Gérer les méthodes d’authentification des utilisateurs pour l’authentification multifacteur Microsoft Entra

Les utilisateurs dans Microsoft Entra ID ont deux ensembles distincts de coordonnées :

• Les coordonnées du profil public, qui sont gérées dans le profil utilisateur et visibles par les membres de votre organisation. Pour les utilisateurs synchronisés depuis Windows Server Active Directory, ces informations sont gérées localement dans Windows Server Active Directory Domain Services.
• Les méthodes d’authentification, qui sont toujours privées et sont utilisées uniquement pour l’authentification, y compris l’authentification multifacteur. Les administrateurs peuvent gérer ces méthodes dans le panneau de méthode d’authentification d’un utilisateur, et les utilisateurs peuvent gérer leurs méthodes dans la page Informations de sécurité de Mon compte.

Lors de la gestion des méthodes d’authentification multifacteur Microsoft Entra pour vos utilisateurs, les administrateurs d'authentification peuvent :

• Ajouter des méthodes d’authentification pour un utilisateur spécifique, notamment des numéros de téléphone utilisés pour l’authentification multifacteur.
• Réinitialisez le mot de passe d’un utilisateur.
• Demander à un utilisateur de se réinscrire pour l’authentification multifacteur.
• Révoquer des sessions MFA existantes.
• Supprimer les mots de passe d’application existants d’un utilisateur

Remarque

Les captures d’écran de cette rubrique montrent comment gérer les méthodes d’authentification utilisateur à l’aide d’une expérience mise à jour dans le centre d’administration Microsoft Entra. Il existe également une expérience héritée, et les administrateurs peuvent basculer entre les deux à l’aide d’une bannière dans le centre d’administration. L’expérience moderne a une parité complète avec l’expérience héritée et gère des méthodes modernes telles que le passe d’accès temporaire, les clés d'accès et d’autres paramètres. L’expérience héritée dans le Centre d’administration Microsoft Entra a été mise hors service le 30 septembre 2025. Aucune action n’est requise par les organisations avant la mise hors service.

Prérequis

L’authentification multifacteur Microsoft Entra qui est activée par défaut.

Ajouter ou modifier des méthodes d’authentification pour un utilisateur

Vous pouvez ajouter ou modifier des méthodes d’authentification pour un utilisateur à l’aide du Centre d’administration Microsoft Entra ou de Microsoft Graph PowerShell. Dans le Centre d’administration Microsoft Entra, la méthode héritée de gestion des méthodes d’authentification utilisateur prend fin après le 30 septembre 2025.

Remarque

Pour des raisons de sécurité, les champs publics de coordonnées des utilisateurs ne doivent pas être utilisés pour effectuer l’authentification multifacteur. Au lieu de cela, les utilisateurs doivent renseigner leur numéro de méthode d’authentification à utiliser pour l’authentification multifacteur.

Pour ajouter ou modifier des méthodes d’authentification pour un utilisateur dans le Centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .
2. Accédez à Entra ID>Users.
3. Choisissez l’utilisateur pour lequel vous souhaitez ajouter ou modifier une méthode d’authentification et sélectionnez Méthodes d’authentification.
4. En haut de la fenêtre, sélectionnez + Ajouter une méthode d’authentification.
   • Sélectionnez une méthode (numéro de téléphone ou e-mail). L’e-mail peut être utilisé pour la réinitialisation de mot de passe, mais pas pour l’authentification. Lorsque vous ajoutez un numéro de téléphone, sélectionnez un type de téléphone et entrez un numéro de téléphone dans un format valide (par exemple, +1 4255551234).
   • Sélectionnez Ajouter.

Les utilisateurs peuvent ajouter ou modifier leurs propres méthodes d’authentification dans Mes connexions | Informations de sécurité. Par exemple, pour modifier le numéro de téléphone, sélectionnez Numéro de téléphone, puis appuyez sur Modifier.

Gérer les méthodes avec PowerShell

Installez le module Microsoft.Graph.Identity.Signins PowerShell à l’aide des commandes suivantes.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gérer les options d’authentification des utilisateurs

Les administrateurs d’authentification peuvent exiger que d’autres utilisateurs réinitialisent leur mot de passe, s’inscrivent à nouveau pour MFA ou révoquent les sessions MFA existantes de leur objet utilisateur. Les utilisateurs ne peuvent pas mettre à jour leur propre objet utilisateur. Pour modifier ou réinitialiser ses propres méthodes de sécurité, les utilisateurs peuvent accéder aux informations de sécurité ou accéder à la réinitialisation de mot de passe en libre-service pour réinitialiser leur mot de passe. Pour gérer les paramètres d’un autre utilisateur, effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .

2. Accédez à Entra ID>Users.

3. Choisissez l’utilisateur sur lequel vous souhaitez effectuer une action et sélectionnez Méthodes d’authentification. En haut de la fenêtre, choisissez l’une des options suivantes pour l’utilisateur :

   • Réinitialiser le mot de passe réinitialise le mot de passe de l’utilisateur et attribue un mot de passe temporaire qui doit être modifié lors de la prochaine connexion.
   • Exiger la réinscription MFA désactive les jetons OATH matériels de l’utilisateur et supprime les méthodes d’authentification suivantes de cet utilisateur : numéros de téléphone, applications Microsoft Authenticator et jetons OATH logiciels. Si nécessaire, l’utilisateur est invité à configurer une nouvelle méthode d’authentification MFA à sa prochaine connexion.
   • Révoquer des sessions MFA efface les sessions MFA mémorisées de l’utilisateur et les oblige à effectuer l’authentification multifacteur la prochaine fois qu’elle est requise par la stratégie sur l’appareil.

   

Supprimer les mots de passe d’application existants des utilisateurs

Pour les utilisateurs qui ont défini des mots de passe d’application, les administrateurs peuvent également choisir de supprimer ces mots de passe, ce qui entraînera l’échec de l’authentification héritée dans ces applications. Ces actions peuvent être nécessaires si vous devez fournir une assistance à un utilisateur ou si vous souhaitez réinitialiser ses méthodes d’authentification. Les applications qui n’ont pas été associées à ces mots de passe d’application ne fonctionnent plus jusqu’à ce qu’un nouveau mot de passe d’application soit créé.

Pour supprimer les mots de passe d’application d’un utilisateur, effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .

2. Accédez à Entra ID>Users.

3. Sélectionnez Authentification multifacteur. Il se peut que vous deviez faire défiler vers la droite pour afficher cette option de menu. Sélectionnez l’exemple de capture d’écran ci-dessous pour afficher l’emplacement complet de la fenêtre et du menu :

4. Cochez la case en regard du ou des utilisateurs que vous souhaitez gérer. Une liste d’options rapides s’affiche à droite.

5. Sélectionnez Gérer les paramètres utilisateur, puis cochez la case pour supprimer tous les mots de passe d’application existants générés par les utilisateurs sélectionnés, comme illustré dans l’exemple suivant :

6. Sélectionnez Enregistrer, puis fermez.

Contenu connexe

• Configurer les paramètres de l’authentification multifacteur Microsoft Entra
• Guide d’utilisateur pour l’authentification multifacteur Microsoft Entra

Les utilisateurs dans Microsoft Entra ID ont deux ensembles distincts de coordonnées :

• Les coordonnées du profil public, qui sont gérées dans le profil utilisateur et visibles par les membres de votre organisation. Pour les utilisateurs synchronisés depuis Windows Server Active Directory, ces informations sont gérées localement dans Windows Server Active Directory Domain Services.
• Les méthodes d’authentification, qui sont toujours privées et sont utilisées uniquement pour l’authentification, y compris l’authentification multifacteur. Les administrateurs peuvent gérer ces méthodes dans le panneau de méthode d’authentification d’un utilisateur, et les utilisateurs peuvent gérer leurs méthodes dans la page Informations de sécurité de Mon compte.

Lors de la gestion des méthodes d’authentification multifacteur Microsoft Entra pour vos utilisateurs, les administrateurs d'authentification peuvent :

• Ajouter des méthodes d’authentification pour un utilisateur spécifique, notamment des numéros de téléphone utilisés pour l’authentification multifacteur.
• Réinitialisez le mot de passe d’un utilisateur.
• Demander à un utilisateur de se réinscrire pour l’authentification multifacteur.
• Révoquer des sessions MFA existantes.
• Supprimer les mots de passe d’application existants d’un utilisateur

Remarque

Les captures d’écran de cette rubrique montrent comment gérer les méthodes d’authentification utilisateur à l’aide d’une expérience mise à jour dans le centre d’administration Microsoft Entra. Il existe également une expérience héritée, et les administrateurs peuvent basculer entre les deux à l’aide d’une bannière dans le centre d’administration. L’expérience moderne a une parité complète avec l’expérience héritée et gère des méthodes modernes telles que le passe d’accès temporaire, les clés d'accès et d’autres paramètres. L’expérience héritée dans le Centre d’administration Microsoft Entra a été mise hors service le 30 septembre 2025. Aucune action n’est requise par les organisations avant la mise hors service.

L’authentification multifacteur Microsoft Entra qui est activée par défaut.

Vous pouvez ajouter ou modifier des méthodes d’authentification pour un utilisateur à l’aide du Centre d’administration Microsoft Entra ou de Microsoft Graph PowerShell. Dans le Centre d’administration Microsoft Entra, la méthode héritée de gestion des méthodes d’authentification utilisateur prend fin après le 30 septembre 2025.

Remarque

Pour des raisons de sécurité, les champs publics de coordonnées des utilisateurs ne doivent pas être utilisés pour effectuer l’authentification multifacteur. Au lieu de cela, les utilisateurs doivent renseigner leur numéro de méthode d’authentification à utiliser pour l’authentification multifacteur.

Pour ajouter ou modifier des méthodes d’authentification pour un utilisateur dans le Centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .
2. Accédez à Entra ID>Users.
3. Choisissez l’utilisateur pour lequel vous souhaitez ajouter ou modifier une méthode d’authentification et sélectionnez Méthodes d’authentification.
4. En haut de la fenêtre, sélectionnez + Ajouter une méthode d’authentification.
   • Sélectionnez une méthode (numéro de téléphone ou e-mail). L’e-mail peut être utilisé pour la réinitialisation de mot de passe, mais pas pour l’authentification. Lorsque vous ajoutez un numéro de téléphone, sélectionnez un type de téléphone et entrez un numéro de téléphone dans un format valide (par exemple, +1 4255551234).
   • Sélectionnez Ajouter.

Les utilisateurs peuvent ajouter ou modifier leurs propres méthodes d’authentification dans Mes connexions | Informations de sécurité. Par exemple, pour modifier le numéro de téléphone, sélectionnez Numéro de téléphone, puis appuyez sur Modifier.

Gérer les méthodes avec PowerShell

Installez le module Microsoft.Graph.Identity.Signins PowerShell à l’aide des commandes suivantes.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Les administrateurs d’authentification peuvent exiger que d’autres utilisateurs réinitialisent leur mot de passe, s’inscrivent à nouveau pour MFA ou révoquent les sessions MFA existantes de leur objet utilisateur. Les utilisateurs ne peuvent pas mettre à jour leur propre objet utilisateur. Pour modifier ou réinitialiser ses propres méthodes de sécurité, les utilisateurs peuvent accéder aux informations de sécurité ou accéder à la réinitialisation de mot de passe en libre-service pour réinitialiser leur mot de passe. Pour gérer les paramètres d’un autre utilisateur, effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .

2. Accédez à Entra ID>Users.

3. Choisissez l’utilisateur sur lequel vous souhaitez effectuer une action et sélectionnez Méthodes d’authentification. En haut de la fenêtre, choisissez l’une des options suivantes pour l’utilisateur :

   • Réinitialiser le mot de passe réinitialise le mot de passe de l’utilisateur et attribue un mot de passe temporaire qui doit être modifié lors de la prochaine connexion.
   • Exiger la réinscription MFA désactive les jetons OATH matériels de l’utilisateur et supprime les méthodes d’authentification suivantes de cet utilisateur : numéros de téléphone, applications Microsoft Authenticator et jetons OATH logiciels. Si nécessaire, l’utilisateur est invité à configurer une nouvelle méthode d’authentification MFA à sa prochaine connexion.
   • Révoquer des sessions MFA efface les sessions MFA mémorisées de l’utilisateur et les oblige à effectuer l’authentification multifacteur la prochaine fois qu’elle est requise par la stratégie sur l’appareil.

   

Pour les utilisateurs qui ont défini des mots de passe d’application, les administrateurs peuvent également choisir de supprimer ces mots de passe, ce qui entraînera l’échec de l’authentification héritée dans ces applications. Ces actions peuvent être nécessaires si vous devez fournir une assistance à un utilisateur ou si vous souhaitez réinitialiser ses méthodes d’authentification. Les applications qui n’ont pas été associées à ces mots de passe d’application ne fonctionnent plus jusqu’à ce qu’un nouveau mot de passe d’application soit créé.

Pour supprimer les mots de passe d’application d’un utilisateur, effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .

2. Accédez à Entra ID>Users.

3. Sélectionnez Authentification multifacteur. Il se peut que vous deviez faire défiler vers la droite pour afficher cette option de menu. Sélectionnez l’exemple de capture d’écran ci-dessous pour afficher l’emplacement complet de la fenêtre et du menu :

4. Cochez la case en regard du ou des utilisateurs que vous souhaitez gérer. Une liste d’options rapides s’affiche à droite.

5. Sélectionnez Gérer les paramètres utilisateur, puis cochez la case pour supprimer tous les mots de passe d’application existants générés par les utilisateurs sélectionnés, comme illustré dans l’exemple suivant :

6. Sélectionnez Enregistrer, puis fermez.