Fonctionnement : Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

La sécurité de la vérification en deux étapes repose sur son approche en couche.The security of two-step verification lies in its layered approach. Compromettre plusieurs facteurs d'authentification présente un défi de taille pour les attaquants.Compromising multiple authentication factors presents a significant challenge for attackers. Même si un attaquant réussit à connaître le mot de passe de l’utilisateur, celui-ci lui est inutile sans posséder la méthode d’authentification supplémentaire.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. Le principe fonctionne sur l’imposition au minimum de deux des méthodes d’authentification suivantes :It works by requiring two or more of the following authentication methods:

  • Un élément que vous connaissez (généralement un mot de passe)Something you know (typically a password)
  • Un élément que vous possédez (un appareil de confiance qui n'est pas facilement dupliqué, comme un téléphone)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Un élément vous concernant particulièrement (biométrie)Something you are (biometrics)

Image de méthodes d’authentification conceptuel

Conceptual authentication methods image

Azure Multi-Factor Authentication (MFA) participe à la sécurisation de l’accès aux données et aux applications tout en maintenant une simplicité de gestion pour les utilisateurs.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. MFA fournit une sécurité supplémentaire en exigeant une deuxième forme d’authentification, et procure une authentification renforcée par le biais d’un éventail de méthodes d’authentification faciles à utiliser.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Les utilisateurs peuvent devoir s'authentifier via MFA selon les choix de configuration de l'administrateur.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Comment obtenir Multi-Factor Authentication ?How to get Multi-Factor Authentication?

Le service Multi-Factor Authentication est fourni avec les offres suivantes :Multi-Factor Authentication comes as part of the following offerings:

  • Licences Azure Active Directory Premium - Utilisation complète du service Azure Multi-Factor Authentication (Cloud) ou du serveur Azure multi-Factor Authentication (Local).Azure Active Directory Premium licenses - Full featured use of Azure Multi-Factor Authentication Service (Cloud) or Azure Multi-Factor Authentication Server (On-premises).
    • Service Azure MFA (Cloud) - Cette option est la voie royale pour les nouveaux déploiements.Azure MFA Service (Cloud) - This option is the recommended path for new deployments. Azure MFA dans le cloud ne nécessite aucune infrastructure locale et peut être utilisé avec les utilisateurs fédérés, ou ceux du cloud uniquement.Azure MFA in the cloud requires no on-premises infrastructure and can be used with your federated or cloud-only users.
    • Serveur Azure MFA - Si votre organisation souhaite gérer les éléments d’infrastructure associés, et qu’elle a déployé AD FS dans votre environnement local, ce moyen peut constituer une solution.Azure MFA Server - If your organization wants to manage the associated infrastructure elements and has deployed AD FS in your on-premises environment this way may be an option.
  • Multi-Factor Authentication pour Office 365 - Une sélection de fonctionnalités Azure Multi-Factor Authentication disponibles dans le cadre de votre abonnement.Multi-Factor Authentication for Office 365 - A subset of Azure Multi-Factor Authentication capabilities are available as a part of your subscription. Apprenez-en davantage sur MFA pour Office 365 en consultant l’article Planifier les déploiements de l’authentification multifacteur pour Office 365.For more information about MFA for Office 365, see the article Plan for multi-factor authentication for Office 365 Deployments.
  • Administrateurs généraux Azure Active Directory - Une sélection de fonctionnalités Azure Multi-Factor Authentication disponibles comme moyen de protection des comptes d’administrateur général.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Notes

De nouveaux clients ne pourront peut-être plus acheter une authentification multifacteur Azure en tant qu’offre autonome à partir du 1er septembre 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. L’authentification multifacteur restera une fonctionnalité disponible dans les licences Azure AD Premium.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

Prise en chargeSupportability

Dans la mesure où la plupart des utilisateurs sont habitués à utiliser uniquement les mots de passe pour s’authentifier, il est important que votre organisation informe l’ensemble des utilisateurs sur ce processus.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. Le fait d’en être averti peut réduire la probabilité que les utilisateurs appellent votre support technique pour des problèmes mineurs liés à l’authentification MFA.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Toutefois, pour certains scénarios, il est nécessaire de désactiver provisoirement l’authentification Multifacteur.However, there are some scenarios where temporarily disabling MFA is necessary. Suivez les indications suivantes pour comprendre comment gérer ces scénarios :Use the following guidelines to understand how to handle those scenarios:

  • Formez le personnel de votre support technique à la gestion de scénarios dans lesquels l’utilisateur ne parvient pas à se connecter, car il n’a pas accès à ses méthodes d’authentification, ou parce que celles-ci ne fonctionnent pas correctement.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • À l’aide de stratégies d’accès conditionnel pour le service Azure MFA, votre personnel du support technique peut ajouter un utilisateur à un groupe qui est exclu d’une stratégie nécessitant MFA.Using conditional access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
    • L’équipe du support technique peut activer un contournement temporaire à usage unique pour les utilisateurs du serveur Azure MFA, afin d’autoriser un utilisateur à s’authentifier sans procéder à la vérification en deux étapes.Support staff can enable a temporary one-time bypass for Azure MFA Server users to allow a user to authenticate without two-step verification. Le contournement est temporaire et expire après le nombre de secondes spécifié.The bypass is temporary and expires after a specified number of seconds.
  • Envisagez d’utiliser des adresses IP approuvées ou des emplacements nommés comme moyen de réduire les invites de vérification en deux étapes.Consider using Trusted IPs or named locations as a way to minimize two-step verification prompts. Avec cette fonction, les administrateurs d’un locataire géré ou fédéré peuvent contourner la vérification en deux étapes des utilisateurs qui se connectent depuis un emplacement réseau approuvé, tel que l’intranet de leur organisation.With this feature, administrators of a managed or federated tenant can bypass two-step verification for users that are signing in from a trusted network location such as their organization's intranet.
  • Déployez Azure AD Identity Protection et déclenchez la vérification en deux étapes en fonction des événements à risque.Deploy Azure AD Identity Protection and trigger two-step verification based on risk events.

Étapes suivantesNext steps