Tutoriel : Permettre aux utilisateurs de déverrouiller leur compte ou de réinitialiser des mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Azure Active Directory

La réinitialisation de mot de passe en libre-service (SSPR) Azure Active Directory (Azure AD) permet aux utilisateurs de changer ou de réinitialiser leur mot de passe sans intervention d’un administrateur ou d’un agent du support technique. Si Azure AD verrouille le compte d’un utilisateur ou oublie son mot de passe, il peut suivre des invites pour se débloquer et reprendre son travail. Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. Nous vous recommandons de regarder cette vidéo sur la façon d’activer et de configurer SSPR dans Azure AD. Nous avons également une vidéo destinée aux administrateurs informatiques sur la résolution des six messages d’erreur les plus courants pour les utilisateurs finaux avec SSPR.

Important

Ce tutoriel montre comment un administrateur peut activer la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez vous reconnecter avec votre compte, accédez à la page Réinitialisation du mot de passe Microsoft Online.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Activer la réinitialisation de mot de passe en libre-service pour un groupe d’utilisateurs Azure AD
  • Configurer les méthodes d’authentification et les options d’inscription
  • Tester le processus SSPR en tant qu’utilisateur

Prérequis

Pour terminer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

  • Un locataire Azure AD actif sur lequel au moins une licence Azure AD gratuite ou d’essai est activée. Dans le niveau G, SSPR ne fonctionne que pour les utilisateurs cloud dans Azure AD. La modification du mot de passe est prise en charge dans le niveau Gratuit, mais pas sa réinitialisation.
    • Dans les tutoriels suivants de cette série, vous avez besoin d’une licence Azure AD Premium P1 ou d’une licence d’essai est requise pour la réécriture locale du mot de passe.
    • Si nécessaire, créez un compte Azure gratuitement.
  • Un compte avec des privilèges d’Administrateur général.
  • Un utilisateur non-administrateur avec un mot de passe que vous connaissez, par exemple testuser. Dans ce tutoriel, vous allez tester l’expérience SSPR de l’utilisateur final à l’aide de ce compte.
  • Un groupe dont l’utilisateur non-administrateur est membre, par exemple SSPR-Test-Group. Vous activez SSPR pour ce groupe dans ce tutoriel.

Activer la réinitialisation du mot de passe libre-service

Azure AD vous permet d’activer l’option SSPR pour Aucun utilisateur, pour les utilisateurs sélectionnés ou pour Tous les utilisateurs. Cette capacité à indiquer la précision vous permet de choisir un sous-ensemble d’utilisateurs pour tester le processus d’inscription et le workflow SSPR. Une fois que vous êtes familiarisé avec le processus et que le moment est venu de communiquer les exigences avec un ensemble plus large d’utilisateurs, vous pouvez sélectionner un groupe d’utilisateurs à activer pour SSPR. Vous pouvez également activer SSPR pour tous les membres du locataire Azure AD.

Notes

Pour le moment, vous ne pouvez activer qu’un seul groupe Azure AD pour SSPR à l’aide du portail Azure. Dans le cadre d’un déploiement plus étendu de SSPR, Azure AD prend en charge les groupes imbriqués.

Dans ce tutoriel, configurez SSPR pour un ensemble d’utilisateurs dans un groupe de test. Utilisez SSPR-Test-Group et fournissez votre propre groupe Azure AD en fonction des besoins :

  1. Connectez-vous au portail Azure à l’aide d’un compte disposant d’autorisations d’administrateur général.

  2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Réinitialisation de mot de passe dans le menu de gauche.

  3. Dans la page Propriétés, sous l’option Réinitialisation de mot de passe en libre-service activée, sélectionnez Sélectionner un groupe.

  4. Recherchez et sélectionnez votre groupe Azure AD, par exemple SSPR-Test-Group, puis choisissez Sélectionner.

    Sélectionner un groupe sur le portail Azure pour activer la réinitialisation de mot de passe en libre-service

  5. Pour activer SSPR pour les utilisateurs sélectionnés, sélectionnez Enregistrer.

Sélectionner les méthodes d’authentification et les options d’inscription

Quand les utilisateurs doivent déverrouiller leur compte ou réinitialiser leur mot de passe, ils sont invités à fournir une autre méthode de confirmation. Ce facteur d’authentification supplémentaire vérifie qu’Azure AD a terminé uniquement les événements SSPR approuvés. Vous pouvez choisir les méthodes d’authentification à autoriser, en fonction des informations d’inscription fournies par l’utilisateur.

  1. Dans le menu à gauche de la page Méthodes d’authentification, affectez la valeur 1 au Nombre de méthodes à réinitialiser.

    Pour améliorer la sécurité, vous pouvez augmenter le nombre de méthodes d’authentification requises pour SSPR.

  2. Choisissez les Méthodes disponibles pour les utilisateurs que votre entreprise souhaite autoriser. Pour ce tutoriel, cochez les cases pour activer les méthodes suivantes :

    • Notification sur l’application mobile
    • Code de l’application mobile
    • E-mail
    • Téléphone mobile

    Vous pouvez activer des méthodes d’authentification supplémentaires, telles que Téléphone professionnel ou Questions de sécurité, pour répondre aux besoins de votre entreprise.

  3. Pour appliquer les méthodes d’authentification, sélectionnez Enregistrer.

Pour pouvoir déverrouiller leur compte ou réinitialiser un mot de passe, les utilisateurs doivent d’abord inscrire leurs informations de contact. Azure AD utilise ces informations de contact pour les différentes méthodes d’authentification configurées au cours des étapes précédentes.

Un administrateur peut spécifier manuellement ces informations de contact, ou les utilisateurs peuvent accéder au portail d’inscription pour fournir les informations eux-mêmes. Dans ce tutoriel, configurez Azure AD pour inviter les utilisateurs à s’inscrire la prochaine fois qu’ils se connectent.

  1. Dans le menu à gauche de la page Inscription, sélectionnez Oui pour obliger les utilisateurs à s’inscrire durant la connexion.

  2. Définissez l’option Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification sur 180.

    Il est important que les informations de contact soient tenues à jour. Si les informations de contact sont obsolètes au démarrage d’un événement SSPR, l’utilisateur risque de ne pas pouvoir déverrouiller son compte ou réinitialiser son mot de passe.

  3. Pour appliquer les paramètres d’inscription, sélectionnez Enregistrer.

Configurer les notifications et les personnalisations

Pour informer les utilisateurs de l’activité des comptes, vous pouvez configurer Azure AD pour envoyer des notifications par e-mail quand un événement SSPR se produit. Ces notifications peuvent couvrir les comptes d’utilisateur standard et les comptes d’administrateur. Pour les comptes d’administrateur, cette notification fournit une autre couche de sensibilisation quand un mot de passe de compte d’administrateur privilégié est réinitialisé à l’aide de SSPR. Azure AD avertit tous les administrateurs généraux quand un utilisateur utilise SSPR sur un compte d’administrateur.

  1. Dans le menu à gauche de la page Notifications, configurez les options suivantes :

    • Définissez l’option Notifier les utilisateurs lors des réinitialisations de mot de passe sur Oui.
    • Définissez l’option Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe sur Oui.
  2. Pour appliquer les préférences de notification, sélectionnez Enregistrer.

Si les utilisateurs ont besoin d’aide supplémentaire avec le processus SSPR, vous pouvez personnaliser le lien « Contactez votre administrateur ». L’utilisateur peut sélectionner ce lien lors du processus d’inscription SSPR et quand il déverrouille son compte ou réinitialise son mot de passe. Pour vous assurer que les utilisateurs bénéficient du support nécessaire, nous vous recommandons vivement de fournir une adresse e-mail ou une URL de support technique personnalisée.

  1. Dans le menu à gauche de la page Personnalisation, affectez la valeur Oui à Personnaliser le lien du support technique.
  2. Dans le champ Personnaliser le lien du support technique, spécifiez une adresse e-mail ou une URL de page web où vos utilisateurs peuvent obtenir une aide supplémentaire de la part de votre organisation, par exemple https://support.contoso.com/
  3. Pour appliquer le lien personnalisé, sélectionnez Enregistrer.

Tester la réinitialisation de mot de passe en libre-service

Avec l’option SSPR activée et configurée, testez le processus SSPR avec un utilisateur qui fait partie du groupe que vous avez sélectionné dans la section précédente, par exemple Test-SSPR-Group. L’exemple suivant utilise le compte testuser. Fournissez votre propre compte d’utilisateur. Il fait partie du groupe que vous avez activé pour SSPR dans la première section de ce tutoriel.

Notes

Quand vous testez la réinitialisation de mot de passe en libre-service, utilisez un compte non-administrateur. Par défaut, Azure AD active la réinitialisation de mot de passe en libre-service pour les administrateurs. Ils doivent utiliser deux méthodes d’authentification pour réinitialiser leur mot de passe. Pour plus d’informations, consultez Différences en matière de stratégie de réinitialisation par l’administrateur.

  1. Pour voir le processus d’inscription manuelle, ouvrez une nouvelle fenêtre de navigateur dans InPrivate ou en mode de navigation privée, puis accédez à https://aka.ms/ssprsetup. Azure AD dirige les utilisateurs vers ce portail d’inscription la prochaine fois qu’ils se connectent.

  2. Connectez-vous avec un utilisateur test non-administrateur, par exemple testuser, et inscrivez vos informations de contact pour les méthodes d’authentification.

  3. Une fois cela terminé, sélectionnez le bouton marqué Les informations semblent correctes et fermez la fenêtre du navigateur.

  4. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, et accédez à https://aka.ms/sspr.

  5. Entrez les informations de compte de votre utilisateur test non-administrateurs, par exemple testuser, les caractères du test CAPTCHA, puis sélectionnez Suivant.

    Entrer les informations du compte d’utilisateur pour réinitialiser le mot de passe

  6. Suivez les étapes de vérification pour réinitialiser votre mot de passe. Quand vous avez terminé, vous devez recevoir une notification par e-mail indiquant que votre mot de passe a été réinitialisé.

Nettoyer les ressources

Dans un autre tutoriel de cette série, vous configurerez la réécriture du mot de passe. Cette fonctionnalité réécrit les modifications de mot de passe de SSPR Azure AD vers un environnement AD local. Si vous souhaitez continuer avec cette série de tutoriels pour configurer la réécriture du mot de passe, ne désactivez pas SSPR maintenant.

Si vous ne souhaitez plus utiliser la fonctionnalité SSPR que vous avez configurée dans le cadre de ce tutoriel, définissez l’état de SSPR sur Aucun en effectuant les étapes suivantes :

  1. Connectez-vous au portail Azure.
  2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Réinitialisation de mot de passe dans le menu de gauche.
  3. Dans la page Propriétés, sous l’option Réinitialisation de mot de passe en libre-service activée, sélectionnez Aucun.
  4. Pour appliquer la modification SSPR, sélectionnez Enregistrer.

FAQ

Cette section décrit les questions courantes des administrateurs et des utilisateurs finaux qui essaient SSPR :

  • Pourquoi les utilisateurs fédérés attendent jusqu’à 2 minutes après avoir vu le message Votre mot de passe a été réinitialisé avant de pouvoir utiliser les mots de passe qui sont synchronisés en local ?

    Pour les utilisateurs fédérés dont les mots de passe sont synchronisés, la source d’autorité pour les mots de passe est locale. Par conséquent, SSPR met à jour uniquement les mots de passe locaux. La resynchronisation de hachage de mot de passe sur Azure AD est planifiée toutes les 2 minutes.

  • Quand un utilisateur nouvellement créé, dont les données SSPR sont préremplies (telles que le téléphone et l’e-mail), visite la page d’inscription SSPR, le message Ne perdez pas l’accès à votre compte ! apparaît comme titre de la page. Pourquoi d’autres utilisateurs dont les données SSPR sont préremplies ne voient pas le message ?

    Un utilisateur qui voit le message Ne perdez pas l’accès à votre compte ! est membre des groupes d’inscription SSPR/combinés qui sont configurés pour le locataire. Les utilisateurs qui ne voient pas ce message ne font pas partie de ces groupes.

  • Lorsque certains utilisateurs suivent le processus SSPR et réinitialisent leur mot de passe, pourquoi ne voient-ils pas l’indicateur du niveau de sécurité du mot de passe ?

    La réécriture du mot de passe synchronisé est activée pour les utilisateurs qui ne voient pas le niveau de sécurité du mot de passe faible/fort. Étant donné que SSPR ne peut pas déterminer la stratégie de mot de passe de l’environnement local du client, il ne peut pas valider la force ou la faiblesse du mot de passe.

Étapes suivantes

Dans ce tutoriel, vous avez activé la réinitialisation de mot de passe Azure AD pour un groupe d’utilisateurs sélectionné. Vous avez appris à :

  • Activer la réinitialisation de mot de passe en libre-service pour un groupe d’utilisateurs Azure AD
  • Configurer les méthodes d’authentification et les options d’inscription
  • Tester le processus SSPR en tant qu’utilisateur