Partager via


Authentification multifacteur pour Microsoft 365

Les mots de passe sont la méthode la plus courante pour authentifier une connexion à un ordinateur ou à un service en ligne, mais ils sont également les plus vulnérables. Les utilisateurs peuvent choisir des mots de passe faciles à utiliser et utiliser les mêmes mots de passe pour plusieurs connexions sur différents ordinateurs et services.

Pour fournir un niveau de sécurité supplémentaire pour les connexions, vous devez utiliser l’authentification multifacteur (MFA), qui utilise à la fois un mot de passe, qui doit être fort, et une méthode de vérification supplémentaire basée sur :

  • Quelque chose que vous avez avec vous qui n’est pas facile à dupliquer, tel qu’un smartphone.
  • Quelque chose que vous possédez de manière unique et biologique, comme vos empreintes digitales, votre visage ou un autre attribut biométrique.

La méthode de vérification supplémentaire n’est pas utilisée tant que le mot de passe de l’utilisateur n’a pas été vérifié. Avec l’authentification multifacteur, même si un mot de passe fort est volé, l’usurpateur ne dispose pas de votre smartphone ou de votre empreinte digitale pour terminer la connexion.

Prise en charge de l’authentification multifacteur dans Microsoft 365

Par défaut, Microsoft 365 et Office 365 prennent en charge l’authentification multifacteur pour les comptes d’utilisateur à l’aide de :

  • Un SMS envoyé à un téléphone qui demande à l'utilisateur de taper un code de vérification.
  • Un appel téléphonique.
  • L'application pour smartphone Microsoft Authenticator.

Dans les deux cas, la connexion MFA utilise la méthode « quelque chose que vous avez avec vous qui n’est pas facilement dupliqué » pour la vérification supplémentaire. Il existe plusieurs façons d’activer l’authentification multifacteur pour Microsoft 365 et Office 365 :

  • Avec les paramètres de sécurité par défaut
  • Avec les stratégies d’accès conditionnel
  • Pour chaque compte d’utilisateur individuel (non recommandé)

Ces méthodes sont basées sur votre plan Microsoft 365.

Planification Recommandation Type de client
Tous les plans Microsoft 365 Utilisez les paramètres de sécurité par défaut, qui requièrent l’authentification multifacteur pour tous les comptes d’utilisateur.

Vous pouvez également configurer l’authentification multifacteur par utilisateur sur des comptes d’utilisateur individuels, mais cela n’est pas recommandé.

Petite entreprise
Microsoft 365 Business Premium

Microsoft 365 E3

Licences D’ID Microsoft Entra P1

Utilisez des stratégies de sécurité par défaut ou d’accès conditionnel pour exiger l’authentification multifacteur pour les comptes d’utilisateur en fonction de l’appartenance au groupe, des applications ou d’autres critères. Petites entreprises à entreprise
Microsoft 365 E5

licences P2 d’ID Microsoft Entra

Utilisez Protection des ID Microsoft Entra pour exiger l’authentification multifacteur en fonction des critères de risque de connexion. Entreprise

Paramètres de sécurité par défaut

Les paramètres de sécurité par défaut sont une nouvelle fonctionnalité pour Microsoft 365 et les abonnements Office 365 payants ou en version d’évaluation créés après le 21 octobre 2019. Les paramètres de sécurité par défaut de ces abonnements étant activés :

  • Exige que tous vos utilisateurs utilisent l’authentification multifacteur avec l’application Microsoft Authenticator.
  • L’authentification héritée est bloquée.

Les utilisateurs disposent de 14 jours pour s’inscrire à l’authentification multifacteur de l’application Microsoft Authenticator sur leur smartphone, un délai qui commence dès la première connexion suivant l’activation des paramètres de sécurité par défaut. Lorsque les 14 jours sont écoulés, l’utilisateur ne peut pas se connecter tant que son inscription à l’authentification multifacteur n’est pas terminée.

Les paramètres de sécurité par défaut garantissent que toutes les organisations ont un niveau de sécurité de base qui est activé par défaut pour la connexion des utilisateurs. Vous pouvez désactiver les paramètres de sécurité par défaut en faveur de l’authentification multifacteur avec des stratégies d’accès conditionnel.

Vous activez ou désactivez les paramètres de sécurité par défaut dans le volet Propriétés pour l’ID de Microsoft Entra dans le Portail Azure.

Image de la page propriétés du répertoire.

Vous pouvez utiliser les paramètres de sécurité par défaut avec n’importe quel plan Microsoft 365.

Pour plus d’informations, voirVue d’ensemble des paramètres de sécurité par défaut.

Stratégies d’accès conditionnel

Les stratégies d’accès conditionnel sont un groupe de règles qui spécifient les conditions dans lesquelles les connexions sont évaluées et autorisées. Par exemple, vous pouvez créer une stratégie d’accès conditionnel qui indique :

  • Si le nom du compte d’utilisateur concerne membre d’un groupe d’utilisateurs bénéficiant des rôles d’administrateur Exchange, utilisateur, mot de passe, sécurité, SharePoint ou global, exigez l’authentification multifacteur avant d’autoriser l’accès.

Cette stratégie vous permet de demander une authentification multifacteur basée sur l’appartenance au groupe, plutôt que d’essayer de configurer des comptes d’utilisateur individuels pour l’authentification multifacteur lorsqu’ils sont attribués ou non à des rôles d’administrateur.

Vous pouvez également utiliser des stratégies d’accès conditionnel pour des fonctionnalités plus avancées, telles que l’exigence de l’authentification multifacteur pour des applications spécifiques ou le fait que la connexion s’effectue à partir d’un appareil conforme, tel que votre ordinateur portable exécutant Windows 10.

Vous configurez des stratégies d’accès conditionnel à partir du volet Sécurité pour l’ID de Microsoft Entra dans le Portail Azure.

Image de l’option de menu pour l’accès conditionnel.

Vous pouvez utiliser les stratégies d’accès conditionnel avec :

  • Microsoft 365 Business Premium
  • Microsoft 365 E3 et E5
  • Licences D’ID Microsoft Entra P1 et d’ID Microsoft Entra P2

Pour les petites entreprises avec Microsoft 365 Business Premium, vous pouvez facilement utiliser les stratégies d’accès conditionnel en procédant comme suit :

  1. Créez un groupe pour contenir les comptes d’utilisateurs qui requièrent une authentification multifacteur.
  2. Activez la stratégie Exiger l’authentification multifacteur pour les administrateurs généraux.
  3. Créez une stratégie d’accès conditionnel basée sur un groupe avec ces paramètres :
    • Affectations > Utilisateurs et groupes : nom de votre groupe de l’étape 1 ci-dessus.
    • Affectations > Applications ou actions cloud : toutes les applications cloud.
    • Contrôles > d’accès Accorder l’accès >> Nécessite une authentification multifacteur.
  4. Activez la stratégie.
  5. Ajoutez un compte d’utilisateur au groupe créé à l’étape 1 ci-dessus et testez-le.
  6. Pour exiger l’authentification multifacteur pour les comptes d’utilisateur supplémentaires, ajoutez-les au groupe créé à l’étape 1.

Cette stratégie d’accès conditionnel vous permet de déployer la configuration MFA pour vos utilisateurs à votre rythme.

Les entreprises doivent utiliser Stratégies d’accès conditionnel courantes pour configurer les stratégies suivantes :

Si vous souhaitez en savoir plus, consultez Présentation de l’accès conditionnel.

Protection des ID Microsoft Entra

Avec Protection des ID Microsoft Entra, vous pouvez créer une stratégie d’accès conditionnel supplémentaire pour exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé.

Vous pouvez utiliser des stratégies d’accès conditionnel Protection des ID Microsoft Entra et basées sur les risques avec :

  • Microsoft 365 E5
  • licences P2 d’ID Microsoft Entra

Pour plus d’informations, consultez cette vue d’ensemble de Protection des ID Microsoft Entra.

Vous devez utiliser des stratégies de sécurité par défaut ou d’accès conditionnel pour exiger l’authentification multifacteur pour les connexions de votre compte d’utilisateur. Toutefois, si l’un de ces éléments ne peut pas être utilisé, Microsoft recommande vivement l’authentification multifacteur pour les comptes d’utilisateur qui ont des rôles d’administrateur, en particulier le rôle d’administrateur général, pour n’importe quelle taille d’abonnement.

Vous activez l’authentification multifacteur pour les comptes d’utilisateur individuels à partir du volet Utilisateurs actifs du Centre d'administration Microsoft 365.

Image de l’option d’authentification multifacteur dans la page Utilisateurs actifs.

Une fois activé, la prochaine fois que l’utilisateur se connecte, il est invité à s’inscrire à l’authentification multifacteur et à choisir et tester la méthode de vérification supplémentaire.

Utilisation combinée des méthodes

Ce tableau présente les résultats de l’activation de l’authentification multifacteur avec les paramètres de sécurité par défaut, les stratégies d’accès conditionnel et les paramètres de compte par utilisateur.

Élément Activé Désactivé Méthode d'authentification secondaire
Paramètres de sécurité par défaut Impossible d’utiliser les stratégies d’accès conditionnel Peut utiliser les stratégies d’accès conditionnel Application Microsoft Authenticator
Stratégies d’accès conditionnel Si elles sont activées, vous ne pouvez pas activer les paramètres de sécurité par défaut Si tous ces éléments sont désactivés, vous pouvez activer les paramètres de sécurité par défaut Utilisateur spécifié lors de l’inscription à l’authentification multifacteur
Authentification multifacteur héritée par utilisateur (non recommandé) Remplace les paramètres de sécurité par défaut et les stratégies d’accès conditionnel nécessitant l’authentification multifacteur à chaque connexion Remplacé par les paramètres de sécurité par défaut et les stratégies d’accès conditionnel Utilisateur spécifié lors de l’inscription à l’authentification multifacteur

Si les paramètres de sécurité par défaut sont activés, les nouveaux utilisateurs sont invités à s’inscrire pour l’authentification multifacteur et à utiliser l’application Microsoft Authenticator à leur prochaine connexion.

Méthodes de gestion des paramètres MFA

Il existe deux façons de gérer les paramètres MFA.

Dans le Portail Azure, vous pouvez :

  • Activer et désactiver les paramètres de sécurité par défaut
  • Configurer les stratégies d'accès conditionnel

Dans le Centre d'administration Microsoft 365, vous pouvez configurer les paramètres MFA par utilisateur et par service.

Étapes suivantes

Configurer l’authentification multifacteur pour Microsoft 365

Activer l’authentification multifacteur (vidéo)
Activer l’authentification multi-facteurs sur votre téléphone (vidéo)