Partager via


Guide pratique pour mener une campagne d’inscription afin de configurer Microsoft Authenticator

Vous pouvez encourager les utilisateurs à installer Microsoft Authenticator lorsqu’ils se connectent. Les utilisateurs effectuent les étapes habituelles de connexion et d’authentification multifacteur, puis sont invités à installer Microsoft Authenticator. Vous pouvez inclure ou exclure des utilisateurs ou groupes pour contrôler qui peut recevoir une invitation à installer l’application. Cela vous permet de mener des campagnes ciblées pour faire passer les utilisateurs de méthodes d’authentification moins sécurisées à Authenticator.

Vous pouvez également définir le nombre de jours pendant lesquels un utilisateur peut reporter, ou « répéter », la notification d'encouragement. Si un utilisateur appuie sur Ignorer pour le moment pour reporter l'invite l'encourageant à installer l'application, il sera de nouveau encouragé à le faire lors de sa prochaine tentative d'authentification multifacteur (MFA) une fois la durée de report écoulée. Vous pouvez choisir si l'utilisateur peut répéter l'invite indéfiniment ou jusqu'à trois fois maximum (après quoi l'inscription est obligatoire).

Note

Lors du processus de connexion habituel, les stratégies d'accès conditionnel qui régissent l'inscription des informations de sécurité s'appliquent avant que l'utilisateur ne soit invité à configurer Authenticator. Par exemple, si une stratégie d'accès conditionnel nécessite que les mises à jour d'informations de sécurité se produisent uniquement sur un réseau interne, les utilisateurs ne seront pas invités à configurer Authenticator, sauf s'ils se trouvent sur ce réseau interne.

Prerequisites

  • Votre organisation doit avoir activé l'authentification multifacteur Microsoft Entra. Chaque édition de Microsoft Entra ID inclut l'authentification multifacteur Microsoft Entra. Aucune autre licence n'est nécessaire pour une campagne d'inscription.
  • Les utilisateurs ne peuvent pas avoir déjà installé l’application Authenticator pour les notifications Push dans leur compte.
  • Les administrateurs doivent activer l'application Authenticator pour les utilisateurs au moyen de l'une des stratégies suivantes :
    • Stratégie d’inscription MFA : la notification via une application mobile doit être activée pour les utilisateurs concernés.
    • Stratégie de méthodes d’authentification : les utilisateurs doivent être autorisés à utiliser l’application Authenticator, et le mode d’authentification doit être défini sur Quelconque ou Push. Si la stratégie est définie sur Sans mot de passe, l’utilisateur ne recevra pas de notification d’encouragement. Pour plus d’informations sur la façon de définir le mode d’authentification, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.

Expérience utilisateur

  1. Tout d'abord, vous devez réussir à vous authentifier à l'aide de l'authentification multifacteur (MFA) Microsoft Entra.

  2. Si vous avez activé les notifications Push pour Authenticator et que l'application n'est pas encore configurée, vous recevrez une invite pour configurer Authenticator afin d'améliorer votre expérience de connexion.

    Note

    Vous pouvez recevoir une invite pour configurer d'autres fonctionnalités de sécurité, telles que la clé d'accès sans mot de passe, la réinitialisation de mot de passe en libre-service ou les paramètres de sécurité par défaut.

    Capture d'écran de l'authentification multifacteur.

  3. Appuyez sur Suivant et suivez les étapes pour configurer l'application Authenticator.

  4. Commencer par télécharger l'application.

    Capture d'écran du téléchargement pour Microsoft Authenticator.

    1. Regardez comment installer l’application d’authentification.

      Capture d'écran de Microsoft Authenticator.

    2. Numériser le code QR.

      Capture d'écran du code QR.

    3. Confirmez votre identité.

      Capture d'écran de l'écran Vérifier votre identité.

    4. Approuvez la notification de test sur votre appareil.

      Capture d'écran de la notification de test.

    5. L'application Authenticator est maintenant correctement configurée.

      Capture d'écran de l'installation terminée.

  5. Si vous ne souhaitez pas installer l'application Authenticator, appuyez sur Ignorer pour le moment pour répéter la notification pendant un maximum de 14 jours. Cette durée peut être définie par un administrateur. Les utilisateurs disposant d'abonnements ou d'essai gratuits peuvent répéter l'invite jusqu'à trois fois.

    Capture d'écran de l'option de rappel.

Activer la stratégie de campagne d'inscription à l'aide du centre d'administration Microsoft Entra

Pour activer une campagne d'inscription dans le centre d'administration Microsoft Entra, effectuez les étapes suivantes :

  1. Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de la stratégie d'authentification.

  2. Accédez à Entra ID, puis aux > et à la >, puis cliquez sur Modifier.

  3. Pour État :

    • Sélectionnez Activé pour activer la campagne d'inscription pour tous les utilisateurs.
    • Sélectionnez Géré par Microsoft pour activer la campagne d'inscription uniquement pour les utilisateurs d'appels vocaux ou de messages texte. Le paramètre Géré par Microsoft permet à Microsoft de définir la valeur par défaut. Pour plus d'informations, consultez Protection des méthodes d'authentification dans Microsoft Entra ID.

    Si l'état de la campagne d'inscription est paramétré sur Activé ou Géré par Microsoft, vous pouvez configurer l'expérience pour les utilisateurs finaux en utilisant l'option Nombre limité de rappels :

    • Si Nombre limité de rappels est activé, les utilisateurs peuvent ignorer l'invite d'interruption 3 fois, après quoi ils sont obligés d'inscrire Authenticator.
    • Si Nombre limité de rappels est désactivé, les utilisateurs peuvent reporter l'invite un nombre illimité de fois et ainsi éviter l'inscription d'Authenticator.

    Nombre de jours autorisés pour la répétition définit la période entre deux invites d'interruption successives. Par exemple, si cette valeur est définie sur 3 jours, les utilisateurs qui ont ignoré l'inscription ne sont pas invités à nouveau avant la fin de cette période de 3 jours.

    Capture d’écran de l’activation d’une campagne d’inscription.

  4. Sélectionnez les utilisateurs ou les groupes à exclure de la campagne d'inscription, puis cliquez sur Enregistrer.

Activer la stratégie de campagne d’inscription à l’aide de l’Afficheur Graph

Outre l'utilisation du centre d'administration Microsoft Entra, vous pouvez également activer la stratégie de campagne d'inscription à l'aide de l'Afficheur Graph. Pour activer la stratégie de campagne d’inscription, vous devez utiliser la stratégie des méthodes d’authentification à l’aide des API Graph. Seules les personnes ayant au minimum le rôle d'Administrateur de la stratégie d'authentification peuvent mettre à jour cette stratégie.

Pour configurer la stratégie à l’aide de l’Afficheur Graph :

  1. Connectez-vous à l'Afficheur Graph et vérifiez que vous avez accepté les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

    Pour ouvrir le panneau Autorisations :

    Capture d'écran de l'Afficheur Graph.

  2. Récupérez la stratégie des méthodes d’authentification :

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  3. Mettez à jour la section registrationEnforcement et authenticationMethodsRegistrationCampaign de la stratégie pour activer la fonctionnalité d’encouragement sur un utilisateur ou un groupe.

    Capture d’écran de la réponse API.

    Pour modifier la stratégie, effectuez un PATCH sur la stratégie des méthodes d’authentification avec uniquement la section registrationEnforcement modifiée :

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    

Le tableau suivant liste les propriétés de la section authenticationMethodsRegistrationCampaign.

Name Valeurs possibles Descriptif
snoozeDurationInDays Plage : 0 - 14 Définit le nombre de jours avant que l’utilisateur soit à nouveau encouragé.
Si la valeur est 0, l’utilisateur est encouragé à chacune de ses tentatives d’authentification MFA.
Par défaut : 1 jour
enforceRegistrationAfterAllowedSnoozes « true »
« faux »
Détermine si un utilisateur doit effectuer la configuration après 3 rappels.
Si la valeur est true, l'utilisateur doit s'inscrire.
Si la valeur est false, l'utilisateur peut reporter indéfiniment.
Valeur par défaut : true.
état "enabled" (activé)
"disabled" (désactivé)
« valeur par défaut »
Vous permet d’activer ou de désactiver la fonctionnalité.
La valeur par défaut est utilisée si la configuration n'a pas été explicitement définie ; la valeur par défaut Microsoft Entra ID est utilisée pour ce paramètre. L'état par défaut est activé pour les utilisateurs d'appels vocaux et de messages texte dans tous les locataires.
Passez de l'état activé (pour tous les utilisateurs) à l'état désactivé en fonction des besoins.
excludeTargets N/A Vous permet d’exclure les différents utilisateurs et groupes pour lesquels vous ne souhaitez pas activer la fonctionnalité. Si un utilisateur est membre à la fois d’un groupe qui est exclu et d’un groupe qui est inclus, il est exclu de la fonctionnalité.
includeTargets N/A Vous permet d’inclure les différents utilisateurs et groupes pour lesquels vous souhaitez activer la fonctionnalité.

Le tableau suivant liste les propriétés includeTargets.

Name Valeurs possibles Descriptif
targetType "user" (utilisateur)
"groupe"
Type d’entité ciblée.
id Identificateur GUID ID de l’utilisateur ou du groupe ciblé.
targetedAuthenticationMethod « microsoftAuthenticator » L’utilisateur de la méthode d’authentification est invité à s’inscrire. La seule valeur autorisée est "microsoftAuthenticator".

Le tableau suivant liste les propriétés excludeTargets.

Name Valeurs possibles Descriptif
targetType "user" (utilisateur)
"groupe"
Type d’entité ciblée.
id Chaîne ID de l’utilisateur ou du groupe ciblé.

Exemples

Voici quelques exemples JSON utiles pour commencer.

  • inclure tous les utilisateurs

    Si vous souhaitez inclure TOUS les utilisateurs de votre locataire, modifiez l'exemple JSON ci-dessous pour y ajouter les GUID associés aux utilisateurs et groupes ciblés. Collez-le ensuite dans l'Afficheur Graph, puis exécutez PATCH sur le point de terminaison.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [],
                "includeTargets": [
                    {
                        "id": "all_users",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    
  • Inclure des utilisateurs ou groupes d’utilisateurs spécifiques

    Si vous souhaitez inclure certains utilisateurs ou groupes de votre locataire, modifiez l'exemple JSON ci-dessous pour y ajouter les GUID associés aux utilisateurs et groupes ciblés. Collez ensuite le code JSON dans l’Afficheur Graph, puis exécutez PATCH sur le point de terminaison.

    {
    "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
    }  
    
  • Inclure et exclure des utilisateurs ou des groupes spécifiques

    Si vous souhaitez inclure et exclure certains utilisateurs ou groupes de votre locataire, modifiez l'exemple JSON ci-dessous avec les GUID associés aux utilisateurs et groupes ciblés. Collez-le ensuite dans l'Afficheur Graph, puis exécutez PATCH sur le point de terminaison.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group"
                    },
                  {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user"
                    }
                ],
                "includeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    },
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    

Identifier les GUID des utilisateurs à ajouter dans le code JSON

  1. Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de la stratégie d'authentification.

  2. Dans le panneau Gérer, appuyez sur Utilisateurs.

  3. Dans la page Utilisateurs, identifiez l’utilisateur spécifique que vous souhaitez cibler.

  4. Lorsque vous appuyez sur l’utilisateur à cibler, vous voyez son ID d’objet, qui est le GUID de l’utilisateur.

    ID de l’objet utilisateur

Identifier les GUID des groupes à ajouter dans le code JSON

  1. Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de la stratégie d'authentification.

  2. Dans le panneau Gérer, appuyez sur Groupes.

  3. Dans la page Groupes, identifiez le groupe spécifique que vous souhaitez cibler.

  4. Appuyez sur le groupe et récupérez l’ID d’objet associé.

    Encourager un groupe

Limitations

La notification d’encouragement ne s’affichera pas sur les appareils mobiles Android ou iOS.

Forum aux questions

Les utilisateurs peuvent-ils être incités à configurer Authenticator depuis une application ?

Oui, nous prenons en charge les vues incorporées du navigateur dans certaines applications. Nous n'encourageons pas les utilisateurs dans les expériences prêtes à l’emploi ou dans les fenêtres de navigateur intégrées dans les paramètres Windows.

Les utilisateurs peuvent-ils être redirigés dans une session d’authentification unique (SSO) ?

Nudge ne se déclenche pas si l’utilisateur est déjà connecté avec l’authentification unique.

Les utilisateurs peuvent-ils être incités sur un appareil mobile ?

La campagne d'inscription n'est pas disponible sur les appareils mobiles.

Pendant combien de temps la campagne est-elle activée ?

Vous pouvez la maintenir active aussi longtemps que vous le souhaitez. Quand vous souhaitez arrêter la campagne, désactivez-la simplement via le centre d'administration ou à l'aide des API.

La durée de répétition définie peut-elle être différente pour chaque groupe d'utilisateurs ?

Non. La durée de répétition de l’invite est un paramètre au niveau du locataire qui s’applique à tous les groupes de l’étendue.

Les utilisateurs peuvent-ils être encouragés à installer une connexion par téléphone sans mot de passe ?

Cette fonctionnalité vise à permettre aux administrateurs d’amener les utilisateurs à installer MFA avec l’application Authenticator et non la connexion par téléphone sans mot de passe.

Un utilisateur qui se connecte à l'aide d'une application d'authentification tierce voit-il la notification d'encouragement ?

Oui. Si un utilisateur est activé pour la campagne d’inscription et que Microsoft Authenticator n’est pas configuré pour les notifications Push, l’utilisateur est poussé à configurer Authenticator.

Un utilisateur ayant uniquement configuré Authenticator pour les codes TOTP voit-il la notification d'encouragement ?

Oui. Si un utilisateur est inclus dans la campagne d'inscription et que l'application Authenticator n'est pas configurée pour les notifications Push, l'utilisateur est encouragé à configurer les notifications Push avec Authenticator.

Si un utilisateur vient de terminer son inscription MFA, voit-il la notification d'encouragement dans la même session de connexion ?

Non. Pour une expérience utilisateur optimale, les utilisateurs ne recevront pas d’encouragement à installer Authenticator durant la session où ils inscrivent d’autres méthodes d’authentification.

Puis-je encourager des utilisateurs à inscrire une autre méthode d'authentification ?

Non. La fonctionnalité actuelle vise à encourager les utilisateurs à installer uniquement l’application Authenticator.

Y a-t-il un moyen de masquer l'option de répétition et de forcer les utilisateurs à installer l'application Authenticator ?

Définissez le paramètre Nombre limité de rappels sur Activé pour que l'utilisateur ne puisse reporter la configuration de l'application que trois fois, après quoi elle devient obligatoire.

Pourrai-je envoyer des notifications d'encouragement aux utilisateurs si je n'utilise pas l'authentification multifacteur Microsoft Entra ?

Non. La fonctionnalité d'encouragement peut être activée uniquement pour les utilisateurs qui utilisent une authentification multifacteur à l'aide du service d'authentification multifacteur Microsoft Entra.

Les utilisateurs invités/B2B de mon locataire seront-ils encouragés ?

Oui. Ils recevront une notification d’encouragement s’ils ont été inclus à l’aide de la stratégie.

Que se passe-t-il si l'utilisateur ferme le navigateur ?

Cette action a le même effet que la répétition. Si l'utilisateur a déjà reporté trois fois et que la configuration est désormais obligatoire, il sera incité à la prochaine connexion.

Pourquoi certains utilisateurs ne voient-ils pas d'incitation lorsqu'il existe une stratégie d'accès conditionnel pour « Inscrire les informations de sécurité » ?

L'incitation n'apparaît pas si un utilisateur est concerné par une stratégie d'accès conditionnel qui bloque l'accès à la page Inscrire les informations de sécurité.

Les utilisateurs voient-ils la notification d'encouragement si une fenêtre des conditions d'utilisation s'affiche lors de la connexion ?

La notification d'encouragement n'apparaît pas si la fenêtre des conditions d'utilisation s'affiche lors de la connexion.

Les utilisateurs voient-ils la notification d'encouragement quand des contrôles personnalisés d'accès conditionnel sont applicables à la connexion ?

La notification d'encouragement n'apparaît pas si un utilisateur est redirigé pendant la connexion en raison des paramètres de contrôles personnalisés d'accès conditionnel.

Y a-t-il des projets de suppression des méthodes SMS et appel vocal pour l'authentification multifacteur ?

Non, aucun projet de ce type n'est prévu.

Étapes suivantes

Activer la connexion sans mot de passe avec Microsoft Authenticator