Configurer l'authentification multifactorielle pour Microsoft 365

Découvrez tout notre contenu d'aide et d’apprentissage destiné aux petites entreprises.

Consultez l’aide de Microsoft 365 petite entreprise sur YouTube.

L’authentification multifacteur (également appelée MFA, authentification à deux facteurs ou 2FA) nécessite une deuxième méthode de vérification pour les connexions utilisateur et améliore la sécurité des comptes.

Cet article contient des instructions pour configurer l’authentification multifacteur à l’aide des options disponibles :

• Sécurité par défaut : disponible dans toutes les organisations Microsoft 365 via Microsoft Entra ID Gratuit.
• Stratégies d’accès conditionnel : disponibles dans les organisations Microsoft 365 avec Microsoft Entra ID P1 ou P2.
• Authentification multifacteur par utilisateur héritée (non recommandée) : disponible dans toutes les organisations Microsoft 365 via Microsoft Entra ID Gratuit.

Pour plus d’informations sur les différentes options d’authentification multifacteur dans Microsoft 365, consultez Authentification multifacteur dans Microsoft 365

Ce qu'il faut savoir avant de commencer

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Microsoft Entra autorisations :

    • Activer ou désactiver les paramètres de sécurité par défaut : appartenance aux rôles Administrateur^* général ou Administrateur de la sécurité .
    • Créer et gérer des stratégies d’accès conditionnel : appartenance aux rôles Administrateur^* général ou Administrateur de l’accès conditionnel .

    Importante

    ^* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

• Pour utiliser les paramètres de sécurité par défaut ou l’accès conditionnel, vous devez désactiver l’authentification multifacteur par utilisateur héritée pour les utilisateurs de votre organization. Il n’est probablement pas activé pour les utilisateurs des organisations créées après 2019. Pour obtenir des instructions, consultez Activer l’authentification multifacteur par utilisateur Microsoft Entra pour sécuriser les événements de connexion.

• Avancé : si vous avez des services d’annuaire non-Microsoft avec Services ADFS (AD FS) (configuré avant juillet 2019), configurez le serveur Azure MFA. Pour plus d’informations, consultez Scénarios avancés avec Microsoft Entra solutions d’authentification multifacteur et VPN non-Microsoft.

Gérer les paramètres de sécurité par défaut

Les paramètres de sécurité par défaut sont activés pour les organisations Microsoft 365 créées après octobre 2019. Pour afficher ou modifier la status actuelle des valeurs de sécurité par défaut dans votre organization, procédez comme suit :

1. Dans le centre d’administration Microsoft Entra à https://entra.microsoft.com, accédez àVue d’ensemble des identités>. Ou, pour accéder directement à la page de vue d’ensemble, utilisez https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView.

2. Dans la page de vue d’ensemble, sélectionnez l’onglet Propriétés , puis accédez à la section Sécurité par défaut en bas de l’onglet.

   Selon la status actuelle des valeurs de sécurité par défaut, l’une des expériences suivantes est disponible :

   • Les paramètres de sécurité par défaut sont activés : le texte suivant s’affiche et Gérer les paramètres de sécurité par défaut est disponible :

     Votre organization est protégé par les paramètres de sécurité par défaut.

   • Une ou plusieurs stratégies d’accès conditionnel existent dans Microsoft Entra ID P1 ou P2 : le texte suivant est affiché et Gérer les paramètres de sécurité par défaut n’est pas disponible :

     Votre organization utilise actuellement des stratégies d’accès conditionnel qui vous empêchent d’activer les paramètres de sécurité par défaut. Vous pouvez utiliser l’accès conditionnel pour configurer des stratégies personnalisées qui activent le même comportement que celui fourni par les paramètres de sécurité par défaut.

     Gérer l’accès conditionnel vous permet d’accéder à la page Stratégies sur https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView pour gérer les stratégies d’accès conditionnel. Pour basculer entre les paramètres de sécurité par défaut et les stratégies d’accès conditionnel, consultez la section Rétablir les paramètres de sécurité par défaut à partir des stratégies d’accès conditionnel de cet article.

   • Les paramètres de sécurité par défaut sont désactivés : le texte suivant s’affiche et Gérer les paramètres de sécurité par défaut est disponible :

     Votre organization n’est pas protégé par les paramètres de sécurité par défaut.

3. Si Gérer les paramètres de sécurité par défaut est disponible, sélectionnez-le pour activer ou désactiver les paramètres de sécurité par défaut :

   Dans le menu volant Sécurité par défaut qui s’ouvre, effectuez l’une des étapes suivantes :

   • Activer les paramètres de sécurité par défaut : dans la liste déroulante Sécurité par défaut , sélectionnez Activé, puis Enregistrer.

   • Désactiver les paramètres de sécurité par défaut : dans la liste déroulante Sécurité par défaut , sélectionnez Désactivé. Dans la section Raison de la désactivation, sélectionnez Mon organization envisage d’utiliser l’accès conditionnel.

     Lorsque vous avez terminé dans le menu volant Sécurité par défaut , sélectionnez Enregistrer

   Importante

   Nous vous déconseillons de désactiver les paramètres de sécurité par défaut, sauf si vous basculez vers des stratégies d’accès conditionnel dans Microsoft Entra ID P1 ou P2.

Gérer les politiques d'accès conditionnel

Si votre organization Microsoft 365 inclut Microsoft Entra ID P1 ou version ultérieure, vous pouvez utiliser l’accès conditionnel au lieu des paramètres de sécurité par défaut pour une posture de sécurité plus élevée et un contrôle plus précis. Par exemple :

• Microsoft 365 Business Premium (Microsoft Entra ID P1)
• Microsoft 365 E3 (Microsoft Entra ID P1)
• Microsoft 365 E5 (Microsoft Entra ID P2)
• Un abonnement d’extension

Pour plus d’informations, consultez Planifier un déploiement d’accès conditionnel.

Le passage des paramètres de sécurité par défaut aux stratégies d’accès conditionnel nécessite les étapes de base suivantes :

1. Désactivez les paramètres de sécurité par défaut.
2. Créez des stratégies d’accès conditionnel de base pour recréer les stratégies de sécurité dans les valeurs de sécurité par défaut.
3. Ajustez les exclusions MFA.
4. Créez des stratégies d’accès conditionnel.

Conseil

Si les paramètres de sécurité par défaut sont activés, vous pouvez créer de nouvelles stratégies d’accès conditionnel, mais vous ne pouvez pas les activer. Après avoir désactivé les paramètres de sécurité par défaut, vous pouvez activer les stratégies d’accès conditionnel.

Étape 1 : Désactiver les paramètres de sécurité par défaut

Les paramètres de sécurité par défaut et les stratégies d’accès conditionnel ne peuvent pas être activés en même temps. La première chose à faire est donc de désactiver les paramètres de sécurité par défaut.

Pour obtenir des instructions, consultez la section Précédente Gérer les paramètres de sécurité par défaut dans cet article.

Étape 2 : Créer des stratégies d’accès conditionnel de base pour recréer les stratégies dans les paramètres de sécurité par défaut

Les stratégies par défaut de sécurité étant la base de référence recommandée par Microsoft pour toutes les organisations, il est important de recréer ces stratégies dans l’accès conditionnel avant de créer d’autres stratégies d’accès conditionnel.

Les modèles suivants dans l’accès conditionnel recréent les stratégies dans les paramètres de sécurité par défaut :

• Exiger l’authentification multifacteur pour tous les utilisateurs
• Exiger l’authentification multifacteur pour les administrateurs^*
• Bloquer l’authentification héritée
• Exiger l’authentification multifacteur pour la gestion Azure

^*Vous pouvez améliorer votre posture de sécurité en utilisant l’option Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs à la place.

Pour créer des stratégies d’accès conditionnel à l’aide de ces modèles, procédez comme suit :

1. Dans la centre d’administration Microsoft Entra, accédez à l’accès conditionnel | Page Stratégies à l’adresse https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies.

2. Sur l’accès conditionnel | Page Stratégies , sélectionnez Nouvelle stratégie dans le modèle.

3. Dans la page Nouvelle stratégie à partir d’un modèle , vérifiez que l’onglet Sélectionner un modèle est sélectionné. Sous l’onglet Sélectionner un modèle , vérifiez que l’onglet Fondation sécurisée est sélectionné.

4. Sous l’onglet Fondation sécurisée , sélectionnez l’un des modèles requis (par exemple, Exiger l’authentification multifacteur pour tous les utilisateurs), puis sélectionnez Vérifier + créer.

   Conseil

   Pour rechercher et sélectionner le modèle Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs, utilisez la zone De recherche.

5. Sous l’onglet Vérifier + créer , affichez ou configurez les paramètres suivants :

   • Section Informations de base :
     • Nom de la stratégie : acceptez le nom par défaut ou personnalisez-le.
     • État de la stratégie : sélectionnez Activé
   • Section Affectations : dans la section Utilisateurs et groupes , notez que la valeur Utilisateurs exclus est Utilisateur actuel et que vous ne pouvez pas la modifier. Seuls les comptes d’accès d’urgence doivent être exclus des exigences MFA. Pour plus d’informations, consultez l’étape suivante.

   Lorsque vous avez terminé d’accéder à l’onglet Vérifier + créer , sélectionnez Créer.

   La stratégie que vous avez créée s’affiche sur l’accès conditionnel | Page Stratégies .

6. Répétez les étapes précédentes pour les modèles restants.

Étape 3 : Ajuster les exclusions MFA

Par défaut, les stratégies d’accès conditionnel que vous avez créées à l’étape précédente contiennent des exclusions pour le compte que vous avez été connecté et vous ne pouvez pas modifier les exclusions lors de la création de la stratégie.

Nous recommandons au moins deux comptes d’administrateur d’accès d’urgence dans chaque organization qui ne sont pas attribués à des personnes spécifiques et qui sont utilisés uniquement en cas d’urgence. Ces comptes doivent être exclus des exigences MFA.

Vous devrez peut-être supprimer les exclusions de compte actuelles et/ou ajouter des exclusions de compte d’accès d’urgence aux stratégies suivantes :

• Exiger l’authentification multifacteur pour tous les utilisateurs
• Exiger l’authentification multifacteur pour les administrateurs ou Exiger l’authentification multifacteur résistante au hameçonnage pour les administrateurs
• Exiger l’authentification multifacteur pour la gestion Azure

Avant de créer des stratégies d’accès conditionnel personnalisées, créez vos comptes d’accès d’urgence, puis effectuez les étapes suivantes pour ajuster les exclusions pour les stratégies liées à l’authentification multifacteur :

1. Sur l’accès conditionnel | Page Stratégies sur , sélectionnez l’une des stratégies liées à https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesl’authentification multifacteur que vous avez créées à l’étape précédente (par exemple, Exiger l’authentification multifacteur pour la gestion Azure).

2. Dans la page détails de la stratégie qui s’ouvre, sélectionnez Tous les utilisateurs inclus et les utilisateurs spécifiques exclus dans la section Affectations>utilisateurs .

3. Dans les informations qui s’affichent, sélectionnez l’onglet Exclure .

4. Sous l’onglet Exclure , les paramètres suivants sont configurés :

   • Sélectionnez les utilisateurs et les groupes à exempter de la stratégie : La valeur Utilisateurs et groupes est sélectionnée.
   • Sélectionner les utilisateurs et les groupes exclus : la valeur 1 utilisateur est affichée et le compte d’utilisateur utilisé pour créer la stratégie est affiché.

     • Pour supprimer le compte actuel de la liste des utilisateurs exclus, sélectionnez >Supprimer.

       La valeur passe à 0 utilisateurs et groupes sélectionnés et le texte d’avertissement Sélectionner au moins un utilisateur ou un groupe s’affiche.

     • Pour ajouter des comptes d’accès d’urgence à la liste des utilisateurs exclus, sélectionnez 0 utilisateur et groupe sélectionné. Dans le menu volant Sélectionner des utilisateurs et des groupes exclus qui s’ouvre, recherchez et sélectionnez les comptes d’accès d’urgence à exclure. Les utilisateurs sélectionnés sont affichés dans le volet Sélectionné . Lorsque vous avez terminé, sélectionnez Sélectionner.

       De retour dans la page des détails de la stratégie, sélectionnez Enregistrer.

5. Répétez les étapes précédentes pour les stratégies MFA restantes.

Conseil

La stratégie Bloquer l’authentification héritée n’a probablement besoin d’aucune exclusion. Vous pouvez donc utiliser les étapes précédentes pour supprimer l’exclusion existante. Décochez simplement Utilisateurs et groupes à l’étape 4.

Pour plus d’informations sur les exclusions d’utilisateurs dans les stratégies d’accès conditionnel, consultez Exclusions d’utilisateurs.

Étape 4 : Créer des stratégies d’accès conditionnel mew

Vous pouvez maintenant créer des stratégies d’accès conditionnel qui répondent aux besoins de votre entreprise. Pour plus d’informations, consultez Planifier un déploiement d’accès conditionnel.

Rétablir les valeurs de sécurité par défaut à partir des stratégies d’accès conditionnel

Les paramètres de sécurité par défaut sont désactivés lorsque vous utilisez des stratégies d’accès conditionnel. Si une ou plusieurs stratégies d’accès conditionnel existent dans un état (Désactivé, Activé ou Rapport uniquement), vous ne pouvez pas activer les paramètres de sécurité par défaut. Vous devez supprimer toutes les stratégies d’accès conditionnel existantes avant de pouvoir activer les paramètres de sécurité par défaut.

Attention

Avant de supprimer des stratégies d’accès conditionnel, veillez à enregistrer leurs paramètres.

Pour supprimer des stratégies d’accès conditionnel, procédez comme suit :

1. Sur l’accès conditionnel | Page Stratégies sur https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies, sélectionnez la stratégie que vous souhaitez supprimer.
2. Dans la page de détails qui s’ouvre, sélectionnez Supprimer en haut de la page.
3. Dans la boîte de dialogue Êtes-vous sûr ? qui s’ouvre, sélectionnez Oui.

Après avoir supprimé toutes les stratégies d’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut comme décrit dans Gérer les paramètres de sécurité par défaut.

Gérer l’authentification multifacteur héritée par utilisateur

Nous vous recommandons vivement d’utiliser les paramètres de sécurité par défaut ou l’accès conditionnel pour l’authentification multifacteur dans Microsoft 365. Si ce n’est pas le cas, votre dernière option est l’authentification multifacteur pour les comptes de Microsoft Entra ID individuels via Microsoft Entra ID Gratuit.

Pour obtenir des instructions, consultez Activer l’authentification multifacteur par utilisateur Microsoft Entra pour sécuriser les événements de connexion.

Étapes suivantes

• Administrateurs : Administration sécurité des comptes dans Microsoft 365 pour les entreprises

• Utilisateurs :

  • Qu’est-ce que l’authentification multifacteur ?
  • Connexion après l’inscription
  • Modifier la façon dont vous effectuez une vérification supplémentaire
  • Configurez votre connexion Microsoft 365 pour l’authentification multifacteur et la vidéo suivante :

Contenu connexe

Configurer l’authentification multifacteur (vidéo)

Activer l’authentification multifacteur pour votre téléphone (article)

Authentification multifacteur pour Microsoft 365 (article)