Implémenter l’authentification multifacteur pour Exchange

  • 8 minutes

Les mots de passe sont la méthode la plus courante pour authentifier une connexion à un ordinateur ou à un service en ligne, mais ils sont également les plus vulnérables. Les utilisateurs peuvent choisir des mots de passe faciles à utiliser et utiliser les mêmes mots de passe pour plusieurs connexions sur différents ordinateurs et services.

Pour fournir un niveau de sécurité supplémentaire pour les connexions, vous devez utiliser l’authentification multifacteur (MFA), qui utilise à la fois un mot de passe, qui doit être fort, et une autre méthode de vérification basée sur :

  • Quelque chose que vous avez avec vous qui n’est pas facile à dupliquer, tel qu’un smartphone.
  • Quelque chose que vous possédez de manière unique et biologique, comme vos empreintes digitales, votre visage ou un autre attribut biométrique.

La méthode de vérification supplémentaire n’est pas utilisée tant que le mot de passe de l’utilisateur n’a pas été vérifié. Avec l’authentification multifacteur, même si un mot de passe fort est volé, l’usurpateur ne dispose pas de votre smartphone ou de votre empreinte digitale pour terminer la connexion.

Prise en charge de l’authentification multifacteur dans Microsoft 365

Microsoft 365 prend en charge l’authentification multifacteur pour les comptes d’utilisateur qui utilisent les méthodes suivantes :

  • Un SMS envoyé à un téléphone qui demande à l'utilisateur de taper un code de vérification.
  • Un appel téléphonique.
  • L'application pour smartphone Microsoft Authenticator.

La connexion MFA se sert de « quelque chose que vous avez avec vous qui n’est pas facilement dupliqué » pour une vérification supplémentaire. Il existe plusieurs façons d’activer l’authentification multifacteur pour Microsoft 365 :

  • Avec les paramètres de sécurité par défaut
  • Avec les stratégies d’accès conditionnel
  • Pour chaque compte d’utilisateur individuel (non recommandé)

Ces méthodes sont basées sur votre plan Microsoft 365, comme indiqué dans le tableau suivant.

Planifier

Action d'amélioration

Type de client

Tous les plans Microsoft 365

Utilisez les paramètres de sécurité par défaut, qui requièrent l’authentification multifacteur pour tous les comptes d’utilisateur.

Vous pouvez également configurer l’authentification multifacteur sur des comptes d’utilisateur individuels, mais cette méthode n’est pas recommandée.

Petite entreprise

Licences Microsoft 365 Business PremiumMicrosoft 365 E3 Microsoft Entra ID P1

Utilisez les stratégies d’accès conditionnel pour demander l’authentification multifacteur pour les comptes d’utilisateur basés sur l’appartenance au groupe, des applications ou d’autres critères.

Petites entreprises à entreprise

licences P2 Microsoft 365 E5 Microsoft Entra ID

Utilisez Protection Microsoft Entra ID pour exiger l’authentification multifacteur en fonction des critères de risque de connexion.

Entreprise

Remarque

Pour configurer l’authentification multifacteur dans Microsoft 365, vous devez être un administrateur général Microsoft 365.

Paramètres de sécurité par défaut

Les paramètres de sécurité par défaut sont une nouvelle fonctionnalité pour les abonnements Microsoft 365 payants ou en version d’évaluation créés après le 21 octobre 2019. Les paramètres de sécurité par défaut de ces abonnements étant activés :

  • Il faut donc que tous les utilisateurs utilisent l’authentification multifacteur via l’application Microsoft Authenticator.
  • L’authentification héritée est bloquée.

Si les paramètres de sécurité par défaut sont activés, les nouveaux utilisateurs sont invités à s’inscrire pour l’authentification multifacteur et à utiliser l’application Microsoft Authenticator à leur prochaine connexion. Les utilisateurs disposent de 14 jours pour s’inscrire à l’authentification multifacteur de l’application Microsoft Authenticator sur leur smartphone, un délai qui commence dès la première connexion suivant l’activation des paramètres de sécurité par défaut. Lorsque les 14 jours sont écoulés, l’utilisateur ne peut pas se connecter tant que son inscription à l’authentification multifacteur n’est pas terminée.

Les paramètres de sécurité par défaut garantissent que toutes les organisations ont un niveau de sécurité de base qui est activé par défaut pour la connexion des utilisateurs. Vous pouvez désactiver les paramètres de sécurité par défaut et les remplacer par l’authentification multifacteur grâce aux stratégies d’accès conditionnel.

Les paramètres de sécurité par défaut sont activés à partir du volet Propriétés pour Microsoft Entra ID dans le Portail Azure.

Stratégies d’accès conditionnel

Les stratégies d’accès conditionnel sont un groupe de règles qui spécifient les conditions dans lesquelles les connexions sont évaluées et autorisées. Par exemple, vous pouvez créer une stratégie d’accès conditionnel qui indique :

  • Si le nom du compte d’utilisateur concerne membre d’un groupe d’utilisateurs bénéficiant des rôles d’administrateur Exchange, utilisateur, mot de passe, sécurité, SharePoint ou global, exigez l’authentification multifacteur avant d’autoriser l’accès.

Cette stratégie vous permet de demander une authentification multifacteur basée sur l’appartenance au groupe, plutôt que d’essayer de configurer des comptes d’utilisateur individuels pour l’authentification multifacteur lorsqu’ils sont attribués ou non à des rôles d’administrateur.

Vous pouvez également utiliser des stratégies d’accès conditionnel pour des fonctionnalités plus avancées, comme exiger que l’authentification multifacteur soit effectuée à partir d’un appareil conforme, tel que votre ordinateur portable exécutant sous Microsoft Windows.

Les stratégies d’accès conditionnel sont configurées à partir du volet Sécurité pour Microsoft Entra ID dans le Portail Azure.

Vous pouvez utiliser les stratégies d’accès conditionnel avec :

  • Microsoft 365 Business Premium
  • Microsoft 365 E3 et E5
  • Microsoft Entra ID licences P1 et Microsoft Entra ID P2

Pour les petites entreprises avec Microsoft 365 Business Premium, vous pouvez facilement utiliser les stratégies d’accès conditionnel en procédant comme suit :

  1. Créez un groupe pour contenir les comptes d’utilisateurs qui requièrent une authentification multifacteur.

  2. Activez la stratégie Exiger l’authentification multifacteur pour les administrateurs généraux.

  3. Créez une stratégie d’accès conditionnel basée sur un groupe avec ces paramètres :

    • Affectations > Utilisateurs et groupes : Nom de votre groupe à l’étape 1 ci-dessus.
    • Affectations > Applications ou actions cloud : Toutes les applications cloud.
    • Contrôles d’accès > Accorder > Accorder l’accès > Exiger l’authentification multifacteur.

  4. Activez la stratégie.

  5. Ajoutez un compte d’utilisateur au groupe créé à l’étape 1 ci-dessus et testez-le.

  6. Pour exiger l’authentification multifacteur pour d’autres comptes d’utilisateur, ajoutez-les au groupe créé à l’étape 1.

Cette stratégie d’accès conditionnel vous permet de déployer la configuration MFA pour vos utilisateurs à votre rythme.

Les entreprises doivent utiliser Stratégies d’accès conditionnel courantes pour configurer les stratégies suivantes :

Vous devez utiliser des stratégies de sécurité par défaut ou d’accès conditionnel pour exiger l’authentification multifacteur pour les connexions à votre compte d’utilisateur. Toutefois, si l’une de ces méthodes ne peut pas être utilisée, Microsoft recommande vivement l’authentification multifacteur pour les comptes d’utilisateur qui ont des rôles d’administrateur, en particulier le rôle d’administrateur général, pour n’importe quel taille d’abonnement.

Une fois activé, la prochaine fois que l’utilisateur se connecte, il est invité à s’inscrire à l’authentification multifacteur et à choisir et tester la deuxième méthode de vérification.

Vous pouvez configurer l’authentification multifacteur pour chaque utilisateur dans le Centre d'administration Microsoft 365 en effectuant les étapes suivantes :

  1. Aller au Centre d’administration Microsoft 365.
  2. Accédez à Utilisateurs>Utilisateurs actifs.
  3. Sélectionnez Authentification multifacteur dans la barre de menus en haut de la page.
  4. Dans la fenêtre Authentification multifacteur, cochez la case en regard de chaque utilisateur pour lequel vous souhaitez activer l’authentification multifacteur.
  5. Lorsque vous sélectionnez un utilisateur, le volet de détails de l’utilisateur s’affiche à droite. Dans le volet d’informations, sous la section Étapes rapides, sélectionnez Activer.
  6. Dans la boîte de dialogue qui s'ouvre, sélectionnez Activer l'authentification multifacteur.

Dans les environnements plus grands, vous souhaiterez peut-être activer ou désactiver l’authentification multifacteur pour plusieurs utilisateurs à la fois. Pour ce faire, vous devez d’abord créer un fichier CSV qui contient les noms d’utilisateur des comptes existants. Pour activer ou désactiver l’authentification multifacteur en bloc, vous devez effectuer les étapes suivantes :

  1. Dans la page Authentification multifacteur, sélectionnez le bouton Mise à jour en bloc .
  2. Dans la boîte de dialogue Sélectionner un fichier CSV, sélectionnez Rechercher un fichier.
  3. Dans la fenêtre Explorateur de fichiers qui s’affiche, recherchez et sélectionnez le fichier qui contient les mises à jour, puis sélectionnez Ouvrir.
  4. Dans la boîte de dialogue Sélectionner un fichier CSV, sélectionnez la flèche Suivant dans le coin inférieur droit de la fenêtre.
  5. Dans la boîte de dialogue Vérifier le fichier, une fois que les comptes d’utilisateur du fichier ont été vérifiés, sélectionnez la flèche Suivante pour mettre à jour les comptes.
  6. Dans la boîte de dialogue Terminé, cochez la case Terminé dans le coin inférieur droit de la fenêtre.
  7. Sur la page Authentification multifacteur, sélectionnez l’icône Actualiser dans la barre d’adresses du navigateur pour actualiser la liste des comptes d’utilisateur. Faites part des modifications apportées dans la colonne ÉTAT D’AUTHENTIFICATION MULTIFACTEUR aux comptes d’utilisateur inclus dans le fichier CSV.

Vérification des connaissances

Choisissez la meilleure réponse pour la question suivante. Sélectionnez ensuite Vérifier vos réponses.

Vérifier vos connaissances

1.

En tant qu'administrateur de la messagerie de Contoso, Holly Dickson souhaite activer l'ADG pour les comptes d'utilisateurs individuels. Holly a navigué vers le centre d'administration Microsoft 365 et vers la page Utilisateurs actifs, mais l'option Authentification multifactorielle était désactivée dans la barre de menu. Quelle pourrait être la cause probable de cette situation?