Qu’est-ce que la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?
Vous avez été invité à évaluer les moyens permettant de réduire les coûts du support technique dans votre organisation de vente. Vous avez remarqué que l’équipe du support technique consacre beaucoup de temps à réinitialiser les mots de passe pour les utilisateurs. Les utilisateurs se plaignent souvent des retards avec ce processus, et ces retards ont un impact sur leur productivité. Vous voulez comprendre comment vous pouvez configurer Azure pour permettre aux utilisateurs de gérer leurs propres mots de passe.
Dans cette unité, vous allez découvrir le fonctionnement de la réinitialisation de mot de passe en libre-service (SSPR) dans Microsoft Entra ID.
Pourquoi utiliser SSPR ?
Dans Microsoft Entra ID, tous les utilisateurs peuvent changer leur mot de passe s’ils sont déjà connectés. Cependant, s’ils ne sont pas connectés et qu’ils ont oublié leur mot de passe ou que ce dernier a expiré, ils doivent le réinitialiser. Avec SSPR, les utilisateurs peuvent réinitialiser leur mot de passe dans un navigateur web ou à partir d’un écran de connexion de Windows pour récupérer l’accès à Azure, à Microsoft 365 et à toute autre application qui utilise Microsoft Entra ID pour l’authentification.
SSPR réduit la charge sur les administrateurs, car les utilisateurs peuvent résoudre eux-mêmes les problèmes de mot de passe, sans avoir à appeler le support technique. De plus, cette fonctionnalité minimise l’impact sur la productivité d’un mot de passe oublié ou arrivé à expiration. Les utilisateurs n’ont pas besoin d’attendre qu’un administrateur soit disponible pour réinitialiser leur mot de passe.
Fonctionnement de SSPR
L’utilisateur lance une réinitialisation de mot de passe en accédant directement au portail de réinitialisation de mot de passe ou en sélectionnant le lien Vous ne parvenez pas à accéder à votre compte ? sur une page de connexion. Le portail de réinitialisation effectue les étapes suivantes :
- Localisation : Le portail vérifie les paramètres régionaux du navigateur et affiche la page SSPR dans la langue appropriée.
- Vérification : L’utilisateur entre son nom d’utilisateur et effectue un test CAPTCHA pour garantir qu’il s’agit d’un utilisateur, et non d’un bot.
- Authentification : l’utilisateur entre les données nécessaires pour authentifier son identité. Il peut entrer un code ou répondre à des questions de sécurité.
- Réinitialisation du mot de passe : Si l’utilisateur réussit les tests d’authentification, il peut entrer un nouveau mot de passe et le confirmer.
- Notification : Un message est envoyé à l’utilisateur pour confirmer la réinitialisation.
Il existe plusieurs façons de personnaliser l’expérience utilisateur SSPR. Par exemple, vous pouvez ajouter le logo de votre entreprise à la page de connexion afin que les utilisateurs sachent qu’ils sont au bon endroit pour réinitialiser leur mot de passe.
Authentifier la réinitialisation d’un mot de passe
Il est essentiel de vérifier l’identité d’un utilisateur avant d’autoriser la réinitialisation d’un mot de passe. Des utilisateurs malveillants peuvent exploiter les failles du système pour emprunter l’identité de cet utilisateur. Azure prend en charge six façons différentes d’authentifier les demandes de réinitialisation.
En tant qu’administrateur, vous choisissez les méthodes à utiliser au moment où vous configurez SSPR. Activez deux ou plusieurs de ces méthodes afin que les utilisateurs puissent choisir celles qu’ils peuvent facilement utiliser. Ces méthodes sont les suivantes :
| Méthode d’authentification | Processus d’inscription | Processus d’authentification pour la réinitialisation d’un mot de passe |
|---|---|---|
| Notification sur l’application mobile | Installez l’application Microsoft Authenticator sur votre appareil mobile, puis inscrivez-la dans la page de configuration de l’authentification multifacteur. | Azure envoie une notification à l’application, que vous pouvez vérifier ou refuser. |
| Code d’application mobile | Cette méthode utilise également l’application Authenticator, que vous installez et inscrivez de la même façon. | Entrez le code de l’application. |
| Indiquez une adresse e-mail externe autre qu’Azure et Microsoft 365. | Azure envoie un code à l’adresse, que vous entrez dans l’Assistant Réinitialisation. | |
| Téléphone mobile | Indiquez un numéro de téléphone mobile. | Azure envoie au téléphone un message SMS contenant un code que vous entrez dans l’Assistant Réinitialisation. Vous pouvez également choisir de recevoir un appel automatisé. |
| Téléphone de bureau | Indiquez un numéro de téléphone non mobile. | Vous recevez un appel automatisé à ce numéro. Appuyez alors sur #. |
| Questions de sécurité | Sélectionnez des questions telles que « Dans quelle ville votre mère est-elle née ? » et enregistrez les réponses. | Répondez aux questions. |
Dans les organisations disposant d’une version d’évaluation et gratuite de Microsoft Entra, les options d’appel téléphonique ne sont pas prises en charge.
Exiger le nombre minimal de méthodes d’authentification
Vous pouvez spécifier le nombre minimal de méthodes que l’utilisateur doit configurer : une ou deux. Par exemple, vous pouvez activer les méthodes Code d’application mobile, E-mail et Téléphone de bureau et Questions de sécurité, et spécifier un minimum de deux méthodes. Les utilisateurs peuvent ensuite choisir les deux méthodes qu’ils préfèrent, comme Code d’application mobile ou E-mail.
Pour la méthode Question de sécurité, vous pouvez spécifier un nombre minimal de questions que l’utilisateur doit configurer pour s’inscrire à cette méthode. Vous pouvez également spécifier un nombre minimal de questions auxquelles ils doivent répondre correctement pour réinitialiser leur mot de passe.
Une fois que vos utilisateurs ont inscrit les informations nécessaires pour le nombre minimal de méthodes que vous avez spécifiées, ils sont considérés comme inscrits à SSPR.
Recommandations
- Activez au moins deux des méthodes de demande de réinitialisation de l’authentification.
- Utilisez la notification ou le code de l’application mobile comme méthode principale. Toutefois, activez également les méthodes de messagerie ou de téléphone de bureau pour prendre en charge les utilisateurs sans appareils mobiles.
- La méthode Téléphone mobile n’est pas recommandée, car il est possible d’envoyer des SMS frauduleux.
- L’option Questions de sécurité est la méthode la moins recommandée, car les réponses aux questions de sécurité peuvent être connues d’autres personnes. Utilisez la méthode Questions de sécurité uniquement en association avec au moins une autre méthode.
Comptes associés à des rôles d’administrateur
- Une stratégie d’authentification forte à deux méthodes est toujours appliquée aux comptes dotés d’un rôle d’administrateur, quelle que soit votre configuration pour les autres utilisateurs.
- La méthode Questions de sécurité n’est pas disponible pour les comptes associés à un rôle d’administrateur.
Configurer les notifications
Les administrateurs peuvent choisir la manière dont les utilisateurs sont avertis des changements de mot de passe. Vous pouvez activer deux options :
- Notifier les utilisateurs lors des réinitialisations de mot de passe : L’utilisateur qui réinitialise son propre mot de passe en est informé à ses adresses e-mail principale et secondaire. Si la réinitialisation a été effectuée par un utilisateur malveillant, cette notification avertit l’utilisateur, qui peut entreprendre des mesures d’atténuation.
- Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe : Tous les administrateurs sont avertis quand un autre administrateur réinitialise leur mot de passe.
Conditions de licence
Il existe trois éditions de Microsoft Entra ID : gratuit, Premium P1 et Premium P2. La fonctionnalité de réinitialisation de mot de passe que vous pouvez utiliser dépend de votre édition.
Tout utilisateur connecté peut changer son mot de passe, quelle que soit l’édition de Microsoft Entra ID.
Que se passe-t-il si vous n’êtes pas connecté et que vous avez oublié votre mot de passe ou qu’il a expiré ? Dans ce cas, vous pouvez utiliser SSPR dans Microsoft Entra ID P1 ou P2. Il est également disponible avec Microsoft 365 Apps for business et Microsoft 365.
Dans une situation hybride, où vous avez Active Directory en local et Microsoft Entra ID dans le cloud, tout changement de mot de passe dans le cloud doit être réécrit dans le répertoire local. Cette prise en charge de l’écriture différée est disponible dans Microsoft Entra ID P1 ou P2. Elle est également disponible avec Microsoft 365 Apps for business.
Options de déploiement de la SSPR
Vous pouvez déployer la SSPR avec réécriture du mot de passe en utilisant Microsoft Entra Connect ou la synchronisation cloud, en fonction des besoins des utilisateurs. Vous pouvez déployer chaque option côte à côte dans différents domaines pour cibler différents groupes d’utilisateurs. Cela permet aux utilisateurs locaux existants de réécrire les changements de mot de passe tout en ajoutant une option pour les utilisateurs dans les domaines déconnectés lors de la fusion ou de la division d’une entreprise. Les utilisateurs d’un domaine local existant peuvent utiliser Microsoft Entra Connect, tandis que les nouveaux utilisateurs issus d’une fusion peuvent utiliser la synchronisation cloud dans un autre domaine.
La synchronisation cloud peut également offrir une plus haute disponibilité, car elle ne repose pas sur une seule instance de Microsoft Entra Connect. Pour obtenir une comparaison des fonctionnalités fournies par ces deux options de déploiement, consultez Comparaison entre la synchronisation Microsoft Entra Connect et la synchronisation cloud.