Fonctionnement : Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

La sécurité de la vérification en deux étapes repose sur son approche en couche.The security of two-step verification lies in its layered approach. Compromettre plusieurs facteurs d'authentification présente un défi de taille pour les attaquants.Compromising multiple authentication factors presents a significant challenge for attackers. Même si un attaquant réussit à connaître le mot de passe de l’utilisateur, celui-ci lui est inutile sans posséder la méthode d’authentification supplémentaire.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. Le principe fonctionne sur l’imposition au minimum de deux des méthodes d’authentification suivantes :It works by requiring two or more of the following authentication methods:

  • Un élément que vous connaissez (généralement un mot de passe)Something you know (typically a password)
  • Un élément que vous possédez (un appareil de confiance qui n'est pas facilement dupliqué, comme un téléphone)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Un élément vous concernant particulièrement (biométrie)Something you are (biometrics)

Image de méthodes d’authentification conceptuel

Conceptual authentication methods image

Azure Multi-Factor Authentication (MFA) participe à la sécurisation de l’accès aux données et aux applications tout en maintenant une simplicité de gestion pour les utilisateurs.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. MFA fournit une sécurité supplémentaire en exigeant une deuxième forme d’authentification, et procure une authentification renforcée par le biais d’un éventail de méthodes d’authentification faciles à utiliser.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Les utilisateurs peuvent devoir s'authentifier via MFA selon les choix de configuration de l'administrateur.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Comment obtenir Multi-Factor Authentication ?How to get Multi-Factor Authentication?

Le service Multi-Factor Authentication est fourni avec les offres suivantes :Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium ou Microsoft 365 entreprise -complet de l’utilisation d’Azure multi-Factor Authentication à l’aide de stratégies d’accès conditionnel pour exiger une authentification multifacteur.Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure AD gratuit, Azure AD Basic, ou de manière autonome Office 365 licences - utilisez créé au préalable stratégies de protection d’accès conditionnel de base pour exiger une authentification multifacteur pour vos utilisateurs et administrateurs.Azure AD Free, Azure AD Basic, or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Administrateurs généraux Azure Active Directory - Une sélection de fonctionnalités Azure Multi-Factor Authentication disponibles comme moyen de protection des comptes d’administrateur général.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Notes

De nouveaux clients ne pourront peut-être plus acheter une authentification multifacteur Azure en tant qu’offre autonome à partir du 1er septembre 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. L’authentification multifacteur restera une fonctionnalité disponible dans les licences Azure AD Premium.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

Prise en chargeSupportability

Dans la mesure où la plupart des utilisateurs sont habitués à utiliser uniquement les mots de passe pour s’authentifier, il est important que votre organisation informe l’ensemble des utilisateurs sur ce processus.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. Le fait d’en être averti peut réduire la probabilité que les utilisateurs appellent votre support technique pour des problèmes mineurs liés à l’authentification MFA.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Toutefois, pour certains scénarios, il est nécessaire de désactiver provisoirement l’authentification Multifacteur.However, there are some scenarios where temporarily disabling MFA is necessary. Suivez les indications suivantes pour comprendre comment gérer ces scénarios :Use the following guidelines to understand how to handle those scenarios:

  • Formez le personnel de votre support technique à la gestion de scénarios dans lesquels l’utilisateur ne parvient pas à se connecter, car il n’a pas accès à ses méthodes d’authentification, ou parce que celles-ci ne fonctionnent pas correctement.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • À l’aide de stratégies d’accès conditionnel pour le service Azure MFA, votre personnel du support technique peut ajouter un utilisateur à un groupe qui est exclu d’une stratégie nécessitant MFA.Using conditional access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • Envisagez d’utiliser l’accès conditionnel emplacements nommés que les invites de des manières de réduire la vérification en deux étapes.Consider using Conditional Access named locations as a way to minimize two-step verification prompts. Avec cette fonctionnalité, les administrateurs peuvent contourner la vérification en deux étapes pour les utilisateurs qui se connectent à partir d’un emplacement réseau autorisé sécurisé tel qu’un réseau segment utilisé pour l’intégration des nouveaux utilisateurs.With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Déployez Azure AD Identity Protection et déclenchez la vérification en deux étapes en fonction des événements à risque.Deploy Azure AD Identity Protection and trigger two-step verification based on risk events.

Étapes suivantesNext steps