Partager via

Invites de réauthentification et durée de vie des sessions pour l’authentification multifacteur Microsoft Entra

Microsoft Entra ID dispose de plusieurs paramètres qui déterminent la fréquence à laquelle les utilisateurs doivent se réauthentifier. Cette réauthentification peut impliquer uniquement un premier facteur, tel que le mot de passe, Fast Identity Online (FIDO) ou Microsoft Authenticator sans mot de passe. Elle peut également nécessiter une authentification multifacteur (MFA). Vous pouvez configurer ces paramètres de réauthentification en fonction des exigences de votre environnement et de l’expérience utilisateur que vous souhaitez offrir.

La configuration par défaut de Microsoft Entra ID pour la fréquence de connexion utilisateur est une fenêtre dynamique de 90 jours. Demander aux utilisateurs d’entrer des informations d’identification semble souvent être une chose à faire, mais cela peut avoir l’effet inverse. Si les utilisateurs sont formés pour entrer leurs informations d’identification sans les penser, ils peuvent les fournir involontairement à une invite d’informations d’identification malveillante.

Ne pas demander à un utilisateur de se reconnecter peut sembler inquiétant. Or, toute violation de stratégies informatiques a pour effet de révoquer la session. Tel est le cas notamment d’une modification de mot de passe, d’un appareil non conforme ou d’une opération visant à désactiver un compte. Vous pouvez également révoquer explicitement les sessions des utilisateurs à l’aide de Microsoft Graph PowerShell.

Cet article explique en détail les configurations recommandées, le fonctionnement de divers paramètres ainsi que leur interaction.

Pour offrir à vos utilisateurs le meilleur compromis entre sécurité et simplicité d’utilisation en leur demandant de s’authentifier à une fréquence adaptée, nous vous recommandons les configurations suivantes :

  • Si vous avez Microsoft Entra ID P1 ou P2 :
    • Activez l’authentification unique (SSO) entre les applications à l’aide d’appareils gérés ou d’une authentification unique transparente.
    • Si la réauthentification est requise, utilisez une stratégie de fréquence de connexion à l’accès conditionnel Microsoft Entra.
    • Pour les utilisateurs qui se connectent à partir d’appareils non managés ou pour les scénarios d’appareil mobile, les sessions de navigateur persistantes ne sont peut-être pas à privilégier. Vous pouvez également utiliser l’accès conditionnel pour activer les sessions de navigateur persistantes avec la stratégie de fréquence de connexion. Limitez la durée à une valeur appropriée en fonction du risque de connexion, où un utilisateur présentant moins de risques a une durée de session plus longue.
  • Si vous disposez d’une licence Microsoft 365 Apps ou Microsoft Entra ID gratuit :
  • Pour les scénarios d’appareil mobile, vérifiez que vos utilisateurs se servent de l’application Microsoft Authenticator. Cette application fait office de broker vis-à-vis des autres applications fédérées Microsoft Entra ID et réduit le nombre d’invites d’authentification sur l’appareil.

Les études que nous avons menées montrent que ces paramètres conviennent pour la plupart des clients. Certaines combinaisons de ces paramètres, telles que l’authentification multifacteur et l’option Afficher pour rester connectés, peuvent entraîner des invites pour que vos utilisateurs s’authentifient trop souvent. Les invites de réauthentification régulières impactent la productivité des utilisateurs et peuvent les rendre plus vulnérables aux attaques.

Configurer les paramètres de durée de vie des sessions Microsoft Entra

Pour optimiser la fréquence des invites d’authentification envoyées aux utilisateurs, vous pouvez configurer les paramètres de durée de vie des sessions Microsoft Entra. Déterminez les besoins de votre entreprise et de vos utilisateurs, puis configurez les paramètres qui offrent le meilleur compromis pour votre environnement.

Stratégies de durée de vie des sessions

En l’absence de paramètres de durée de vie des sessions, la session de navigateur n’a pas de cookies persistants. De ce fait, chaque fois que les utilisateurs ferment et rouvrent le navigateur, ils sont invités à se réauthentifier. Dans les clients Office, la période par défaut est de 90 jours consécutifs. Avec cette configuration Office par défaut, si l’utilisateur réinitialise le mot de passe ou que la session est inactive pendant plus de 90 jours, il doit se réauthentifier avec les premier et deuxième facteurs nécessaires.

Un utilisateur peut voir plusieurs invites d’authentification multifacteur sur un appareil qui n’a pas d’identité dans Microsoft Entra ID. Des invites multiples se produisent quand chaque application a son propre jeton d’actualisation OAuth qui n’est pas partagé avec d’autres applications clientes. Dans ce scénario, l’authentification multifacteur plusieurs invites, car chaque application demande un jeton d’actualisation OAuth à valider avec l’authentification multifacteur.

Dans Microsoft Entra ID, la stratégie la plus restrictive pour la durée de vie des sessions détermine à quel moment l’utilisateur doit se réauthentifier. Imaginez un scénario dans lequel vous activez les deux paramètres suivants :

  • Option Afficher pour rester connecté, qui utilise un cookie de navigateur persistant
  • Mémoriser l’authentification multifacteur avec une valeur de 14 jours

Dans cet exemple, l’utilisateur doit se réauthentifier tous les 14 jours. Ce comportement suit la stratégie la plus restrictive, même si l’option Afficher pour rester connecté par lui-même ne nécessiterait pas que l’utilisateur se réauthentique sur le navigateur.

Appareils gérés

Les appareils joints à l’ID Microsoft Entra via la jointure Microsoft Entra ou la jointure hybride Microsoft Entra reçoivent un jeton d’actualisation principal (PRT) pour utiliser l’authentification unique entre les applications.

Ce jeton PRT permet à un utilisateur de se connecter une seule fois sur l’appareil, tout en garantissant au personnel informatique que l’appareil respecte les normes de sécurité et de conformité. Si vous devez demander à un utilisateur de se connecter plus fréquemment sur un appareil joint pour certaines applications ou scénarios, vous pouvez utiliser la stratégie de fréquence de connexion à l’accès conditionnel.

Option permettant de rester connecté

Lorsqu’un utilisateur sélectionne Oui sur l’option Rester connecté ? lors de la connexion, la sélection définit un cookie persistant sur le navigateur. Ce cookie persistant mémorise les premier et deuxième facteurs, et il s’applique uniquement aux demandes d’authentification dans le navigateur.

Capture d’écran d’un exemple d’invite pour rester connecté

Si vous disposez d’une licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’utiliser une stratégie d’accès conditionnel pour la session de navigateur persistant. Cette stratégie remplace l’option Afficher pour rester connecté et offre une expérience utilisateur améliorée. Si vous n’avez pas de licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’activer l’option Show pour rester connecté pour vos utilisateurs.

Pour plus d’informations sur la configuration de l’option permettant aux utilisateurs de rester connectés, consultez Gérer l’invite « Rester connecté ? ».

Option permettant de mémoriser l’authentification multifacteur

Le paramètre Mémoriser l’authentification multifacteur vous permet de configurer une valeur de 1 à 365 jours. Il définit un cookie persistant sur le navigateur lorsqu’un utilisateur sélectionne l’option Ne pas demander de nouveau pour x jours lors de la connexion.

Capture d’écran d’un exemple d’invite pour approuver une demande de connexion

Si ce paramètre réduit le nombre d’authentifications dans les applications web, il a néanmoins pour effet de l’augmenter dans le cas des clients d’authentification modernes, tels que les clients Office. Normalement, ces clients envoient une invite uniquement après la réinitialisation du mot de passe ou après 90 jours d’inactivité. Cependant, le fait de définir une valeur de moins à 90 jours raccourcit les invites MFA par défaut pour les clients Office et augmente la fréquence de réauthentification. Lorsque vous utilisez ce paramètre en combinaison avec l’option Afficher pour rester connecté ou les stratégies d’accès conditionnel, il peut augmenter le nombre de demandes d’authentification.

Si vous utilisez Mémoriser l’authentification multifacteur et que vous disposez d’une licence Microsoft Entra ID P1 ou P2, envisagez de migrer ces paramètres vers la fréquence de connexion à l’accès conditionnel. Sinon, envisagez d'utiliser l'option "Show" pour rester connecté plutôt.

Pour plus d’informations, consultez Mémoriser l’authentification multifacteur.

Gestion de session d’authentification avec l’accès conditionnel

L’administrateur peut utiliser la stratégie de fréquence de connexion pour choisir une fréquence de connexion qui s’applique à la fois au premier et au deuxième facteur dans le client et le navigateur. Nous vous recommandons d’utiliser ces paramètres (avec des appareils managés) dans les scénarios où vous devez limiter le nombre de sessions d’authentification. Par exemple, vous pouvez être amené à restreindre une session d’authentification pour les applications métier critiques.

La session de navigateur persistant permet aux utilisateurs de rester connectés après la fermeture et la réouverture de leur fenêtre de navigateur. Comme l’option Afficher pour rester connecté, elle définit un cookie persistant sur le navigateur. Toutefois, étant donné que l’administrateur le configure, il ne nécessite pas que l’utilisateur sélectionne Oui dans l’option Rester connecté ? Ce faisant, elle offre une meilleure expérience utilisateur. Si vous utilisez l’option Afficher pour rester connecté , nous vous recommandons d’activer la stratégie de session de navigateur persistant à la place.

Pour plus d’informations, consultez Configurer des stratégies de durée de vie de session adaptative.

Durées de vie des jetons configurables

Le paramètre de durées de vie des jetons configurables autorise la configuration d’une durée de vie pour un jeton que Microsoft Entra ID émet. La gestion des sessions d’authentification avec l’accès conditionnel remplace cette stratégie. Si vous utilisez des durées de vie de jeton configurables maintenant, nous vous recommandons de commencer la migration vers les stratégies d’accès conditionnel.

Vérifier la configuration de vos clients

Maintenant que vous savez comment fonctionnent les divers paramètres et que vous avez connaissance de la configuration recommandée, il est temps de vérifier la configuration de vos locataires. Vous pouvez commencer par examiner les journaux de connexion pour comprendre quelles stratégies de durée de vie de session ont été appliquées pendant la connexion.

Sous chaque journal de connexion, accédez à l’onglet Détails de l’authentification et explorez les stratégies de durée de vie de session appliquées. Pour plus d’informations, consultez En savoir plus sur les détails de l’activité du journal de connexion.

Capture d’écran des détails de l’authentification.

Pour configurer ou passer en revue l’option Afficher pour rester connecté :

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cette pratique permet d’améliorer la sécurité de votre organisation. L’administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence ou lorsque vous ne pouvez pas utiliser de rôle existant.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
  2. Accédez à Entra ID>Personnalisation personnalisée de l’ID. Ensuite, pour chaque paramètre régional, sélectionnez l’option Afficher pour rester connecté.
  3. Sélectionnez Oui, puis sélectionnez Enregistrer.

Pour mémoriser les paramètres d’authentification multifacteur sur les appareils approuvés :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
  2. Accédez àl’authentification multifacteur>.
  3. Sous Configurer, sélectionnez Paramètres MFA basés sur le cloud supplémentaires.
  4. Dans le volet Paramètres du service d’authentification multifacteur , faites défiler jusqu’à mémoriser les paramètres d’authentification multifacteur et cochez la case.

Pour configurer des stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
  2. Accédez à Entra ID>Accès conditionnel.
  3. Configurez une stratégie en utilisant les options de gestion de session recommandées dans cet article.

Pour passer en revue les durées de vie des jetons, utilisez Microsoft Graph PowerShell pour interroger les stratégies Microsoft Entra. Désactivez les stratégies qui sont appliquées.

Si plusieurs paramètres sont activés dans votre locataire, nous vous recommandons de les mettre à jour en fonction des licences auxquelles vous avez accès. Par exemple, si vous disposez d’une licence Microsoft Entra ID P1 ou P2, vous devez utiliser uniquement les stratégies d’accès conditionnel de la fréquence de connexion et de la session de navigateur persistant. Si vous disposez d’une licence Microsoft 365 Apps ou d’une licence Microsoft Entra ID Free, vous devez utiliser l'option 'Rester connecté' dans la configuration.

Si vous avez activé les durées de vie des jetons configurables, gardez à l’esprit que cette fonctionnalité sera bientôt supprimée. Prévoyez une migration vers une stratégie d’accès conditionnel.

Le tableau suivant récapitule les recommandations par licence :

Catégorie Microsoft 365 Apps ou Microsoft Entra ID gratuit Microsoft Entra ID P1 ou P2
Authentification unique (SSO) Inscription Microsoft Entra ou inscription hybride Microsoft Entra, ou connexion SSO transparente pour les appareils non gérés Jonction Microsoft Entra ou jonction hybride Microsoft Entra
Paramètres de réauthentification Afficher l'option pour rester connecté Stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes

Contenu connexe