Partager via

Gérer une méthode d’authentification externe dans Microsoft Entra ID (préversion)

  • Article

Une méthode d’authentification externe (EAM) permet aux utilisateurs de choisir un fournisseur externe pour répondre aux exigences de l’authentification multifacteur (MFA) quand ils se connectent à Microsoft Entra ID. Une EAM peut répondre aux exigences MFA provenant des stratégies d’accès conditionnel, des stratégies des risques des connexions de Protection des ID Microsoft Entra et de l’activation de Privileged Identity Management (PIM), et quand l’application elle-même exige la MFA.

Les EAM diffèrent de la fédération où l’identité de l’utilisateur est générée et gérés dans Microsoft Entra ID. Avec la fédération, l’identité est gérée dans le fournisseur d’identité externe. Les EAM nécessitent au minimum une licence Microsoft Entra ID P1.

Diagramme du fonctionnement d’une méthode d’authentification externe.

Métadonnées requises pour configurer une méthode d’authentification externe

Pour créer une méthode d’authentification externe, vous avez besoin des informations suivantes provenant de votre fournisseur d’authentification externe :

  • Un ID d’application est généralement une application multilocataire provenant de votre fournisseur, qui est utilisée dans le cadre de l’intégration. Vous devez fournir le consentement administrateur pour cette application dans votre locataire.

  • Un ID client est un identificateur provenant de votre fournisseur, utilisé dans le cadre de l’intégration de l’authentification pour identifier le service Microsoft Entra ID demandant l’authentification.

  • Une URL de découverte est le point de terminaison de découverte OpenID Connect (OIDC) pour le fournisseur d’authentification externe.

    Remarque

    Consultez Configurer un nouveau fournisseur d’authentification externe avec Microsoft Entra ID pour configurer l’inscription de l’application.

Gérer une méthode d’authentification externe dans le centre d’administration Microsoft Entra

Les EAM sont gérées avec la stratégie Méthodes d’authentification de Microsoft Entra ID, tout comme les méthodes prédéfinies.

Créer une méthode d’authentification externe dans le centre d’administration

Avant de créer une méthode d’authentification externe dans le centre d’administration, vérifiez que vous disposez des métadonnées pour configurer une méthode d’authentification externe.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Protection>Méthodes d’authentification>Ajouter une méthode d’authentification externe (préversion).

    Capture d’écran montrant comment ajouter une méthode d’authentification externe dans le centre d’administration Microsoft Entra.

    Ajoutez des propriétés de méthode en fonction des informations de configuration provenant de votre fournisseur. Par exemple :

    • Nom : Adatum
    • ID client : 00001111-aaaa-2222-bbbb-3333cccc4444
    • Point de terminaison de découverte : https://adatum.com/.well-known/openid-configuration
    • ID d’application : 11112222-bbbb-3333-cccc-4444dddd5555

    Important

    Le nom d’affichage est le nom affiché à l’utilisateur dans le sélecteur de méthodes. Il ne peut pas être modifié une fois la méthode créée. Les noms d’affichage doivent être uniques.

    Capture d’écran montrant comment ajouter des propriétés de méthode d’authentification externe.

    Vous avez besoin au minimum du rôle Administrateur de rôle privilégié afin d’octroyer un consentement administrateur pour l’application du fournisseur. Si vous n’avez pas le rôle requis pour accorder le consentement, vous pouvez néanmoins enregistrer votre méthode d’authentification, mais vous ne pouvez pas l’activer tant que le consentement n’est pas accordé.

    Une fois que vous avez entré les valeurs provenant de votre fournisseur, appuyez sur le bouton pour demander l’octroi du consentement administrateur à l’application afin qu’elle puisse lire les informations requises de l’utilisateur pour s’authentifier correctement. Vous êtes invité à vous connecter avec un compte disposant d’autorisations d’administrateur et à accorder les autorisations requises à l’application du fournisseur.

    Une fois connecté, cliquez sur Accepter pour accorder le consentement administrateur :

    Capture d’écran montrant comment accorder le consentement administrateur.

    Vous pouvez voir les autorisations que l’application du fournisseur demande avant d’accorder le consentement. Une fois que vous accordez le consentement administrateur et que la modification est répliquée, la page s’actualise pour montrer que le consentement administrateur a été accordé.

    Capture d’écran de la stratégie Méthodes d’authentification après que le consentement a été accordé.

Si l’application dispose d’autorisations, vous pouvez également activer la méthode avant d’enregistrer. Sinon, vous devez enregistrer la méthode dans un état désactivé et l’activer une fois que le consentement a été accordé à l’application.

Une fois la méthode activée, tous les utilisateurs dans l’étendue peuvent choisir la méthode pour les invites de l’authentification multifacteur. Si le consentement n’est pas approuvé pour l’application du fournisseur, les connexions avec la méthode échouent.

Si l’application est supprimée ou n’a plus d’autorisation, les utilisateurs voient une erreur et la connexion échoue. La méthode ne peut pas être utilisée.

Configurer une méthode d’authentification externe dans le centre d’administration

Pour gérer vos méthodes d’authentification externes dans le centre d’administration Microsoft Entra, ouvrez la stratégie Méthodes d’authentification. Sélectionnez le nom de la méthode pour ouvrir les options de configuration. Vous pouvez choisir les utilisateurs qui sont inclus ou exclus pour l’utilisation de cette méthode.

Capture d’écran montrant comment délimiter l’utilisation de la méthode d’authentification externe pour des utilisateurs spécifiques.

Supprimer une méthode d’authentification externe dans le centre d’administration

Si vous ne voulez plus que vos utilisateurs puissent utiliser la méthode d’authentification externe, vous pouvez :

  • Définir Activer sur Désactivé pour enregistrer la configuration de la méthode
  • Cliquer sur Supprimer pour supprimer la méthode

Capture d’écran montrant comment supprimer une méthode d’authentification externe.

Gérer une méthode d’authentification externe en utilisant Microsoft Graph

Pour gérer la stratégie Méthodes d’authentification en utilisant Microsoft Graph, vous avez besoin de l’autorisation Policy.ReadWrite.AuthenticationMethod. Pour plus d’informations, consultez Mettre à jour authenticationMethodsPolicy.

Expérience utilisateur

Les utilisateurs pour lesquels la méthode d’authentification externe est activée peuvent l’utiliser quand ils se connectent et que l’authentification multifacteur est requise.

Remarque

Nous travaillons activement à la prise en charge de l’authentification multifacteur par défaut du système avec des méthodes d’authentification externes.

Si l’utilisateur a d’autres moyens de se connecter et que l’authentification multifacteur par défaut du système est activée, ces autres méthodes s’affichent dans l’ordre par défaut. L’utilisateur peut choisir d’utiliser une autre méthode, puis sélectionner la méthode d’authentification externe. Par exemple, si Authenticator est activé comme autre méthode pour l’utilisateur, il est invité à entrer le nombre correspondant.

Capture d’écran montrant comment choisir une méthode d’authentification externe quand l’authentification multifacteur par défaut est activée.

Si l’utilisateur n’a pas d’autres méthodes activées, il peut seulement choisir la méthode d’authentification externe. Il est redirigé vers le fournisseur d’authentification externe pour effectuer l’authentification.

Capture d’écran montrant comment se connecter avec une méthode d’authentification externe.

Inscription de la méthode d’authentification pour les EAM

Dans la préversion, tous les utilisateurs d’un groupe d’inclusion pour l’EAM sont considérés comme compatibles MFA et peuvent utiliser la méthode d’authentification externe pour satisfaire l’authentification multifacteur. Les utilisateurs compatibles MFA en raison d’une cible d’inclusion pour un EAM ne sont pas inclus dans les rapports sur l’inscription de méthode d’authentification.

Remarque

Nous travaillons activement à l’ajout de fonctionnalités d’inscription pour les EAM. Une fois l’inscription ajoutée, les utilisateurs qui utilisaient précédemment un EAM devront être inscrits auprès de l’Entra ID avant d’être invités à l’utiliser pour satisfaire l’authentification multifacteur.

Utilisation en parallèle de méthodes d’authentification externes et de contrôles personnalisés d’accès conditionnel

Des méthodes d’authentification externes et des contrôles personnalisés peuvent fonctionner en parallèle. Microsoft recommande aux administrateurs de configurer deux stratégies d’accès conditionnel :

  • Une stratégie pour appliquer le contrôle personnalisé
  • Une autre stratégie avec l’octroi de l’authentification multifacteur requis

Incluez un groupe de tests d’utilisateurs pour chaque stratégie, mais pas pour les deux. Si un utilisateur est inclus dans les deux stratégies ou dans une stratégie avec les deux conditions, il doit satisfaire à l’authentification multifacteur lors de la connexion. Il doit également satisfaire au contrôle personnalisé, ce qui le redirige une deuxième fois vers le fournisseur externe.

Étapes suivantes

Pour plus d’informations sur la gestion des méthodes d’authentification, consultez Gérer les méthodes d’authentification pour Microsoft Entra ID.

Pour obtenir des informations de référence sur les fournisseurs de méthode d’authentification externe, consultez Informations de référence sur les fournisseurs de méthodes externes d’authentification multifacteur de Microsoft Entra (préversion).