Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour permettre l’utilisation de la fonctionnalité SSPR (réinitialisation de mot de passe en libre-service) de Microsoft Entra, les informations relatives à l’authentification d’un utilisateur doivent être présentes. La plupart des organisations demandent aux utilisateurs d’enregistrer eux-mêmes leurs données d’authentification tout en collectant des informations pour l’authentification multifacteur.
Certaines organisations préfèrent amorcer ce processus en synchronisant les données d’authentification qui existent déjà dans les services de domaine Active Directory. Ces données synchronisées sont accessibles à Microsoft Entra ID et SSPR sans nécessiter d’interaction de l’utilisateur. Quand les utilisateurs doivent changer ou réinitialiser leur mot de passe, ils peuvent le faire même s’ils n’ont pas inscrit leurs informations de contact.
Vous pouvez préremplir les informations de contact relatives à l’authentification si vous respectez les exigences suivantes :
- Vous avez correctement formaté les données de votre annuaire local.
- Vous avez configuré Microsoft Entra Connect pour votre locataire Microsoft Entra.
Les numéros de téléphone doivent être au format +IndicatifTéléphoniqueInternational NuméroTéléphone, par exemple +1 4251234567. D’autres restrictions sont les suivantes :
- Un espace est obligatoire entre l’indicatif téléphonique international et le numéro de téléphone.
- La réinitialisation du mot de passe ne prend pas en charge les extensions de téléphone. Même au format +1 4251234567X12345, les extensions sont supprimées avant l’appel.
Champs renseignés
Si vous utilisez les paramètres par défaut dans Microsoft Entra Connect, les mappages suivants sont effectués pour renseigner les informations de contact d’authentification pour SSPR.
| Active Directory local | Microsoft Entra ID (système d'identification de Microsoft) |
|---|---|
telephoneNumber |
Téléphone de bureau |
mobile |
Téléphone mobile |
Une fois qu’un utilisateur confirme son numéro de téléphone mobile, le champ Téléphone situé sous Informations de contact d’authentification dans Microsoft Entra ID est également renseigné avec ce numéro.
Informations de contact d’authentification
Sur la page Méthodes d’authentification d’un utilisateur Microsoft Entra dans le centre d’administration Microsoft Entra, les utilisateurs qui se voient attribuer au moins le rôle d’administrateur de l’authentification privilégiée peuvent définir manuellement les informations de contact d’authentification pour n’importe qui. Vous pouvez passer en revue les méthodes existantes dans la section Méthodes d’authentification utilisables ou en sélectionnant +Ajouter une méthode d’authentification.
Les considérations suivantes s’appliquent à ces informations de contact d’authentification :
- Si le champ Téléphone est renseigné et si l’option Téléphone mobile est activée dans la stratégie SSPR, l’utilisateur voit ce numéro sur la page d’inscription de réinitialisation du mot de passe et lors du workflow de réinitialisation du mot de passe.
- Si le champ Adresse e-mail est renseigné et si l’option Adresse e-mail est activée dans la stratégie SSPR, l’utilisateur voit cette adresse e-mail sur la page d’inscription de réinitialisation du mot de passe et lors du workflow de réinitialisation du mot de passe.
Questions et réponses de sécurité
Les questions et réponses de sécurité sont stockées en toute sécurité dans votre locataire Microsoft Entra et ne sont accessibles aux utilisateurs que via l’expérience d’inscription combinée Mon Security-Info. Les administrateurs ne peuvent pas voir, définir ou modifier le contenu des questions et réponses d’un autre utilisateur.
Que se passe-t-il lorsqu’un utilisateur s’inscrit ?
Lorsqu’un utilisateur s'inscrit, la page d’inscription définit les champs suivants :
- Téléphone d’authentification
- E-mail d’authentification
- Questions et réponses de sécurité
Si vous avez fourni une valeur pour Téléphone mobile ou Adresse e-mail de secours, les utilisateurs peuvent immédiatement s’en servir pour réinitialiser leur mot de passe, même s’ils ne se sont pas inscrits au service.
Les utilisateurs voient également ces valeurs lorsqu’ils s’inscrivent pour la première fois et peuvent les modifier s’ils le souhaitent. Une fois l’inscription des utilisateurs correctement effectuée, ces valeurs sont conservées dans les champs Téléphone d’authentification et E-mail d’authentification, respectivement.
Définir et lire les données d’authentification par le biais de PowerShell
Vous pouvez définir les champs suivants via PowerShell :
- Adresse électronique secondaire
- Téléphone mobile
-
Téléphone de bureau
- Ne peut être défini que si vous n’effectuez pas de synchronisation avec un annuaire local.
Vous pouvez utiliser Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID. Vous pouvez également utiliser l’API REST Microsoft Graph pour gérer les méthodes d’authentification.
Utiliser Microsoft Graph PowerShell
Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell.
Pour effectuer une installation rapide à partir de versions récentes de PowerShell qui prennent en charge Install-Module, exécutez les commandes suivantes. La première ligne vérifie si le module est déjà installé.
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Une fois le module installé, suivez les étapes suivantes pour configurer chaque champ.
Définir les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Lire les données d’authentification avec Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Étape suivante
Une fois que les informations de contact d’authentification sont préremplies pour les utilisateurs, suivez le tutoriel suivant pour activer la réinitialisation du mot de passe en libre-service :