Partager via

Authentification multifacteur par défaut du système - Stratégie des méthodes d’authentification

  • Article

L’authentification multifacteur (MFA) par défaut du système invite les utilisateurs à se connecter en utilisant la méthode la plus sécurisée qu’ils ont inscrite. Les administrateurs peuvent activer l’authentification multifacteur (MFA) par défaut du système pour améliorer la sécurité de la connexion et décourager les méthodes de connexion moins sécurisées telles que les SMS.

Par exemple, si un utilisateur a inscrit les notifications Push SMS et Microsoft Authenticator comme méthodes d’authentification multifacteur (MFA), l’authentification multifacteur (MFA) par défaut du système invite l’utilisateur à se connecter en utilisant la méthode de notification Push la plus sécurisée. L’utilisateur peut toujours choisir de se connecter en utilisant une autre méthode, mais il est d’abord invité à essayer la méthode la plus sécurisée qu’il a inscrite.

L’authentification multifacteur (MFA) par défaut du système est un paramètre managé par Microsoft, qui correspond à une stratégie à trois états. Pendant la préversion, l’état par défaut est désactivé. Pour l’activer pour tous les utilisateurs ou un groupe d’utilisateurs pendant une préversion, vous devez définir explicitement l’état managé par Microsoft à Activé. Après la disponibilité générale, l’état managé par Microsoft de l’authentification multifacteur (MFA) par défaut du système est défini sur Activé.

Une fois l’authentification multifacteur (MFA) par défaut du système activée, le système d’authentification effectue tout le travail. Les utilisateurs n’ont pas besoin de définir une méthode d’authentification par défaut car le système détermine et présente toujours la méthode la plus sécurisée qu’ils ont inscrite.

Notes

L’authentification multifacteur (MFA) par défaut du système est une amélioration importante de la sécurité pour les utilisateurs qui s’authentifient via les transports de télécommunications. À compter du 7 juillet 2023, la valeur gérée par Microsoft de l’authentification multifacteur (MFA) par défaut du système passera de Désactivé à Activé. Si vous ne souhaitez pas activer l’authentification multifacteur (MFA) par défaut du système, remplacez l’état Par défaut vers Désactivé ou excluez les utilisateurs et les groupes de la stratégie.

Activer l’authentification multifacteur par défaut du système dans le Centre d’administration Microsoft Entra

Par défaut, l’authentification multifacteur (MFA) par défaut du système est managée par Microsoft et désactivée pour tous les utilisateurs.

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Paramètres.

  3. Pour Authentification multifacteur préférée par le système, choisissez d’activer ou de désactiver explicitement la fonctionnalité, puis d’inclure ou d’exclure des utilisateurs. Les groupes exclus sont prioritaires sur les groupes inclus.

    Par exemple, la capture d’écran suivante montre comment activer explicitement l’authentification multifacteur par défaut du système pour le groupe Ingénierie uniquement.

    Capture d’écran montrant comment activer des paramètres de Microsoft Authenticator pour le mode d’authentification Push.

  4. Une fois que vous avez terminé d’apporter des modifications, cliquez sur Enregistrer.

Activer l’authentification multifacteur par défaut du système à l’aide des API Graph

Pour activer au préalable l’authentification multifacteur (MFA) par défaut du système, vous devez choisir un seul groupe cible dans la configuration du schéma, comme indiqué dans l’exemple Requête.

Propriétés de configuration des fonctionnalités de la méthode d’authentification

Par défaut, l’authentification multifacteur (MFA) par défaut du système est managée par Microsoft et désactivée pendant la préversion. Après la disponibilité générale, la valeur par défaut de l’état managé par Microsoft est modifiée pour activer l’authentification multifacteur (MFA) par défaut du système.

Propriété Type Description
excludeTarget featureTarget Entité unique exclue de cette fonctionnalité.
Vous ne pouvez exclure qu’un seul groupe, dynamique ou imbriqué, de l’authentification multifacteur (MFA) par défaut du système.
includeTarget featureTarget Entité unique incluse dans cette fonctionnalité.
Vous ne pouvez inclure qu’un seul groupe, dynamique ou imbriqué, dans l’authentification multifacteur (MFA) par défaut du système.
State advancedConfigState Les valeurs possibles sont les suivantes :
enabled active explicitement la fonctionnalité pour le groupe sélectionné.
disabled désactive explicitement la fonctionnalité pour le groupe sélectionné.
default permet à Microsoft Entra ID de gérer l’activation ou non de la fonctionnalité pour le groupe sélectionné.

Propriétés de ciblage des fonctionnalités

L’authentification multifacteur (MFA) par défaut du système peut être activée pour un seul groupe uniquement, dynamique ou imbriqué.

Propriété Type Description
id String ID de l’entité ciblée.
targetType featureTargetType Type d’entité ciblée, comme le groupe, le rôle ou l’unité administrative. Les valeurs possibles sont les suivantes : 'group', 'administrativeUnit', 'role', unknownFutureValue'.

Utilisez le point de terminaison d’API suivant pour activer systemCredentialPreferences et inclure ou exclure des groupes :

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

Notes

Dans l’Explorateur Graph, vous devez accepter les autorisations Policy.ReadWrite.AuthenticationMethod.

Requête

L’exemple suivant exclut un groupe cible échantillon et inclut tous les utilisateurs. Pour plus d'informations, consultez Mettre à jour authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

FAQ

Comment l’authentification multifacteur (MFA) par défaut du système détermine-t-elle la méthode la plus sécurisée ?

Lorsqu’un utilisateur se connecte, le processus d’authentification vérifie quelles méthodes d’authentification sont inscrites pour cet utilisateur. L’utilisateur est invité à se connecter avec la méthode la plus sécurisée dans l’ordre suivant. L’ordre des méthodes d’authentification est dynamique. Il est mis à jour au fur et à mesure de l’évolution du paysage de la sécurité et de l’émergence de meilleures méthodes d’authentification. En raison de problèmes connus concernant l’authentification basée sur le certificat et l’authentification multifacteur par défaut du système, nous avons déplacé l’authentification CBA en bas de la liste. Cliquez sur le lien pour obtenir plus d’informations sur chaque méthode.

  1. Droit d’accès temporaire
  2. Clé de sécurité FIDO2
  3. Notifications Microsoft Authenticator
  4. Mot de passe à usage unique et à durée définie (TOTP)1
  5. Téléphonie2
  6. Authentification par certificat

1 Inclut le TOTP matériel ou logiciel de Microsoft Authenticator, Authenticator Lite ou des applications tierces.

2 Inclut les SMS et les appels vocaux.

Comment l’authentification multifacteur (MFA) par défaut du système affecte-t-elle l’extension NPS ?

L’authentification multifacteur (MFA) par défaut du système n’affecte pas les utilisateurs qui se connectent via l’extension NPS (Network Policy Server). Ces utilisateurs ne voient aucune modification dans leur expérience de connexion.

Que se passe-t-il pour les utilisateurs dont la stratégie des méthodes d’authentification n’est pas spécifiée mais dont la stratégie d’authentification multifacteur (MFA) héritée à l’échelle du locataire est activée ?

L’authentification multifacteur (MFA) par défaut du système s’applique également aux utilisateurs dont la stratégie héritée d’authentification multifacteur (MFA) est activée.

Capture d’écran des paramètres hérités d’authentification multifacteur (MFA).

Étapes suivantes