Options de déploiement de la réinitialisation de mot de passe libre-service

Important

En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À compter du 30 septembre 2024, les déploiements du serveur Azure Multi-Factor Authentication ne prendront plus en charge les demandes d’authentification multifacteur (MFA). Les clients d’Azure Multi-Factor Authentication Server doivent planifier de passer à l’utilisation de fournisseurs MFA personnalisés avec MIM SSPR, ou Microsoft Entra SSPR au lieu de MIM SSPR.

Pour les nouveaux clients disposant d’une licence pour Microsoft Entra ID P1 ou P2, nous recommandons d’utiliser Microsoft Entra réinitialisation de mot de passe en libre-service pour fournir l’expérience de l’utilisateur final. Microsoft Entra la réinitialisation de mot de passe en libre-service offre à la fois une expérience web et intégrée à Windows permettant à un utilisateur de réinitialiser son propre mot de passe, et prend en charge la plupart des mêmes fonctionnalités que MIM, y compris la messagerie électronique de remplacement et les portes Q&A. Lors du déploiement de Microsoft Entra réinitialisation de mot de passe en libre-service, vous pouvez configurer Microsoft Entra Connect pour écrire les nouveaux mots de passe dans AD DS, et le service de notification de changement de mot de passe MIM peut être utilisé pour transférer les mots de passe à d’autres systèmes, tels que le serveur d’annuaire d’un autre fournisseur. Le déploiement de MIM pour la gestion des mots de passe ne nécessite pas le déploiement du service MIM ni celui des portails d’inscription ou de réinitialisation de mot de passe libre-service. Au lieu de cela, effectuez les étapes suivantes :

• Tout d’abord, si vous devez envoyer des mots de passe à des répertoires autres que Microsoft Entra ID et AD DS, déployez MIM Sync avec des connecteurs sur services de domaine Active Directory et tous les systèmes cibles supplémentaires, configurez MIM pour la gestion des mots de passe et déployez le service de notification de modification de mot de passe.
• Ensuite, si vous devez envoyer des mots de passe à des répertoires autres que Microsoft Entra ID, configurez Microsoft Entra Connect pour la réécriture des nouveaux mots de passe dans AD DS.
• Si vous le souhaitez, inscrivez au préalable les utilisateurs.
• Enfin, déployez Microsoft Entra réinitialisation de mot de passe en libre-service pour vos utilisateurs finaux.

Pour les clients existants qui avaient précédemment déployé Forefront Identity Manager (FIM) pour la réinitialisation de mot de passe en libre-service et qui disposent d’une licence pour Microsoft Entra ID P1 ou P2, nous vous recommandons de planifier la transition vers Microsoft Entra réinitialisation de mot de passe en libre-service. Vous pouvez faire passer les utilisateurs finaux à Microsoft Entra réinitialisation de mot de passe en libre-service sans avoir besoin de les réinscrire, en synchronisant ou en définissant via PowerShell l’adresse e-mail ou le numéro de téléphone mobile d’un utilisateur. Une fois que les utilisateurs sont inscrits pour Microsoft Entra réinitialisation de mot de passe en libre-service, le portail de réinitialisation de mot de passe FIM peut être désactivé.

Pour les clients qui n’ont pas encore déployé Microsoft Entra réinitialisation de mot de passe en libre-service pour leurs utilisateurs, MIM fournit également des portails de réinitialisation de mot de passe en libre-service. Comparé à FIM, MIM 2016 inclut les changements suivants :

• Le portail de réinitialisation de mot de passe MIM Self-Service et l’écran de connexion Windows permettent aux utilisateurs de déverrouiller leurs comptes sans modifier leurs mots de passe.

• Une nouvelle porte d’authentification, la porte téléphonique, a été ajoutée à MIM. Cela permet l’authentification de l’utilisateur via un appel téléphonique via le service d’authentification multifacteur Microsoft Entra.

La version de MIM 2016 jusqu’à la version 4.5.26.0 s’est appuyée sur le client pour télécharger un KIT de développement logiciel (SDK) déconseillé, et les déploiements existants doivent passer à l’utilisation de MIM SSPR avec un fournisseur MFA personnalisé ou à Microsoft Entra réinitialisation de mot de passe en libre-service. Les nouveaux déploiements doivent utiliser un fournisseur MFA personnalisé ou Microsoft Entra réinitialisation de mot de passe en libre-service.

Déploiement du portail de réinitialisation de mot de passe MIM Self-Service à l’aide d’un fournisseur personnalisé pour l’authentification multifacteur

La section suivante explique comment déployer le portail de réinitialisation de mot de passe en libre-service MIM à l’aide d’un fournisseur pour l’authentification multifacteur. Ces étapes sont uniquement nécessaires pour les clients qui n’utilisent pas Microsoft Entra réinitialisation de mot de passe en libre-service pour leurs utilisateurs.

Avec l’authentification multifacteur, les utilisateurs s’authentifient via le fournisseur externe afin de vérifier leur identité tout en essayant de récupérer l’accès à leur compte et à leurs ressources. L'authentification peut s'effectuer via SMS ou appel téléphonique. Plus l’authentification est forte, plus il est probable que la personne qui tente d’accéder au système soit la véritable propriétaire de l’identité. Une fois authentifié, l'utilisateur peut choisir un nouveau mot de passe pour remplacer l'ancien.

Conditions préalables à la configuration du déverrouillage de compte et de la réinitialisation en libre-service avec MFA

Cette section part du principe que vous avez téléchargé et effectué le déploiement des composants MIM Sync, MIM Service et MIM Portal de Microsoft Identity Manager 2016, notamment les composants et services suivants :

• Un ordinateur Windows Server 2008 R2 ou version ultérieure a été configuré comme serveur Active Directory, avec les services de domaine Active Directory et un contrôleur de domaine avec domaine désigné (domaine « d’entreprise »).

• Une stratégie de groupe est définie pour le verrouillage de compte.

• Le service de synchronisation MIM 2016 (Sync) est installé et en cours d’exécution sur un serveur joint au domaine Active Directory.

• Le service MIM 2016 & portail, y compris le portail d’inscription SSPR et le portail de réinitialisation SSPR, sont installés et exécutés sur un serveur (peut être colocalisé avec Sync)

• Le service de synchronisation MIM est configuré pour la synchronisation d’identité AD-FIM, notamment :

  • Configuration de l'agent de gestion Active Directory (ADMA) pour la connectivité aux services AD DS et capacité à importer des données d'identité et à les exporter vers Active Directory.

  • Configuration de l’agent de gestion MIM (MIM MA) pour la connectivité à la base de données de service FIM et la capacité à importer des données d’identité et à les exporter vers la base de données FIM.

  • Configuration des règles de synchronisation dans le portail MIM pour autoriser la synchronisation des données utilisateur et faciliter les activités de synchronisation dans le service MIM.

• Les compléments MIM 2016 & extensions, y compris le client intégré de connexion Windows SSPR, sont déployés sur le serveur ou sur un ordinateur client distinct.

Si vous utilisez Microsoft Entra’authentification multifacteur, ce scénario nécessite que vous disposiez de licences d’accès client MIM pour vos utilisateurs, ainsi que d’un abonnement pour Microsoft Entra’authentification multifacteur.

Préparer MIM à utiliser L’authentification multifacteur

Configurez le service de synchronisation MIM pour prendre en charge les fonctionnalités de réinitialisation du mot de passe et de déverrouillage de compte. Pour plus d’informations, consultez Installation des compléments et extensions FIM, Installation de FIM SSPR, Portes d’authentification SSPR et Guide de laboratoire de test SSPR.

Configurer la porte téléphonique ou la porte de message texte pour le mot de passe à usage unique

1. Lancez Internet Explorer et accédez au portail MIM, en authentification en tant qu’administrateur MIM, puis cliquez sur Flux de travail dans la barre de navigation de gauche.

   

2. Sélectionnez Flux de travail d'authentification de réinitialisation de mot de passe.

   

3. Cliquez sur l'onglet Activités, puis faites défiler jusqu'à Ajouter une activité.

4. Sélectionnez Porte téléphonique ou Porte SMS à mot de passe unique , cliquez sur Sélectionner , puis SUR OK.

   Notes

   Si vous utilisez un autre fournisseur qui génère le mot de passe à usage unique lui-même, vérifiez que le champ de longueur configuré ci-dessus est de la même longueur que celui généré par le fournisseur MFA. Cette longueur doit être de 6 pour le serveur Azure Multi-Factor Authentication. Le serveur Azure Multi-Factor Authentication génère également son propre texte de message afin que le sms soit ignoré.

Les utilisateurs de votre organisation peuvent désormais s'inscrire pour la réinitialisation du mot de passe. Lors de ce processus, les utilisateurs vont entrer leur numéro de téléphone professionnel ou mobile pour que le système sache comment les appeler (ou comment leur envoyer des messages SMS).

Inscrire des utilisateurs pour la réinitialisation du mot de passe

1. Un utilisateur lance un navigateur web pour accéder au portail d’inscription pour la réinitialisation de mot de passe MIM. (En général, ce portail est configuré avec l'authentification Windows.) Dans le portail, ils vont fournir à nouveau leur nom d'utilisateur et leur mot de passe pour confirmer leur identité.

   Ils doivent accéder au portail d'enregistrement du mot de passe et s'authentifier à l'aide de leur nom d'utilisateur et de leur mot de passe.

2. Dans le champ Numéro de téléphone ou Téléphone mobile , ils doivent entrer un code de pays, un espace et le numéro de téléphone, puis cliquer sur Suivant.

   

   

Comment cela fonctionne-t-il pour vos utilisateurs ?

Maintenant que tout est configuré et opérationnel, vous souhaiterez peut-être savoir ce que vos utilisateurs devront faire quand ils réinitialiseront leur mot de passe juste avant de partir en vacances et s'apercevront, une fois revenus, qu'ils l'ont complètement oublié.

Il existe deux façons pour un utilisateur d’utiliser la fonctionnalité de réinitialisation du mot de passe et de déverrouillage de compte : à partir de l’écran de connexion Windows ou à partir du portail libre-service.

En installant les compléments et extensions MIM sur un ordinateur joint au domaine connecté via le réseau de votre organisation au service MIM, les utilisateurs peuvent résoudre un problème de mot de passe oublié via l'utilisation de la connexion à l'ordinateur. La procédure suivante vous guide tout au long du processus.

Réinitialisation du mot de passe intégrée à la connexion au Bureau Windows

1. Si votre utilisateur entre plusieurs fois le mot de passe incorrect, dans l’écran de connexion, il aura la possibilité de cliquer sur Problèmes de connexion ? .

   

   Un clic sur ce lien mène à l’écran de réinitialisation du mot de passe MIM, où il pourra modifier son mot de passe ou déverrouiller son compte.

   

2. L'utilisateur sera dirigé pour s'authentifier. Si MFA a été configuré, l'utilisateur recevra un appel téléphonique.

3. En arrière-plan, ce qui se passe, c’est que le fournisseur MFA passe ensuite un appel téléphonique au numéro que l’utilisateur a donné quand cet utilisateur s’est inscrit au service.

4. Lorsqu’un utilisateur répond au téléphone, il peut être invité à interagir, par exemple, pour appuyer sur la touche # sur le téléphone. Ensuite, l'utilisateur clique sur Suivant dans le portail.

   Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.

   Notes

   Si l'utilisateur s'impatiente et clique sur Suivant avant d'appuyer sur la touche dièse, l'authentification échoue.

5. Après une authentification réussie, l'utilisateur a deux options : déverrouiller le compte et conserver le mot de passe actuel, ou définir un nouveau mot de passe.

6. L'utilisateur doit entrer le nouveau mot de passe à deux reprises, puis le mot de passe est réinitialisé.

Accès à l'aide du portail libre-service

1. Les utilisateurs peuvent ouvrir un navigateur web, accéder au portail de réinitialisation de mot de passe, entrer le nom d'utilisateur, puis cliquer sur Suivant.

   Si MFA a été configuré, l'utilisateur recevra un appel téléphonique. En arrière-plan, ce qui se passe, c’est que Microsoft Entra’authentification multifacteur passe ensuite un appel téléphonique au numéro que l’utilisateur a donné lorsqu’il s’est inscrit au service.

   Quand l'utilisateur répond au téléphone, il est invité à appuyer sur la touche dièse (#). Ensuite, l'utilisateur clique sur Suivant dans le portail.

2. Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.

   Notes

   Si l'utilisateur s'impatiente et clique sur Suivant avant d'appuyer sur la touche dièse, l'authentification échoue.

3. L’utilisateur doit choisir s’il souhaite réinitialiser son mot de passe ou déverrouiller son compte. S’ils choisissent de déverrouiller leur compte, le compte sera déverrouillé.

   

4. Une fois l’authentification réussie, l’utilisateur dispose de deux options : conserver son mot de passe actuel ou définir un nouveau mot de passe.

5. 

6. Si l'utilisateur choisit de réinitialiser son mot de passe, il devra taper un nouveau mot de passe à deux reprises et cliquer sur Suivant pour changer le mot de passe.