Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
L’authentification multifacteur Microsoft Entra permet de protéger l’accès aux données et aux applications, en offrant une couche de sécurité supplémentaire grâce à l’utilisation d’une seconde méthode d’authentification. Les organisations peuvent activer l’authentification multifacteur avec l’accès conditionnel pour que la solution réponde à leurs besoins spécifiques.
Ce guide de déploiement vous montre comment planifier et implémenter un déploiement d’authentification multifacteur Microsoft Entra .
Conditions préalables au déploiement de l’authentification multifacteur Microsoft Entra
Avant de commencer le déploiement, vérifiez que vous répondez aux prérequis suivants pour les scénarios appropriés.
| Scénario | Prérequis |
|---|---|
| Environnement d’identité cloud uniquement avec authentification moderne | Aucune tâche requise |
| Scénarios d’identité hybride | Déployez Microsoft Entra Connect et synchronisez les identités utilisateur entre les services de domaine Active Directory (AD DS) locaux et l’ID Microsoft Entra. |
| Applications héritées locales publiées pour l’accès au cloud | Déployer le proxy d’application Microsoft Entra |
Choisir les méthodes d’authentification pour l’authentification MFA
De nombreuses méthodes peuvent être utilisées pour une authentification à deux facteurs. Vous pouvez effectuer votre choix parmi la liste des méthodes d’authentification disponibles, en évaluant chacune d’elles sur le plan de la sécurité, de la facilité d’utilisation et de la disponibilité.
Importante
Activez plusieurs méthodes MFA pour que les utilisateurs disposent d’une méthode de secours au cas où leur méthode principale ne serait pas disponible. Méthodes incluses :
- Windows Hello Entreprise
- Application Microsoft Authenticator
- Clé de sécurité FIDO2
- Clé secrète Microsoft Authenticator
- Clé d'accès synchronisée (version préliminaire)
- Jetons matériels OATH (version préliminaire)
- Jetons logiciels OATH
- Vérification SMS
- Vérification des appels vocaux
Pour en savoir plus sur la force et la sécurité de ces méthodes ainsi que sur leur fonctionnement, consultez les ressources suivantes :
- Quelles méthodes d’authentification et de vérification sont disponibles dans Microsoft Entra ID ?
- Vidéo : Choisir les méthodes d’authentification appropriées pour assurer la sécurité de votre organisation
Pour une flexibilité et une facilité d’utilisation optimales, utilisez l’application Microsoft Authenticator. Cette méthode d’authentification offre une expérience utilisateur optimale, ainsi que plusieurs modes (authentification sans mot de passe, notifications push MFA et codes OATH, notamment). L’application Microsoft Authenticator répond également aux exigences NIST (National Institute of Standards and Technology) Authenticator Assurance Level 2.
Vous pouvez contrôler les méthodes d’authentification disponibles dans votre locataire. Ainsi, vous pouvez bloquer certaines méthodes moins sécurisées, par exemple l’envoi de SMS.
| Méthode d'authentification | Gérer à partir de | Scoping |
|---|---|---|
| Microsoft Authenticator (notification Push et connexion par téléphone sans mot de passe) | Paramètres MFA ou stratégie de méthodes d’authentification | La connexion par téléphone sans mot de passe à Authenticator peut être limitée à l’étendue des utilisateurs et des groupes |
| Clé de sécurité FIDO2 | Stratégie des méthodes d’authentification | Peut être limitée à l’étendue des utilisateurs et des groupes |
| Jetons OATH logiciels ou matériels | Paramètres d’authentification multifacteur | |
| Vérification par SMS | Paramètres MFA Gestion de la connexion par SMS pour l’authentification principale dans la stratégie d’authentification |
La connexion par SMS peut être limitée à l’étendue des utilisateurs et des groupes. |
| Les appels vocaux | Stratégie des méthodes d’authentification |
Planifier les stratégies d’accès conditionnel
L’authentification multifacteur Microsoft Entra est appliquée avec des stratégies d’accès conditionnel. Ces stratégies d’accès conditionnel vous permettent d’inviter les utilisateurs à procéder à une authentification multifacteur pour des besoins de sécurité, ou pas s’il n’y a en pas besoin.
Dans le Centre d’administration Microsoft Entra, vous configurez des stratégies d'accès conditionnel sous Entra ID>Accès conditionnel.
Pour en savoir plus sur la création de stratégies d’accès conditionnel, consultez la stratégie d’accès conditionnel pour demander l’authentification multifacteur Microsoft Entra lorsqu’un utilisateur se connecte. Ainsi, vous pourrez :
- Vous familiariser avec l’interface utilisateur
- Obtenir une première impression du fonctionnement de l’accès conditionnel
Pour obtenir des conseils de bout en bout sur le déploiement de l’accès conditionnel Microsoft Entra, consultez le plan de déploiement de l’accès conditionnel.
Stratégies courantes pour l’authentification multifacteur Microsoft Entra
Les cas d’utilisation courants exigeant l’authentification multifacteur Microsoft Entra sont notamment les suivants :
- Pour les administrateurs
- Pour des applications spécifiques
- Pour tous les utilisateurs
- Pour la gestion Azure
- À partir d’emplacements réseau auxquels vous ne faites pas confiance
Emplacements nommés
Pour gérer vos stratégies d’accès conditionnel, la condition d’emplacement d’une stratégie d’accès conditionnel vous permet de lier les paramètres de contrôle d’accès aux emplacements réseau des utilisateurs. Nous vous recommandons d’utiliser des emplacements nommés afin de pouvoir créer des regroupements logiques de plages d’adresses IP ou de pays et de régions. Cela entraîne la création d’une stratégie qui bloque la connexion à partir de cet emplacement nommé pour toutes les applications. Veillez à exempter vos administrateurs de cette stratégie.
Stratégies basées sur les risques
Si votre organisation utilise Microsoft Entra ID Protection pour détecter les signaux de risque, envisagez d’utiliser des stratégies basées sur les risques au lieu d’emplacements nommés. Les stratégies peuvent être créées pour forcer les modifications de mot de passe lorsqu’il existe une menace d’identité compromise ou nécessitent une authentification multifacteur lorsqu’une connexion est considérée comme à risque , comme les informations d’identification divulguées, les connexions à partir d’adresses IP anonymes, etc.
Les stratégies basées sur les risques comprennent les contrôles suivants :
- Exiger que tous les utilisateurs s’inscrivent à l’authentification multifacteur Microsoft Entra
- Exiger une modification de mot de passe pour les utilisateurs qui sont à haut risque
- Exiger l’authentification multifacteur pour les utilisateurs présentant un risque de connexion moyen ou élevé
Convertir des utilisateurs de l’authentification multifacteur par utilisateur à l’authentification multifacteur basée sur l’accès conditionnel
Si vos utilisateurs ont été autorisés à utiliser l’authentification MFA par utilisateur et ont appliqué l’authentification multifacteur Microsoft Entra, nous vous recommandons d’activer l’accès conditionnel pour tous les utilisateurs, puis de désactiver manuellement l’authentification multifacteur par utilisateur. Pour plus d’informations, consultez Créer une stratégie d’accès conditionnel.
Planifier la durée de vie des sessions utilisateur
Lorsque vous planifiez votre déploiement d’authentification multifacteur, il est important de réfléchir à la fréquence à laquelle vous souhaitez solliciter vos utilisateurs. Demander aux utilisateurs d’entrer des informations d’identification semble souvent être une chose à faire, mais cela peut avoir l’effet inverse. Si les utilisateurs sont formés pour entrer leurs informations d’identification sans les penser, ils peuvent les fournir involontairement à une invite d’informations d’identification malveillante. Microsoft Entra ID dispose de plusieurs paramètres qui déterminent la fréquence à laquelle vous devez vous réauthentifier. Déterminez les besoins de votre entreprise et de vos utilisateurs, puis configurez les paramètres qui offrent le meilleur compromis pour votre environnement.
Nous recommandons l’utilisation d’appareils avec des jetons d’actualisation PRT (Primary Refresh Tokens) permettant d’améliorer l’expérience de l’utilisateur final et de réduire la durée de vie de la session avec une stratégie de fréquence de connexion, uniquement pour les cas d’usage métier spécifiques.
Pour plus d’informations, consultez Optimiser les invites de réauthentification et comprendre la durée de vie de session pour l’authentification multifacteur Microsoft Entra.
Planifier l’inscription des utilisateurs
Une étape majeure dans chaque déploiement d’authentification multifacteur consiste à inscrire les utilisateurs pour qu’ils utilisent l’authentification multifacteur Microsoft Entra. Les méthodes d’authentification telles que les appels vocaux et les SMS permettent d’effectuer une préinscription, alors que d’autres méthodes, par exemple l’application Authenticator, nécessitent une interaction de l’utilisateur. Les administrateurs doivent déterminer comment les utilisateurs inscrivent leurs méthodes.
Inscription combinée pour la SSPR et l’authentification multifacteur Microsoft Entra
L’expérience d’inscription combinée pour l’authentification multifacteur Microsoft Entra et la réinitialisation de mot de passe en libre-service (SSPR) permet aux utilisateurs de s’inscrire à la fois pour MFA et SSPR dans une expérience unifiée. La fonctionnalité SSPR permet aux utilisateurs de réinitialiser leur mot de passe de manière sécurisée avec les mêmes méthodes dont ils se servent pour l’authentification multifacteur Microsoft Entra. Pour vous assurer que vous comprenez les fonctionnalités et l’expérience de l’utilisateur final, consultez les concepts combinés d’inscription des informations de sécurité.
Il est essentiel d’informer les utilisateurs sur les changements à venir, les conditions d’inscription et toute action utilisateur nécessaire. Nous fournissons des modèles de communication et de la documentation utilisateur pour préparer vos utilisateurs à la nouvelle expérience et aider à garantir un déploiement réussi. Envoyez des utilisateurs à https://myprofile.microsoft.com s’inscrire en sélectionnant le lien Informations de sécurité sur cette page.
Inscription avec la protection Microsoft Entra ID
La protection Microsoft Entra ID contribue à la fois à une stratégie d’inscription et à des stratégies de détection et de correction automatisées des risques pour l’historique de l’authentification multifacteur Microsoft Entra. Vous pouvez créer des stratégies pour forcer le changement de mot de passe en cas de menace de compromission d’identité, ou pour imposer une authentification MFA quand une connexion est considérée comme risquée. Si vous utilisez Microsoft Entra ID Protection, configurez la stratégie d’inscription d’authentification multifacteur Microsoft Entra pour inviter vos utilisateurs à s’inscrire la prochaine fois qu’ils se connectent de manière interactive.
Inscription sans la protection Microsoft Entra ID
Si vous ne disposez pas de licences permettant d’activer la protection Microsoft Entra ID, les utilisateurs sont invités à s’inscrire la prochaine fois que l’authentification multifacteur est requise au moment de la connexion. Pour imposer l’authentification MFA aux utilisateurs, vous pouvez utiliser des stratégies d’accès conditionnel et cibler les applications fréquemment utilisées, par exemple les systèmes de gestion RH. Si le mot de passe d’un utilisateur est compromis, une personne peut s’en servir pour s’inscrire à l’authentification multifacteur et prendre le contrôle du compte. Nous vous recommandons donc de sécuriser le processus d’inscription de sécurité avec des stratégies d’accès conditionnel nécessitant des appareils et des emplacements approuvés. Vous pouvez sécuriser davantage le processus en exigeant également un passe d’accès temporaire. Il s’agit d’un code secret à durée limitée émis par un administrateur, qui répond aux impératifs de l’authentification forte et qui peut être utilisé pour intégrer d’autres méthodes d’authentification, notamment les méthodes d’authentification sans mot de passe.
Augmenter la sécurité des utilisateurs inscrits
Si des utilisateurs sont inscrits à l’authentification MFA basée sur des SMS ou des appels vocaux, vous pouvez les déplacer vers des méthodes plus sécurisées, par exemple l’application Microsoft Authenticator. Microsoft propose désormais une préversion publique des fonctionnalités qui vous permettent d’inviter les utilisateurs à configurer l’application Microsoft Authenticator durant la connexion. Vous pouvez définir ces invites par groupe, en contrôlant les personnes invitées, et en activant des campagnes ciblées pour déplacer les utilisateurs vers la méthode la plus sécurisée.
Planifier des scénarios de récupération
Comme indiqué, vérifiez que les utilisateurs sont inscrits à plusieurs méthodes MFA pour qu’ils aient une solution de secours au cas où l’une de ces méthodes ne seraient pas disponibles. Si les utilisateurs ne disposent pas d’une méthode de secours, vous pouvez :
- Fournissez-les avec un passe d’accès temporaire afin qu’ils puissent gérer leurs propres méthodes d’authentification. Vous pouvez également fournir un passe d’accès temporaire pour permettre l’accès temporaire aux ressources.
- Mettre à jour leurs méthodes en tant qu’administrateur. Pour ce faire, sélectionnez l’utilisateur dans le Centre d’administration Microsoft Entra, puis sélectionnez Entra ID>Méthodes d’authentification et mettez à jour ses méthodes.
Planifier l’intégration avec les systèmes locaux
Les applications qui s’authentifient directement auprès de Microsoft Entra ID et qui disposent d’une authentification moderne (WS-Fed, SAML, OAuth, OpenID Connect) peuvent tirer parti des stratégies d’accès conditionnel. Certaines applications héritées et locales ne s’authentifient pas directement auprès de Microsoft Entra ID et nécessitent des étapes supplémentaires pour utiliser l’authentification multifacteur Microsoft Entra. Vous pouvez les intégrer à l’aide du proxy d’application Microsoft Entra ou des services de stratégie réseau.
Effectuer l’intégration aux ressources AD FS
Nous vous recommandons de migrer les applications sécurisées avec les services de fédération Active Directory (AD FS) vers Microsoft Entra ID. Toutefois, si vous n’êtes pas prêt à les migrer vers Microsoft Entra ID, vous pouvez utiliser l’adaptateur d’authentification multifacteur Azure avec AD FS 2016 ou ultérieur.
Si votre organisation est fédérée avec l’ID Microsoft Entra, vous pouvez configurer l’authentification multifacteur Microsoft Entra en tant que fournisseur d’authentification avec des ressources AD FS locales et dans le cloud.
Clients RADIUS et authentification multifacteur Microsoft Entra
En ce qui concerne les applications qui utilisent l’authentification RADIUS, nous vous recommandons de déplacer les applications clientes vers des protocoles modernes tels que SAML, OpenID Connect ou OAuth sur Microsoft Entra ID. Si l’application ne peut pas être mise à jour, vous pouvez déployer l’extension NPS (Network Policy Server). L’extension NPS sert d’adaptateur entre les applications RADIUS et l’authentification multifacteur Microsoft Entra pour fournir un deuxième facteur d’authentification.
Intégrations courantes
De nombreux fournisseurs prennent désormais en charge l’authentification SAML pour leurs applications. Dans la mesure du possible, nous vous recommandons de fédérer ces applications avec Microsoft Entra ID et d’appliquer l’authentification MFA via l’accès conditionnel. Si votre fournisseur ne prend pas en charge l’authentification moderne, vous pouvez utiliser l’extension NPS. Les intégrations courantes du client RADIUS incluent des applications telles que des passerelles Bureau à distance et des serveurs VPN.
D’autres peuvent inclure :
Passerelle Citrix
Citrix Gateway prend en charge l’intégration d’extension RADIUS et NPS et une intégration SAML.
Cisco VPN
- Le VPN Cisco prend en charge l’authentification RADIUS et SAML pour le SSO.
- En passant de l’authentification RADIUS à SAML, vous pouvez intégrer Cisco VPN sans déployer l’extension NPS.
Tous les VPN
Déployer l’authentification multifacteur Microsoft Entra
Votre plan de déploiement de l’authentification multifacteur Microsoft Entra doit inclure un déploiement pilote suivi par des vagues de déploiement compatibles avec votre capacité de prise en charge. Commencez le déploiement en appliquant vos stratégies d’accès conditionnel à un petit groupe d’utilisateurs pilotes. Après avoir évalué l’impact sur les utilisateurs pilotes, le processus utilisé et les comportements d’inscription, vous pouvez ajouter d’autres groupes à la stratégie ou ajouter d’autres utilisateurs aux groupes existants.
Procédez comme suit :
- Respecter les prérequis nécessaires
- Configurez les méthodes d’authentification choisies.
- Configurez vos stratégies d’accès conditionnel.
- Configurer les paramètres de durée de vie de session
- Configurer les stratégies d’inscription de l’authentification multifacteur Microsoft Entra
Gérer l’authentification multifacteur Microsoft Entra
Cette section fournit des informations sur la création de rapports et la résolution de problèmes liés à l’authentification multifacteur Microsoft Entra.
Rapports et supervision
Microsoft Entra ID propose des rapports qui fournissent des insights techniques et métier, suivent la progression de votre déploiement et vérifient si les utilisateurs réussissent à se connecter avec l’authentification MFA. Demandez à vos propriétaires d’applications métier et techniques de s’attribuer la propriété de ces rapports et de les consommer en fonction des exigences de votre organisation.
Vous pouvez surveiller l’inscription et l’utilisation des méthodes d’authentification au sein de votre organisation à l’aide du tableau de bord Activité des méthodes d’authentification. Cela vous permet de comprendre quelles sont les méthodes inscrites et comment elles sont utilisées.
Utiliser les journaux de connexion pour passer en revue les événements MFA
Les journaux de connexion Microsoft Entra incluent des détails d’authentification pour les événements où un utilisateur doit saisir l’authentification multifacteur, ainsi que si des stratégies d’accès conditionnel étaient appliquées le cas échéant.
L’extension NPS et les journaux AD FS pour l’activité MFA cloud sont désormais inclus dans les journaux de connexion et ne sont plus publiés dans le rapport d’activité.
Pour plus d’informations et d’autres rapports d’authentification multifacteur Microsoft Entra, consultez Consulter les événements d’authentification multifacteur Microsoft Entra.
Résoudre les problèmes liés à l’authentification multifacteur Microsoft Entra
Consultez résolution des problèmes courants liés à l’authentification multifacteur Microsoft Entra .
Procédure pas à pas guidée
Pour obtenir une procédure pas à pas guidée de la plupart des recommandations de cet article, consultez la procédure pas à pas guidée de l’authentification multifacteur Microsoft 365.