines méthodes d’authentification pour tous les utilisateurs du client. Vous ne pouvez pas contrôler qui utilise une méthode d’authentification activée ni comment celle-ci peut être employée.

Un administrateur général est nécessaire pour gérer cette fonctionnalité.

Important

En mars 2023, nous avons annoncé la dépréciation de la gestion des méthodes d’authentification dans les stratégies héritées de l’authentification multifacteur et de la réinitialisation de mot de passe en libre-service (SSPR). À compter du 30 septembre 2025, les méthodes d’authentification ne pourront pas être managées dans ces stratégies MFA et SSPR héritées. Nous recommandons aux clients d’utiliser le contrôle de migration manuel pour migrer vers la stratégie des méthodes d’authentification avant la date de dépréciation.

Pour gérer la stratégie MFA héritée, cliquez sur Sécurité>Authentification multifacteur>Paramètres supplémentaires d’authentification multifacteur informatique.

Capture d’écran des paramètres du service MFA.

Pour gérer les méthodes d’authentification dans le cadre de la réinitialisation de mot de passe en libre-service (SSPR, Self-Service Password Reset), cliquez sur Réinitialisation de mot de passe>Méthodes d’authentification. L’option Téléphone mobile de cette stratégie permet d’émettre des appels audio ou d’envoyer des SMS à un téléphone mobile. L’option Téléphone de bureau autorise uniquement les appels audio.

Capture d’écran des paramètres de réinitialisation de mot de passe.

Combinaisons de stratégies

Les paramètres ne sont pas synchronisés entre les stratégies, ce qui permet aux administrateurs de les gérer indépendamment les unes des autres. Microsoft Entra ID respecte les paramètres de toutes les stratégies afin qu’un utilisateur disposant d’une méthode d’authentification dans n’importe quelle stratégie puisse s’inscrire suivant cette méthode. Pour empêcher les utilisateurs d’utiliser une méthode, vous devez la désactiver dans toutes les stratégies.

Passons en revue un exemple dans lequel un utilisateur qui appartient au groupe Comptabilité souhaite inscrire Microsoft Authenticator. Le processus d’inscription vérifie d’abord la stratégie Méthodes d’authentification. Si l’option Microsoft Authenticator est activée pour le groupe Comptabilité, l’utilisateur peut l’inscrire.

Dans le cas contraire, le processus d’inscription vérifie la stratégie MFA héritée. Selon cette stratégie, un utilisateur peut inscrire Microsoft Authenticator si l’un des paramètres suivants est activé pour l’authentification multifacteur :

  • Notification via une application mobile
  • Code de vérification provenant d’une application mobile ou d’un jeton matériel

Si l’utilisateur ne peut pas inscrire Microsoft Authenticator sur la base de ces stratégies, le processus d’inscription vérifie la stratégie SSPR héritée. Selon cette stratégie également, un utilisateur peut inscrire Microsoft Authenticator si l’option SSPR et l’un des paramètres suivants sont activés :

  • Notification sur l’application mobile
  • Code de l’application mobile

Dans le cas des utilisateurs qui disposent de l’option Téléphone mobile pour la réinitialisation de mot de passe en libre-service, le contrôle indépendant entre les stratégies peut avoir un impact sur le comportement de connexion. Lorsque les autres stratégies proposent des options distinctes pour les SMS et les appels vocaux, l’option Téléphone mobile pour la réinitialisation de mot de passe en libre-service active les deux. Par conséquent, toute personne qui utilise l’option Téléphone mobile pour SSPR peut également se servir des appels vocaux pour la réinitialisation de mot de passe, même si les autres stratégies n’autorisent pas les appels vocaux.

De même, supposons que vous activiez l’option Appels audio pour un groupe. Vous constatez alors que même les utilisateurs qui ne sont pas membres de groupe peuvent se connecter avec un appel audio. Dans ce cas, il est probable qu’ils disposent de l’option Téléphone mobile de la stratégie SSPR héritée ou de l’option Appel au téléphone de la stratégie MFA héritée.

Migration entre les stratégies

La stratégie Méthodes d’authentification constitue un chemin de migration vers l’administration unifiée de toutes les méthodes d’authentification. Toutes les méthodes souhaitées peuvent être activées dans la stratégie méthodes d’authentification si la stratégie cible des groupes d’utilisateurs prévus ou tous les utilisateurs. Le guide de migration des méthodes d’authentification automatise les étapes permettant d’auditer vos paramètres de stratégie actuels pour MFA et SSPR, et de les consolider dans la stratégie de méthodes d’authentification. Vous pouvez accéder au guide à partir du Centre d’administration Microsoft Entra en accédant à Protection>Méthodes d’authentification>Stratégies.

Capture d’écran du panneau Stratégie des méthodes d’authentification avec le point d’entrée de l’Assistant mis en surbrillance.

Vous pouvez également migrer manuellement les paramètres de stratégie. La migration comporte trois paramètres pour vous permettre d’avancer à votre propre rythme et d’éviter les problèmes de connexion et de réinitialisation de mot de passe pendant la transition.

Une fois la migration terminée, les méthodes dans les stratégies MFA et SSPR héritées peuvent être désactivées. Une fois la migration effectuée, vous centraliserez le contrôle des méthodes d’authentification pour la connexion et la SSPR. Les stratégies MFA et SSPR héritées seront quant à elles désactivées.

Remarque

Les questions de sécurité ne peuvent être activées aujourd’hui qu’à l’aide de la stratégie SSPR héritée. Si vous utilisez des questions de sécurité et que vous ne souhaitez pas les désactiver, veillez à les laisser activées dans la stratégie SSPR héritée jusqu’à ce qu’un contrôle de migration soit disponible. Vous pouvez migrer le reste de vos méthodes d’authentification tout en continuant à gérer les questions de sécurité dans la stratégie SSPR héritée.

Pour afficher les options de migration, ouvrez la stratégie Méthodes d’authentification, puis cliquez sur Gérer la migration.

Capture d’écran des options de migration.

Le tableau suivant décrit chaque option.

Option Description
Prémigration La stratégie Méthodes d’authentification n’est utilisée que pour l’authentification.
Les paramètres de stratégie hérités sont respectés.
Migration en cours La stratégie Méthodes d’authentification est utilisée pour l’authentification et la SSPR.
Les paramètres de stratégie hérités sont respectés.
Migration terminée Seule la stratégie Méthodes d’authentification est utilisée pour l’authentification et la SSPR.
Les paramètres de stratégie hérités sont ignorés.

Les clients sont définis sur Prémigration ou Migration en cours par défaut, en fonction de l’état actuel de leur client. Si vous commencez dans Prémigration, vous pouvez passer à n’importe lequel des états à tout moment. Si vous avez commencé à l’état Migration en cours, vous pouvez passer de cet état à Migration terminée à tout moment, mais vous ne pouvez pas passer à Prémigration. Si vous passez à Migration terminée, puis choisissez de revenir à un état antérieur, nous vous demanderons pourquoi afin de pouvoir évaluer les performances du produit.

Capture d’écran des raisons du retour à un état antérieur.

Remarque

Une fois toutes les méthodes d’authentification entièrement migrées, les éléments suivants de la stratégie SSPR héritée restent actifs :

  • Nombre de méthodes requises pour réinitialiser le contrôle : les administrateurs peuvent continuer à modifier le nombre de méthodes d’authentification qui doivent être vérifiées avant qu’un utilisateur puisse effectuer une SSPR.
  • Stratégie d’administrateur SSPR : les administrateurs peuvent continuer à s’inscrire et à utiliser toutes les méthodes répertoriées sous la stratégie d’administrateur SSPR héritée ou les méthodes qu’ils sont autorisés à utiliser dans la stratégie Méthodes d’authentification.

À l’avenir, ces deux fonctionnalités seront intégrées à la stratégie Méthodes d’authentification.

Problèmes connus et limitations

  • La possibilité de cibler des utilisateurs individuels a été supprimée dans les dernières mises à jour. Les utilisateurs précédemment ciblés restent dans la stratégie, mais nous vous recommandons de les déplacer vers un groupe ciblé.
  • L’inscription d’une méthode d’authentification peut échouer si de nombreux groupes sont inclus dans la stratégie de méthodes d’authentification ou dans une campagne d’inscription. Nous vous recommandons de consolider plusieurs groupes en un seul groupe pour chaque méthode d’authentification. Pour maintenir l’inscription des utilisateurs pendant la consolidation, ajoutez le nouveau groupe et supprimez les groupes actuels dans la même opération.

Étapes suivantes