Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Azure Active Directory ?

Microsoft recommande les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés de sécurité FIDO2 et l’application Microsoft Authenticator car elles fournissent l’expérience de connexion la plus sécurisée. Bien qu’un utilisateur puisse se connecter à l’aide d’autres méthodes courantes comme un nom d’utilisateur et un mot de passe, les mots de passe doivent être remplacés par des méthodes d’authentification plus sécurisées.

Tableau des avantages et des méthodes d’authentification préférées dans Azure AD

Azure AD Multi-Factor Authentication (MFA) renforce la sécurité par rapport à l’utilisation d’un simple mot de passe lors de la connexion. L’utilisateur peut être invité à fournir des formes d’authentification supplémentaires, par exemple répondre à une notification push, entrer un code à partir d’un jeton logiciel ou matériel, ou répondre à un SMS ou à un appel téléphonique.

Pour simplifier l’expérience d’intégration des utilisateurs et s’inscrire à MFA et à la réinitialisation de mot de passe en libre-service (SSPR), nous vous recommandons d’activer l’inscription d’informations de sécurité combinée. À des fins de résilience, nous vous recommandons de demander aux utilisateurs d’enregistrer plusieurs méthodes d’authentification. Lorsqu’une méthode n’est pas disponible pour un utilisateur lors d’une connexion ou SSPR, il peut choisir de s’authentifier avec une autre méthode. Pour plus d’informations, consultez Créer une stratégie de gestion du contrôle d’accès résiliente dans Azure AD.

Voici une vidéo que nous avons créée pour vous aider à choisir la meilleure méthode d’authentification pour assurer la sécurité de votre organisation.

Robustesse et sécurité des méthodes d’authentification

Lorsque vous déployez des fonctionnalités telles qu'Azure AD Multi-Factor Authentication au sein de votre organisation, passez en revue les méthodes d'authentification disponibles. Optez pour des méthodes qui remplissent ou dépassent vos exigences en termes de sécurité, de facilité d’utilisation et de disponibilité. Dans la mesure du possible, utilisez des méthodes d’authentification avec le niveau de sécurité le plus élevé.

Le tableau suivant décrit les considérations relatives à la sécurité pour les méthodes d’authentification disponibles. La disponibilité indique que l’utilisateur est en mesure d’utiliser la méthode d’authentification, et ne se réfère pas à la disponibilité du service dans Azure AD :

Méthode d'authentification Sécurité Facilité d'utilisation Disponibilité
Windows Hello Entreprise Élevé Élevé Élevé
Application Microsoft Authenticator Élevé Élevé Élevé
Clé de sécurité FIDO2 Élevé Élevé Élevé
Jetons matériels OATH (version préliminaire) Moyenne Moyenne Élevé
Jetons logiciels OATH Moyenne Moyenne Élevé
SMS Moyenne Élevé Moyenne
Voix Moyenne Moyenne Moyenne
Mot de passe Faible Élevé Élevé

Pour obtenir les informations les plus récentes concernant la sécurité, consultez nos billets de blog :

Conseil

Pour plus de flexibilité et de facilité d’utilisation, nous vous recommandons d’utiliser l’application Microsoft Authenticator. Cette méthode d’authentification offre une expérience utilisateur optimale, ainsi que plusieurs modes (authentification sans mot de passe, notifications push MFA et codes OATH, notamment).

Fonctionnement de chaque méthode d’authentification

Certaines méthodes d’authentification peuvent être utilisées en tant que facteur principal lorsque vous vous connectez à une application ou un appareil, par exemple à l’aide d’une clé de sécurité FIDO2 ou d’un mot de passe. Les autres méthodes d'authentification sont uniquement disponibles en tant que facteur secondaire lorsque vous utilisez Azure AD Multi-Factor Authentication ou SSPR.

Le tableau suivant décrit quand une méthode d’authentification peut être utilisée lors d’un événement de connexion :

Méthode Authentification principale Authentification secondaire
Windows Hello Entreprise Oui MFA
Application Microsoft Authenticator Oui Authentification multifacteur et réinitialisation de mot de passe en libre-service
Clé de sécurité FIDO2 Oui MFA
Jetons matériels OATH (version préliminaire) Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Jetons logiciels OATH Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
SMS Oui Authentification multifacteur et réinitialisation de mot de passe en libre-service
Appel vocal Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Mot de passe Oui

Toutes ces méthodes d’authentification peuvent être configurées dans le portail Azure, et de plus en plus à l’aide de l’API REST Microsoft Graph.

Pour en savoir plus sur le fonctionnement de chaque méthode d’authentification, consultez les articles conceptuels suivants :

Notes

Dans Azure AD, un mot de passe constitue souvent l’une des méthodes d’authentification principales. Vous ne pouvez pas désactiver la méthode d’authentification par mot de passe. Si vous utilisez un mot de passe en tant que facteur d'authentification principal, renforcez la sécurité des événements de connexion à l'aide d'Azure AD Multi-Factor Authentication.

Les méthodes de vérification supplémentaires suivantes peuvent être utilisées dans certains scénarios :

  • Mots de passe d'application : utilisés pour les anciennes applications qui ne prennent pas en charge l'authentification moderne et peuvent être configurés pour Azure AD Multi-Factor Authentication par utilisateur.
  • Questions de sécurité : utilisées uniquement pour SSPR
  • Adresse e-mail : utilisée uniquement pour SSPR

Étapes suivantes

Pour commencer, consultez le tutoriel sur la réinitialisation du mot de passe en libre-service et l’authentification multifacteur Azure AD.

Pour en savoir plus sur les concepts de SSPR, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service dans Azure AD.

Pour plus d'informations sur les concepts MFA, consultez Fonctionnement d'Azure AD Multi-Factor Authentication.

Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.

Pour connaître les méthodes d'authentification utilisées, consultez Analyse de la méthode d'authentification Azure AD Multi-Factor Authentication avec PowerShell.