Comptes Microsoft
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Découvrez comment fonctionne un compte Microsoft pour améliorer la sécurité et la confidentialité des utilisateurs, et comment gérer les différents types de comptes de consommateur dans votre organisation.
Qu’est-ce qu’un compte Microsoft ?
Les sites, services, propriétés et ordinateurs Microsoft exécutant Windows 10 peuvent utiliser un compte Microsoft pour identifier un utilisateur. Auparavant, les comptes Microsoft portaient le nom de comptes « Windows Live ID ». Un compte Microsoft comprend des secrets définis par l’utilisateur, et se compose d’une adresse e-mail unique et d’un mot de passe.
Lorsqu’un utilisateur se connecte avec un compte Microsoft, l’appareil est connecté aux services cloud. L’utilisateur peut partager la plupart de ses paramètres, préférences et applications entre ses appareils.
Fonctionnement d’un compte Microsoft
Un utilisateur peut utiliser un compte Microsoft pour se connecter à des sites web qui prennent en charge ce service à l’aide d’un même ensemble d’informations d’identification. Les informations d’identification d’un utilisateur sont validées par un serveur d’authentification de compte Microsoft qui est associé à un site web. Microsoft Store est un exemple d’une telle association. Lorsqu’un nouvel utilisateur se connecte à un site web qui est activé pour utiliser des comptes Microsoft, l’utilisateur est redirigé vers le serveur d’authentification le plus proche, qui demande un nom d’utilisateur et un mot de passe. Windows utilise le fournisseur de support de sécurité Schannel pour ouvrir une connexion TLS/SSL pour cette fonction. Les utilisateurs peuvent utiliser le Gestionnaire d’informations d’identification pour stocker leurs informations d’identification.
Lorsqu’un utilisateur se connecte à un site web qui est activé pour utiliser un compte Microsoft, un cookie à durée limitée est installé sur son ordinateur. Le cookie inclut une étiquette d’ID chiffrée triple DES. L’étiquette d’ID chiffrée a été convenue entre le serveur d’authentification et le site web. L’étiquette d’ID est envoyée au site web, qui place un autre cookie HTTP chiffré à durée limitée sur l’ordinateur de l’utilisateur. Tant que le cookie est valide, l’utilisateur n’est pas tenu d’entrer un nom d’utilisateur et un mot de passe. Si un utilisateur se déconnecte activement de son compte Microsoft, ces cookies sont supprimés.
Notes
La fonctionnalité de compte Windows local est une option que vous pouvez utiliser dans un environnement managé.
Création d’un compte Microsoft
Pour éviter la fraude, le système Microsoft vérifie l’adresse IP d’un utilisateur lorsque celui-ci crée un compte Microsoft. Un utilisateur qui tente de créer plusieurs comptes Microsoft à l’aide de la même adresse IP ne pourra pas créer d’autres comptes. Les comptes Microsoft ne sont pas conçus pour être créés par lots, par exemple pour un groupe d’utilisateurs de domaine au sein de votre entreprise.
Pour créer un compte Microsoft, un utilisateur dispose de deux options :
Utiliser une adresse e-mail existante. L’utilisateur peut utiliser son adresse e-mail valide pour créer un compte Microsoft. Le service transforme l’adresse e-mail de l’utilisateur demandeur en compte Microsoft. L’utilisateur peut choisir un mot de passe distinct à utiliser pour le compte Microsoft.
S’inscrire pour obtenir une adresse e-mail Microsoft. Un utilisateur peut s’inscrire à un compte de messagerie via les services de messagerie web Microsoft. L’utilisateur peut utiliser le compte pour se connecter à des sites web qui sont activés pour utiliser des comptes Microsoft.
Protection des informations de compte Microsoft
Les informations d’identification sont chiffrées deux fois. Le premier chiffrement est basé sur le mot de passe du compte. Les informations d’identification sont chiffrées à nouveau lorsqu’elles sont envoyées sur Internet. Les données d’informations d’identification stockées ne sont pas disponibles pour les autres services Microsoft ni pour les services non Microsoft.
Un mot de passe fort est nécessaire. Les mots de passe vides ne sont pas autorisés.
Pour plus d’informations, consultez Comment maintenir le niveau de sécurité de votre compte Microsoft.
Une preuve d’identité secondaire est requise. Pour qu’un utilisateur puisse accéder aux informations et aux paramètres du profil utilisateur sur un autre ordinateur Windows pris en charge, l’ordinateur en question doit d’abord être approuvé. Pour obtenir cette approbation, l’utilisateur doit fournir une preuve d’identité secondaire. L’utilisateur peut prouver son identité en entrant un code envoyé sur un numéro de téléphone mobile ou en suivant les instructions envoyées à une autre adresse e-mail spécifiée par un utilisateur dans les paramètres du compte.
Toutes les données de profil utilisateur sont chiffrées sur le client avant d’être envoyées vers le cloud. Par défaut, les données utilisateur ne circulent pas sur un réseau étendu sans fil, ce qui permet de protéger les données de profil. L’ensemble des données et des paramètres qui quittent un appareil sont transmis via le protocole TLS/SSL.
Informations de sécurité du compte Microsoft
Un utilisateur peut ajouter des informations de sécurité à son compte Microsoft via l’interface Comptes sur les ordinateurs exécutant des versions de Windows prises en charge. Dans Comptes, l’utilisateur peut mettre à jour les informations de sécurité qu’il a fournies lors de la création de son compte. Ces informations de sécurité incluent une adresse e-mail ou un numéro de téléphone de secours, de sorte que si son mot de passe est compromis ou oublié, un code de vérification peut lui être envoyé pour vérifier son identité. Un utilisateur est susceptible d’utiliser son compte Microsoft pour stocker des données d’entreprise sur une application OneDrive ou de messagerie personnelle. Une pratique sûre consiste, pour le propriétaire du compte, à maintenir ces informations de sécurité à jour.
Comptes Microsoft dans l’entreprise
Même si le compte Microsoft a été conçu pour les consommateurs, il peut y avoir des situations dans lesquelles les utilisateurs de votre domaine peuvent avoir intérêt à utiliser leur compte Microsoft personnel dans votre entreprise. La liste suivante décrit certains de ces avantages :
Télécharger des applications du Microsoft Store. Si votre entreprise choisit de distribuer des applications ou des logiciels via le Microsoft Store, un utilisateur d’entreprise peut utiliser un compte Microsoft pour télécharger et utiliser les applications sur un maximum de cinq appareils exécutant n’importe quelle version de Windows 10, Windows 8.1, Windows 8 ou Windows RT.
Authentification unique. Un utilisateur d’entreprise peut utiliser des informations d’identification de compte Microsoft pour se connecter à des appareils exécutant Windows 10, Windows 8.1, Windows 8 ou Windows RT. Dans ce scénario, Windows s’associe à votre application du Microsoft Store pour fournir une expérience authentifiée dans l’application. Un utilisateur peut associer un compte Microsoft à ses informations d’identification pour les applications ou sites web du Microsoft Store afin que ces informations d’identification soient utilisées sur tous les appareils qui exécutent ces versions prises en charge.
Synchronisation des paramètres personnalisés. Un utilisateur peut associer ses paramètres de système d’exploitation les plus courants à un compte Microsoft. Ces paramètres sont disponibles chaque fois que l’utilisateur se connecte avec ce compte sur n’importe quel appareil qui exécute une version prise en charge de Windows et qui est connecté au cloud. Une fois l’utilisateur connecté, cet appareil tente automatiquement d’obtenir les paramètres de l’utilisateur à partir du cloud et de les appliquer à l’appareil.
Synchronisation des applications. Les applications du Microsoft Store peuvent stocker des paramètres propres à l’utilisateur afin que ces paramètres soient disponibles sur n’importe quel appareil. Comme avec les paramètres de système d’exploitation, ces paramètres d’application propres à l’utilisateur sont disponibles chaque fois que l’utilisateur se connecte avec le même compte Microsoft sur un appareil qui exécute une version de Windows prise en charge et qui est connecté au cloud. Une fois que l’utilisateur se connecte, cet appareil télécharge automatiquement les paramètres à partir du cloud et les applique lors de l’installation de l’application.
Intégration des services de médias sociaux. Les informations de contact et l’état des amis et associés d’un utilisateur sont automatiquement synchronisés avec les sites tels qu’Outlook, Facebook, Twitter et LinkedIn. Un utilisateur peut également accéder et partager des photos, des documents et d’autres fichiers à partir de sites tels que OneDrive, Facebook et Flickr.
Gérer les comptes Microsoft dans le domaine
Selon vos modèles informatiques et commerciaux, l’introduction de comptes Microsoft dans votre entreprise peut aussi bien ajouter de la complexité qu’apporter des solutions. Avant d’autoriser l’utilisation de ces types de comptes dans votre entreprise, vous devez prendre en compte ce qui suit :
Restreindre l’utilisation des comptes Microsoft
Les paramètres Stratégie de groupe suivants permettent de contrôler l’utilisation des comptes Microsoft dans l’entreprise :
Applications et services : bloquer l’authentification utilisateur du compte Microsoft
Ce paramètre permet de contrôler si un utilisateur peut s’authentifier à une application ou à un service à l’aide d’un compte Microsoft.
Quand ce paramètre est activé, l’ensemble des applications et services d’un appareil ne pourront pas utiliser un compte Microsoft pour l’authentification. Ce paramètre s’applique à la fois aux utilisateurs existants et aux nouveaux utilisateurs.
Les applications ou services qui ont déjà authentifié un utilisateur avec un compte Microsoft ne sont pas affectés par l’activation de ce paramètre tant que le cache d’authentification n’a pas expiré. Nous vous recommandons d’activer ce paramètre avant qu’un utilisateur ne se connecte à un appareil afin d’empêcher les jetons mis en cache d’authentifier un compte Microsoft.
Si ce paramètre est désactivé ou non configuré, les applications et les services pourront utiliser un compte Microsoft pour l’authentification. Ce paramètre est désactivé par défaut.
Ce paramètre n’affecte pas la capacité de l’utilisateur à se connecter à un appareil à l’aide d’un compte Microsoft, ni sa capacité à fournir un compte Microsoft via le navigateur pour s’authentifier auprès d’une application web.
Le chemin de ce paramètre est Configuration ordinateur\Modèles d’administration\Composants Windows\Compte Microsoft.
Comptes : bloquer les comptes Microsoft
Lorsque ce paramètre est activé, vous ne pouvez pas vous servir de l’application Paramètres pour ajouter un compte Microsoft en vue d’utiliser l’authentification unique avec les services Microsoft et certains services en arrière-plan. Vous ne pouvez pas non plus utiliser un compte Microsoft pour l’authentification unique à d’autres applications ou services.
Quand ce paramètre est activé, l’utilisateur a deux options :
L’utilisateur ne peut pas ajouter de compte Microsoft. Les comptes connectés existants peuvent toujours se connecter à l’appareil (et ils s’affichent dans la page Connexion). Toutefois, un utilisateur ne peut pas utiliser l’application Paramètres pour ajouter un nouveau compte connecté ni pour connecter un compte local à un compte Microsoft.
L’utilisateur ne peut pas ajouter un compte Microsoft ni se connecter avec un compte Microsoft. Un utilisateur ne peut pas ajouter un nouveau compte connecté (ou connecter un compte local à un compte Microsoft) ni utiliser un compte connecté existant via l’application Paramètres.
Ce paramètre n’affecte pas l’ajout d’un compte Microsoft pour l’authentification auprès des applications. Par exemple, si ce paramètre est activé, un utilisateur peut toujours fournir un compte Microsoft pour l’authentification auprès d’une application telle que Courrier, mais il ne pourra pas utiliser le compte Microsoft pour l’authentification unique auprès d’autres applications ou services. Pour les autres applications et services, l’utilisateur est invité à s’authentifier.
Ce paramètre n’est pas configuré par défaut.
Le chemin de ce paramètre est Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
Configurer les comptes connectés
Un utilisateur peut connecter un compte Microsoft à son compte de domaine et synchroniser les paramètres et les préférences entre les comptes. En synchronisant les paramètres et les préférences entre les comptes, l’utilisateur voit le même arrière-plan de bureau, les mêmes paramètres de l’application, le même historique et les même favoris de navigateur, ainsi que d’autres paramètres de compte Microsoft sur ses autres appareils.
Déconnecter un compte connecté
Un utilisateur peut déconnecter un compte Microsoft de son compte de domaine à tout moment : dans Paramètres du PC, sélectionnez Utilisateurs>Déconnecter>Terminer.
Notes
Le fait de déconnecter un compte Microsoft d’un compte de domaine peut limiter l’accès à certaines tâches à privilèges élevés dans Windows. Par exemple, le Planificateur de tâches évalue l’accès au compte Microsoft connecté et échoue. Dans ce scénario, le propriétaire du compte doit déconnecter celui-ci.
Provisionner les comptes Microsoft dans l’entreprise
Un compte Microsoft est un compte d’utilisateur privé. Microsoft ne fournit pas de moyen de provisionner des comptes Microsoft pour une entreprise. Les entreprises doivent utiliser des comptes de domaine.
Auditer l’activité du compte
Étant donné qu’un compte Microsoft est basé sur Internet, Windows n’a pas de moyen d’auditer un compte Microsoft, sauf si celui-ci est associé à un compte de domaine. Vous ne pouvez pas auditer l’activité des comptes qui ne sont pas associés à votre domaine, car un utilisateur peut déconnecter le compte ou quitter le domaine à tout moment.
Réinitialisation du mot de passe
Seul le propriétaire d’un compte Microsoft peut modifier le mot de passe qui lui est associé. Un utilisateur peut modifier le mot de passe de son compte Microsoft dans le portail de connexion au compte Microsoft.
Restreindre l’installation et l’utilisation des applications
Au sein de votre organisation, vous pouvez définir des stratégies de contrôle des applications pour réglementer l’installation et l’utilisation des applications pour les comptes Microsoft. Pour plus d’informations, consultez AppLocker et Applications empaquetées et règles du programme d’installation d’application empaquetée dans AppLocker.