Planifiez votre déploiement de l’authentification multifacteur
Avant de démarrer à déployer l’authentification multifacteur Microsoft Entra, vous devez décider de plusieurs choses.
Tout d’abord, déployez MFA par vague. Commencez avec un petit groupe d’utilisateurs pilotes pour évaluer la complexité de votre environnement et identifier les problèmes de configuration ou les applications ou appareils non pris en charge. Élargissez ce groupe au fur et à mesure et évaluez les résultats après chaque passage jusqu’à ce que l’intégralité de votre entreprise soit incluse.
Ensuite, veillez à créer un plan de communication complet. L’authentification multifacteur Microsoft Entra a plusieurs exigences d’interaction avec l’utilisateur, notamment un processus d’inscription. Informez les utilisateurs de chaque étape. Indiquez-leur ce qu’ils doivent faire, les dates importantes et comment obtenir des réponses aux questions en cas de problèmes. Microsoft fournit des modèles de communication, notamment des affiches et des modèles d’e-mail, pour vous aider à rédiger vos communications.
Stratégies d’authentification multifacteur Microsoft Entra
L’authentification multifacteur Microsoft Entra est appliquée avec des stratégies d’accès conditionnel. Les stratégies d’accès conditionnel sont des instructions IF-THEN. Si (IF) un utilisateur souhaite accéder à une ressource, alors (THEN) il doit effectuer une action. Par exemple, un responsable de la paie souhaite accéder à l’application de paie et doit effectuer une authentification multifacteur pour ce faire. Les autres demandes d’accès courantes qui peuvent nécessiter MFA sont :
- Si une application cloud spécifique est accessible
- Si un utilisateur accède à un réseau spécifique
- Si un utilisateur accède à une application cliente spécifique
- Si un utilisateur inscrit un nouvel appareil
Décider des méthodes d’authentification prises en charge
Quand vous activez l’authentification multifacteur Microsoft Entra, vous pouvez choisir les méthodes d’authentification que vous voulez rendre disponibles. Vous devez toujours prendre en charge plusieurs méthodes afin que les utilisateurs disposent d’une option de secours au cas où leur méthode principale ne serait pas disponible. Vous pouvez choisir parmi les méthodes suivantes :
| Méthode | Description |
|---|---|
| Code de vérification d’une application mobile. | Une application d’authentification mobile telle que l’application Microsoft Authenticator peut être utilisée pour récupérer un code de vérification OATH qui est ensuite entré dans l’interface de connexion. Ce code change toutes les 30 secondes et l’application fonctionne même si la connectivité est limitée. Cette approche ne fonctionne pas en Chine sur les appareils Android. |
| Notification sur l’application mobile | Azure peut envoyer une notification Push à une application d’authentification mobile telle que Microsoft Authenticator. L’utilisateur peut sélectionner la notification Push et vérifier la connexion. |
| Appel à un téléphone | Azure peut appeler un numéro de téléphone fourni. L’utilisateur approuve alors l’authentification en se servant du clavier. Cette méthode est préférée pour les sauvegardes. |
| Clé de sécurité FIDO2 | Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe basée sur des normes qui ne peuvent pas être usurpées. Ces clés sont généralement des périphériques USB, mais elles peuvent également utiliser les technologies Bluetooth ou NFC. |
| Windows Hello Entreprise | Windows Hello Entreprise remplace les mots de passe par une authentification à deux facteurs forte sur les appareils. Cette authentification se compose d’un type d’informations d’identification utilisateur qui sont liées à un appareil, et utilise un code biométrique ou un code PIN. |
| Jetons OATH | Les jetons OATH peuvent être des applications logicielles telles que l’application Microsoft Authenticator et d’autres applications d’authentificateur, ou des jetons basés sur du matériel que les clients peuvent acheter auprès de différents fournisseurs. |
Les administrateurs peuvent activer une ou plusieurs de ces options, puis les utilisateurs peuvent choisir chaque méthode d’authentification de support qu’ils souhaitent utiliser.
Sélection d’une méthode d’authentification
Enfin, vous devez décider comment les utilisateurs inscrivent les méthodes qu’ils auront sélectionnées. L’approche la plus simple consiste à utiliser Microsoft Entra ID Protection. Si votre organisation a des licences pour la Protection des identités, vous pouvez la configurer pour inviter les utilisateurs à s’inscrire à la MFA la prochaine fois qu’ils se connectent.
Vous pouvez également inviter les utilisateurs à s’inscrire à la MFA lorsqu’ils essaient d’utiliser une application ou un service qui demande une authentification multifacteur. Enfin, vous pouvez procéder à l’inscription avec une stratégie d’accès conditionnel appliquée à un groupe Azure contenant tous les utilisateurs de votre organisation. Cette approche nécessite d’intervenir manuellement pour vérifier régulièrement le groupe et supprimer des utilisateurs inscrits. Pour obtenir des scripts utiles pour automatiser une partie de ce processus, consultez Planifier un déploiement de l’authentification multifacteur Microsoft Entra.