Explorer la gestion des mots de passe en libre-service

  • 4 minutes

Dans la plupart des entreprises, les utilisateurs oublient parfois leurs mots de passe, puis envoient une demande de réinitialisation de mot de passe aux administrateurs. Dans Microsoft 365, vous pouvez configurer la réinitialisation de mot de passe en libre-service (SSPR) afin que les utilisateurs puissent réinitialiser leurs propres mots de passe.

SSPR est particulièrement utile dans les organisations de taille moyenne et d’entreprise, où le nombre de demandes de réinitialisation de mot de passe peut être élevé. Bien que la réinitialisation de mot de passe en libre-service puisse également être configurée dans des environnements hybrides, elle n’est pas disponible dans les environnements exchange server locaux.

SSPR est configuré dans le centre d'administration Microsoft Entra.

  • Pour les comptes cloud uniquement, il est inclus avec Microsoft 365 abonnements entreprise et business.
  • Pour les comptes synchronisés, un abonnement à Microsoft Entra ID P1 ou P2 Plan 1 est requis pour chaque utilisateur.

Capture d’écran du centre d'administration Microsoft Entra montrant la page utilisateurs et groupes

Dans la page Propriétés du centre d'administration Microsoft Entra, sélectionnez Tout pour l’activer pour tous les membres de votre entreprise, puis sélectionnez Enregistrer.

Lorsque les utilisateurs se connectent à Microsoft 365, ils sont invités à entrer d’autres informations de contact pour les aider à réinitialiser leur mot de passe à l’avenir. Les étapes suivantes décrivent la logique de flux de travail utilisée dans la page de réinitialisation du mot de passe :

  1. L’utilisateur sélectionne le lien «Impossible d’accéder à votre compte » ou accède directement à la page de réinitialisation du mot de passe .

  2. L’utilisateur entre un ID d’utilisateur et passe un captcha.

  3. Microsoft Entra ID exécute les vérifications suivantes pour vérifier que l’utilisateur peut utiliser cette fonctionnalité :

    • Vérifie que cette fonctionnalité est activée pour l’utilisateur et qu’une licence Microsoft Entra ID a été attribuée.
    • Vérifie que l’utilisateur dispose des méthodes d’authentification appropriées définies sur son compte qui suivent la stratégie d’administration.
    • Vérifie si le mot de passe de l’utilisateur est géré localement (fédéré, authentification directe ou hachage de mot de passe synchronisé), ou si la réécriture est déployée et que le mot de passe de l’utilisateur est géré localement.

  4. S’il est déterminé que l’utilisateur peut réinitialiser correctement son mot de passe, il est guidé tout au long du processus de réinitialisation.

  5. Si les vérifications ne sont pas validées, il est recommandé à l’utilisateur de contacter son administrateur pour réinitialiser son mot de passe.

Méthodes d’authentification

Si SSPR est activé, vous devez sélectionner au moins l’une des options suivantes pour les méthodes d’authentification, parfois appelées « portes » :

  • Notification d’application mobile
  • Code d’application mobile
  • E-mail
  • Téléphone portable
  • Téléphone bureau
  • Questions de sécurité

Remarque

Il est vivement recommandé de choisir deux méthodes d’authentification ou plus. Cette conception offre à vos utilisateurs plus de flexibilité s’ils ne peuvent pas en accéder lorsqu’ils en ont besoin.

Les utilisateurs ne peuvent réinitialiser leur mot de passe que s’ils disposent de données dans les méthodes d’authentification activées par l’administrateur.

Nombre de méthodes d’authentification requises

Cette option détermine le nombre minimal de méthodes d’authentification disponibles qu’un utilisateur doit suivre pour réinitialiser ou déverrouiller son mot de passe. Il peut être défini sur un ou deux.

Inscription

L’activation de cette option nécessite qu’un utilisateur termine l’inscription de réinitialisation de mot de passe s’il se connecte à des applications à l’aide de Microsoft Entra ID. Cette fonctionnalité inclut les applications suivantes :

  • Microsoft 365
  • Portail Azure
  • Volet d’accès
  • Applications fédérées
  • Applications personnalisées utilisant Microsoft Entra ID

Définir le nombre de jours avant que les utilisateurs soient invités à reconfirmer leurs informations d’authentification

Cette option détermine la période entre la définition et la reconfirmation des informations d’authentification et n’est disponible que si vous activez l’option Exiger que les utilisateurs s’inscrivent lors de la connexion.

Les valeurs valides sont comprises entre 0 et 730 jours, avec « 0 » ce qui signifie que les utilisateurs ne sont jamais invités à reconfirmer leurs informations d’authentification.

Notifications

Les notifications suivantes peuvent être configurées lors de la réinitialisation du mot de passe :

  • Informez les utilisateurs des réinitialisations de mot de passe. Si cette option est définie sur Oui, les utilisateurs qui réinitialisent leur mot de passe recevront un e-mail les informant que leur mot de passe a été modifié. L’e-mail est envoyé via le portail SSPR à leurs adresses e-mail principales et secondaires qui sont dans les fichiers dans Microsoft Entra ID. Personne d’autre n’est averti de l’événement de réinitialisation.
  • Avertir tous les administrateurs lorsque d’autres administrateurs réinitialisent leur mot de passe. Si cette option est définie sur Oui, tous les administrateurs reçoivent un e-mail envoyé à leur adresse e-mail principale dans Microsoft Entra ID. L’e-mail l’informe qu’un autre administrateur a modifié son mot de passe à l’aide de SSPR.

Réécrire les mots de passe dans votre annuaire local

Ce contrôle détermine si la réécriture du mot de passe est activée pour ce répertoire. Si l’écriture différée est activée, elle indique l’état du service d’écriture différée local. Ce paramètre est utile si vous souhaitez désactiver temporairement la réécriture du mot de passe sans avoir à reconfigurer Microsoft Entra Connect.

Autoriser les utilisateurs à déverrouiller des comptes sans réinitialiser leur mot de passe

Ce contrôle détermine si les utilisateurs qui visitent le portail de réinitialisation de mot de passe doivent avoir la possibilité de déverrouiller leurs comptes Active Directory local sans avoir à réinitialiser leur mot de passe. Par défaut, Microsoft Entra ID déverrouille les comptes lorsqu’il termine une réinitialisation de mot de passe. Vous utilisez ce paramètre pour séparer ces deux opérations.

  • Si la valeur est Oui, les utilisateurs ont la possibilité de réinitialiser leur mot de passe et de déverrouiller le compte, ou de déverrouiller leur compte sans avoir à réinitialiser le mot de passe.
  • Si la valeur est Non, les utilisateurs peuvent uniquement effectuer une opération combinée de réinitialisation de mot de passe et de déverrouillage de compte.