Planifier un déploiement de réinitialisation de mot de passe en libre-service Microsoft Entra
Important
Ce plan de déploiement fournit des conseils et présente les meilleures pratiques à suivre pour déployer la réinitialisation de mot de passe en libre-service (SSPR, self-service password reset) Microsoft Entra.
Si vous êtes un utilisateur final et que vous devez revenir à votre compte, accédez à https://aka.ms/sspr .
La réinitialisation de mot de passe en libre-service (SSPR) est une fonctionnalité de Microsoft Entra qui permet aux utilisateurs de réinitialiser leurs mots de passe sans solliciter l'aide du personnel informatique. Les utilisateurs peuvent rapidement débloquer leur compte et continuer à travailler, quels que soient l'heure ou l'endroit où ils se trouvent. En permettant aux employés de débloquer leur compte eux-mêmes, votre organisation peut réduire les pertes de productivité et les coûts de support élevés liés aux problèmes de mot de passe les plus courants.
La SSPR comprend les fonctionnalités suivantes :
- Le libre-service permet aux utilisateurs finaux de réinitialiser leurs mots de passe expirés ou non, sans solliciter l'aide d'un administrateur ou du support technique.
- La réécriture du mot de passe permet de gérer les mots de passe locaux et de résoudre les problèmes de verrouillage des comptes via le cloud.
- Les rapports d'activité sur la gestion des mots de passe donnent aux administrateurs un aperçu de l'activité d'inscription et de réinitialisation des mots de passe au sein de leur organisation.
Ce guide de déploiement explique comment planifier, puis tester un déploiement de la SSPR.
Pour voir rapidement le fonctionnement de la SSPR, puis revenir en arrière afin d’examiner d’autres considérations relatives au déploiement :
Conseil
En complément de cet article, nous vous recommandons d'utiliser le guide Planifier votre déploiement de la réinitialisation de mot de passe en libre-service lorsque vous êtes connecté au Centre Administration Microsoft 365. Ce guide personnalisera votre expérience en fonction de votre environnement. Pour consulter les meilleures pratiques sans vous connecter et activer les fonctionnalités d’installation automatisée, accédez au portail d’installation M365.
En savoir plus sur la SSPR
Apprenez-en davantage sur la SSPR. Consultez Fonctionnement : Réinitialisation de mot de passe en libre-service Microsoft Entra.
Principaux avantages
Les principaux avantages de la SSPR sont les suivants :
Gestion des coûts. La SSPR réduit les coûts de support informatique en permettant aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe. Elle réduit également les frais liés au temps perdu suite à l'oubli des mots de passe et aux verrouillages.
Expérience utilisateur intuitive. La SSPR fournit un processus d'inscription utilisateur unique et intuitif qui permet aux utilisateurs de réinitialiser leurs mots de passe et de débloquer leurs comptes à la demande sur tout type d'appareil et en tout lieu. Elle permet aux utilisateurs de reprendre plus rapidement leur travail et de gagner en productivité.
Flexibilité et sécurité. La SSPR permet aux entreprises de bénéficier de la sécurité et de la flexibilité d'une plateforme cloud. Les administrateurs peuvent modifier les paramètres pour répondre à de nouvelles exigences de sécurité et transmettre ces modifications aux utilisateurs sans interrompre leur connexion.
Robustesse de l'audit et du suivi de l'utilisation. Une organisation peut garantir aux utilisateurs que ses systèmes resteront sécurisés pendant qu'ils réinitialisent leurs mots de passe. Particulièrement robustes, les journaux d'audit contiennent des informations sur chacune des étapes du processus de réinitialisation de mot de passe. Ces journaux sont disponibles à partir d'une API et permettent à l'utilisateur d'importer les données dans le système SIEM (Security Incident and Event Monitoring) de son choix.
Licence
Microsoft Entra fonctionne sur la base d'une licence unique par utilisateur. Cela signifie que chaque utilisateur doit disposer d'une licence appropriée pour les fonctionnalités utilisées. Pour la SSPR, nous recommandons une licence de groupe.
Pour comparer les éditions et les fonctionnalités, et pour en savoir plus sur l'activation des licences d’utilisateur ou de groupe, consultez Conditions de licence pour la réinitialisation de mot de passe en libre-service Microsoft Entra.
Pour plus d’informations sur la tarification, consultez la tarification Microsoft Entra.
Prérequis
Un locataire Microsoft Entra fonctionnel avec au moins une licence d’essai active. Si nécessaire, créez-en un gratuitement.
Un compte avec des privilèges d’administrateur général.
Procédure pas à pas guidée
Pour obtenir une procédure pas à pas guidée des nombreuses recommandations dans cet article, consultez le guide Planifier votre déploiement de la réinitialisation de mot de passe en libre-service lorsque vous êtes connecté au Centre Administration Microsoft 365. Pour consulter les meilleures pratiques sans vous connecter et activer les fonctionnalités d’installation automatisée, accédez au portail d’installation M365.
Ressources de formation
Architecture de solution
L'exemple suivant décrit l'architecture de la solution de réinitialisation de mot de passe pour les environnements hybrides courants.
Description du workflow
Pour réinitialiser le mot de passe, les utilisateurs doivent accéder au portail de réinitialisation de mot de passe. Ils doivent utiliser la ou les méthodes d'authentification auxquels ils se sont précédemment inscrits pour prouver leur identité. S'ils réussissent à réinitialiser le mot de passe, ils entament le processus de réinitialisation.
Pour les utilisateurs qui utilisent uniquement le cloud, la SSPR stocke le nouveau mot de passe dans Microsoft Entra ID.
Pour les utilisateurs hybrides, la SSPR réécrit le mot de passe sur l'instance Active Directory locale via le service Microsoft Entra Connect.
Remarque : pour les utilisateurs qui ont désactivé la Synchronisation de hachage du mot de passe (PHS), la SSPR stocke uniquement les mots de passe sur l'instance locale d'Active Directory.
Meilleures pratiques
Vous pouvez aider les utilisateurs à s'inscrire rapidement en déployant la SSPR en parallèle d'une autre application ou d'un autre service populaire de l'organisation. Cette action génère un grand nombre de connexions et booste les inscriptions.
Avant de déployer la SSPR, vous pouvez déterminer le nombre et le coût moyen de chaque appel de réinitialisation de mot de passe. Vous pouvez utiliser ces données après le déploiement afin de connaître la valeur ajoutée de la SSPR pour l’organisation.
Inscription combinée pour l'authentification multifacteur SSPR et Microsoft Entra
SSPR permet aux utilisateurs de réinitialiser leur mot de passe de manière sécurisée en utilisant les mêmes méthodes que celles utilisées pour l'authentification multifacteur Microsoft Entra. L’inscription combinée est une étape d’inscription unique pour les utilisateurs finaux qui active l’inscription simultanée des méthodes d’authentification multifacteur et de réinitialisation de mot de passe en libre-service. Pour vous assurer de bien comprendre la fonctionnalité et l’expérience utilisateur final, consultez Concepts de l’inscription combinée des informations de sécurité.
Il est essentiel d’informer les utilisateurs sur les changements à venir, les conditions d’inscription et toute action utilisateur nécessaire. Nous fournissons des modèles de communication et une documentation utilisateur afin de préparer vos utilisateurs à la nouvelle expérience et de garantir un déploiement réussi. Dirigez les utilisateurs vers https://myprofile.microsoft.com pour qu’ils s’inscrivent en sélectionnant le lien Informations de sécurité sur cette page.
Planifier le projet de déploiement
Tenez compte des besoins de votre organisation lorsque vous déterminez la stratégie de ce déploiement dans votre environnement.
Impliquer les parties prenantes appropriées
Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels. Pour éviter ces pièges, veillez à impliquer les parties prenantes appropriées et à ce qu’elles comprennent bien leurs rôles dans le projet. Pour ce faire, dressez une liste de leurs contributions et de leurs responsabilités.
Rôles d’administrateur nécessaires
| Rôle métier/personnage | Rôle Microsoft Entra (si nécessaire) |
|---|---|
| Support technique de niveau 1 | Administrateur de mots de passe |
| Support technique de niveau 2 | Administrateur d’utilisateurs |
| Administrateur SSPR | Administrateur général |
Prévoir un pilote
Nous vous recommandons d’effectuer la configuration initiale de la SSPR dans un environnement de test. Commencez avec un groupe pilote en activant la SSPR pour un sous-ensemble d'utilisateurs de votre organisation. Consultez Meilleures pratiques pour un pilote.
Si vous devez créer un groupe, consultez comment créer un groupe et ajouter des membres dans Microsoft Entra ID.
Planifier la configuration
Les paramètres suivants sont requis pour activer SSPR avec les valeurs recommandées.
| Domaine | Paramètre | Valeur |
|---|---|---|
| Propriétés SSPR | Réinitialisation de mot de passe en libre-service activée | Groupe sélectionné pour le projet pilote / Tous pour la production |
| Méthodes d’authentification | Méthodes d’authentification requises pour l’inscription | Toujours 1 de plus que nécessaire pour la réinitialisation |
| Méthodes d’authentification requises pour la réinitialisation | Une ou deux | |
| Inscription | Obliger les utilisateurs à s’inscrire durant la connexion ? | Oui |
| Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification | 90 à 180 jours | |
| Notifications | Notifier les utilisateurs lors des réinitialisations de mot de passe ? | Oui |
| Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ? | Oui | |
| Personnalisation | Personnaliser le lien du support technique | Oui |
| URL ou adresse e-mail personnalisée du support technique | Adresse e-mail ou site du support technique | |
| Intégration locale | Écriture différée des mots de passe dans AD en local | Oui |
| Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passe | Oui |
Propriétés SSPR
Lors de l'activation de la SSPR, choisissez un groupe de sécurité approprié dans l'environnement pilote.
- Pour appliquer l'inscription SSPR à tout le monde, nous vous recommandons d'utiliser l'option Tous.
- Sinon, sélectionnez le groupe de sécurité Microsoft Entra ID ou AD approprié.
Méthodes d’authentification
Une fois la SSPR activée, les utilisateurs ne peuvent réinitialiser leur mot de passe que s'ils disposent de données dans les méthodes d'authentification activées par l'administrateur. Les méthodes disponibles incluent notamment le téléphone, la notification de l'application Authenticator et les questions de sécurité. Pour plus d'informations, consultez Quelles sont les méthodes d'authentification ?.
Nous recommandons les paramètres de méthode d'authentification suivants :
Définissez les méthodes d'authentification requises pour l'inscription ; il doit y en avoir au moins une de plus que le nombre requis pour la réinitialisation. Plus vous en définissez, plus la flexibilité est grande pour les utilisateurs lorsqu'ils doivent réinitialiser leur mot de passe.
Définissez le nombre de méthodes requises pour la réinitialisation sur un niveau approprié pour votre organisation. Le plus simple est d’en choisir une seule, tandis que deux peuvent améliorer l’état de la sécurité.
Remarque : les méthodes d'authentification de l'utilisateur doivent être configurées dans Stratégies et restrictions de mot de passe dans Microsoft Entra ID.
Paramètres d’inscription
Définissez l’option Obliger les utilisateurs à s’inscrire durant la connexion sur Oui. Ce paramètre oblige les utilisateurs à s'inscrire au moment de la connexion, ce qui garantit leur protection.
Définissez le nombre de jours avant que les utilisateurs soient invités à reconfirmer leurs informations d'authentification sur une valeur comprise entre 90 et 180 jours, sauf si votre organisation a besoin d'un délai plus court.
Paramètres de notifications
Configurer les paramètres Notifier les utilisateurs lors des réinitialisations de mot de passe et Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe sur Oui. Sélectionnez Oui pour les deux paramètres afin de renforcer la sécurité en veillant à ce que les utilisateurs soient informés lorsque leur mot de passe est réinitialisé. Tous les administrateurs seront également informés lorsque l'un d'eux modifiera un mot de passe. Si les utilisateurs ou les administrateurs reçoivent une notification et qu'ils ne sont pas à l'origine de la modification, ils peuvent immédiatement signaler un problème de sécurité potentiel.
Notes
Les notifications par e-mail du service SSPR sont envoyées à partir des adresses suivantes en fonction du cloud Azure que vous utilisez :
- Public : msonlineservicesteam@microsoft.com
- Chine : msonlineservicesteam@oe.21vianet.com
- Government : msonlineservicesteam@azureadnotifications.us
Si vous constatez des problèmes de réception des notifications, vérifiez vos paramètres de courrier indésirable.
Paramètres de personnalisation
Il est essentiel de personnaliser l’adresse e-mail ou l’URL du support technique afin de permettre aux utilisateurs qui rencontrent des problèmes de bénéficier d’une aide immédiate. Définissez cette option sur une page web ou une adresse e-mail de support technique courante que vos utilisateurs connaissent.
Pour plus d'informations, consultez Personnaliser la fonctionnalité Microsoft Entra pour la réinitialisation de mot passe en libre-service.
Réécriture du mot de passe
La réécriture du mot de passe est activée avec Microsoft Entra Connect. Elle réécrit en temps réel les réinitialisations de mot de passe effectuées dans le cloud dans un répertoire local existant. Pour plus d'informations, consultez Qu'est-ce que la réécriture du mot de passe ?.
Nous recommandons les paramètres suivants :
- Vérifiez que l'option Réécriture des mots sur l'instance locale d'AD est définie sur Oui.
- Définissez Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passe sur Oui.
Par défaut, Microsoft Entra ID déverrouille les comptes quand il effectue une réinitialisation de mot de passe.
Paramètre de mot de passe administrateur
Les comptes administrateur disposent d'autorisations élevées. Les administrateurs d'entreprise en local ou les administrateurs de domaine ne peuvent pas réinitialiser leurs mots de passe via la SSPR. Les comptes administrateur locaux présentent les restrictions suivantes :
- Leur mot de passe ne peut être modifié qu’à partir de leur environnement local.
- Il est impossible d’utiliser les questions et réponses secrètes comme méthode de réinitialisation de leur mot de passe.
Nous vous recommandons de ne pas synchroniser vos comptes administrateur Active Directory locaux avec Microsoft Entra ID.
Environnements avec plusieurs systèmes de gestion de l’identité
Certains environnements disposent de plusieurs systèmes de gestion des identités. Les gestionnaires d’identités locales, comme Oracle AM et SiteMinder, exigent une synchronisation avec AD pour les mots de passe. Pour ce faire, vous pouvez utiliser un outil tel que le service de notification de modification de mot de passe (PCNS) avec Microsoft Identity Manager (MIM). Pour plus d’informations sur ce scénario plus complexe, consultez l’article Déployer le service de notification de modification de mot de passe MIM sur un contrôleur de domaine.
Planifier les tests et le support
À chaque étape de votre déploiement, depuis les groupes pilotes initiaux jusqu'à l'organisation dans son ensemble, assurez-vous que les résultats sont conformes aux attentes.
Planifier les tests
Pour vous assurer que votre déploiement fonctionne comme prévu, planifiez un ensemble de cas de test pour valider l'implémentation. Pour évaluer les cas de test, il vous faut un utilisateur test non administrateur doté d'un mot de passe. Si vous devez créer un utilisateur, consultez Ajouter de nouveaux utilisateurs à Microsoft Entra ID.
Le tableau suivant inclut des scénarios de test utiles que vous pouvez utiliser pour documenter les résultats attendus par votre organisation en fonction de vos stratégies.
| Cas métier | Résultats attendus |
|---|---|
| Le portail SSPR est accessible à partir du réseau d’entreprise | Déterminé par votre organisation |
| Le portail SSPR est accessible en dehors du réseau d’entreprise | Déterminé par votre organisation |
| Réinitialiser le mot de passe utilisateur à partir du navigateur lorsque l’utilisateur n’est pas activé pour la réinitialisation de mot de passe | L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passe |
| Réinitialiser le mot de passe utilisateur à partir du navigateur lorsque l’utilisateur n’est pas inscrit pour la réinitialisation de mot de passe | L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passe |
| L'utilisateur se connecte lorsqu'il est invité à procéder à l'inscription de la réinitialisation de mot de passe | Invite l'utilisateur à inscrire ses informations de sécurité |
| L'utilisateur se connecte lorsque l'inscription à la réinitialisation de mot de passe est terminée | Invite l'utilisateur à inscrire ses informations de sécurité |
| Le portail SSPR est accessible lorsque l’utilisateur ne dispose pas d’une licence | Accessible |
| Réinitialiser le mot de passe utilisateur à partir de l'écran de verrouillage d'appareil Windows 10 Microsoft Entra joint ou Microsoft Entra hybride joint | L’utilisateur peut réinitialiser le mot de passe |
| Les données d’utilisation et d’inscription SSPR sont disponibles pour les administrateurs quasiment en temps réel | Disponible via les journaux d’audit |
Vous pouvez également consulter Effectuer un déploiement pilote de réinitialisation de mot de passe en libre-service pour Microsoft Entra. Dans ce tutoriel, vous activerez un déploiement pilote de la SSPR au sein de votre organisation et testerez celui-ci à l'aide d'un compte non administrateur.
Planifier le support
Bien que la SSPR ne pose généralement aucun problème aux utilisateurs, il est important de préparer le personnel de support à gérer les éventuels soucis. Pour faciliter le travail de votre équipe de support, vous pouvez créer une FAQ à partir des questions que vous envoient les utilisateurs. Voici quelques exemples :
| Scénarios | Description |
|---|---|
| Aucune des méthodes d'authentification auxquelles l'utilisateur s'est inscrit n'est disponible | Un utilisateur essaie de réinitialiser son mot de passe, mais aucune des méthodes d’authentification qu’il a enregistrées n’est disponible (par exemple, il a laissé son téléphone portable à la maison et n’a pas accès à ses e-mails). |
| L'utilisateur ne reçoit ni SMS ni appel sur son téléphone mobile ou professionnel | Un utilisateur tente de confirmer son identité par SMS ou via un appel, mais ne reçoit pas de SMS/appel. |
| L'utilisateur n'a pas accès au portail de réinitialisation de mot de passe | Un utilisateur souhaite réinitialiser son mot de passe, mais il n'est pas activé pour la réinitialisation de mot de passe et n'a donc pas accès à la page de mise à jour des mots de passe. |
| L'utilisateur ne peut pas définir de nouveau mot de passe | Un utilisateur termine la vérification pendant le flux de réinitialisation de mot de passe, mais ne peut pas définir de nouveau mot de passe. |
| L'utilisateur ne voit pas de lien Réinitialiser le mot de passe sur un appareil Windows 10 | Un utilisateur tente de réinitialiser son mot de passe à partir de l'écran de verrouillage de Windows 10, mais l'appareil n'est pas joint à Microsoft Entra ID ou la stratégie d'appareil de Microsoft Intune n'est pas activée |
Planifier la restauration
Pour restaurer le déploiement :
Pour un utilisateur individuel, supprimer l’utilisateur du groupe de sécurité
Pour un groupe, supprimer le groupe de la configuration SSPR
Désactiver la SSPR du locataire Microsoft Entra pour tout le monde
Déployer la SSPR
Avant le déploiement, assurez-vous d'avoir effectué les opérations suivantes :
Définition des paramètres de configuration appropriés
Identification des utilisateurs et des groupes pour l'environnement pilote et l'environnement de production
Définition des paramètres de configuration pour l'inscription et le libre-service
Réécriture du mot de passe configuré si vous disposez d'un environnement hybride
Vous êtes maintenant prêt à déployer la SSPR !
Consultez Activer la réinitialisation de mot de passe en libre-service pour obtenir des instructions pas à pas sur la configuration des domaines suivants.
Activer SSPR sous Windows
Dans le cas des ordinateurs Windows 7, 8, 8.1 et 10, vous pouvez autoriser les utilisateurs à réinitialiser leur mot de passe sur l’écran de connexion Windows.
Gérer SSPR
Microsoft Entra ID peut fournir des informations supplémentaires sur vos performances de SSPR par le biais d'audits et de rapports.
Rapports d'activité sur la gestion des mots de passe
Vous pouvez utiliser les rapports prédéfinis du Centre d’administration Microsoft Entra pour mesurer les performances SSPR. Si vous disposez d’une licence appropriée, vous pouvez également créer des requêtes personnalisées. Pour plus d'informations, consultez Options de création de rapports pour la gestion des mots de passe Microsoft Entra
Remarque
Vous devez être administrateur général, et devez accepter que ces données soient collectées pour votre organisation. Pour cela, vous devez consulter l’onglet Rapports ou les journaux d’audit du Centre d’administration Microsoft Entra au moins une fois. Tant que cela ne sera pas fait, les données ne seront pas collectées.
Les journaux d’audit pour l’inscription et la réinitialisation de mot de passe sont disponibles pendant 30 jours. Si l’audit de sécurité de votre entreprise requiert une rétention plus longue, les journaux doivent être exportés et utilisés dans un outil SIEM comme Microsoft Sentinel, Splunk ou ArcSight.
Méthodes d'authentification - Utilisation et insights
Utilisation et insights vous permet de comprendre comment les méthodes d'authentification des fonctionnalités comme l’authentification multifacteur et la SSPR Microsoft Entra fonctionnent au sein de votre organisation. Cette fonctionnalité de création de rapports permet à votre organisation d'identifier les méthodes inscrites et d'en savoir plus sur leur utilisation.
Dépanner
Documentation utile
Fonctionnement : Réinitialisation de mot de passe en libre-service Microsoft Entra
Stratégies et restrictions de mot de passe dans Microsoft Entra ID