Fonctionnement : Authentification multifacteur Azure AD

L’authentification multifacteur est un processus dans lequel l’utilisateur est invité pendant le processus de connexion à suivre une forme d’identification supplémentaire, consistant par exemple à entrer un code sur son téléphone portable ou à scanner son empreinte digitale.

L’utilisation d’un mot de passe uniquement ne protège pas complètement des attaques. Si le mot de passe est faible ou s’il a été exposé ailleurs, est-ce vraiment l’utilisateur qui se connecte avec le nom d’utilisateur et le mot de passe, ou s’agit-il d’un attaquant ? Quand vous exigez une deuxième forme d’authentification, la sécurité est accrue, car ce facteur supplémentaire n’est pas un élément facile à obtenir ou à dupliquer par un attaquant.

Image conceptuelle des différentes formes d’authentification multifacteur

L’authentification multifacteur Azure AD impose au minimum deux des méthodes d’authentification suivantes :

  • Un élément que vous connaissez, généralement un mot de passe.
  • Un élément que vous possédez, tel qu’un appareil de confiance qui n’est pas facilement dupliqué, comme un téléphone ou une clé matérielle.
  • Un élément biométrique identifiant votre personne, tel qu’une empreinte digitale ou un scan du visage.

Les utilisateurs peuvent s’inscrire à la réinitialisation de mot de passe en libre-service et à l’authentification multifacteur Azure AD en une seule étape pour simplifier l’expérience d’intégration. Les administrateurs peuvent définir les formes d’authentification secondaire qui peuvent être utilisées. L’authentification multifacteur Azure AD peut également être nécessaire quand les utilisateurs effectuent une réinitialisation de mot de passe en libre-service pour sécuriser davantage ce processus.

Méthodes d’authentification en cours d’utilisation sur l’écran de connexion

Azure AD Multi-Factor Authentication permet de sécuriser l'accès aux données et aux applications tout en offrant une simplicité de gestion aux utilisateurs. MFA fournit une sécurité supplémentaire en exigeant une deuxième forme d’authentification, et procure une authentification renforcée par le biais d’un éventail de méthodes d’authentification faciles à utiliser. Les utilisateurs peuvent devoir s'authentifier via MFA selon les choix de configuration de l'administrateur.

Aucune modification n'est nécessaire au niveau de vos applications ou services pour utiliser Azure AD Multi-Factor Authentication. Les invites de vérification font partie de l’événement de connexion Azure AD, qui demande et traite automatiquement le défi MFA lorsque cela est nécessaire.

Méthodes de vérification disponibles

Lorsqu’un utilisateur se connecte à une application ou à un service et reçoit une invite MFA, il peut choisir l’une des formes inscrites de vérification supplémentaire dont il dispose. Un administrateur peut exiger l'inscription de ces méthodes de vérification Azure AD Multi-Factor Authentication, ou l'utilisateur peut accéder à sa page Mon profil pour modifier ou ajouter des méthodes de vérification.

Les autres formes de vérification suivantes peuvent être utilisées avec Azure AD Multi-Factor Authentication :

  • Application Microsoft Authenticator
  • Jetons matériels OATH
  • sms
  • Appel vocal

Activer et utiliser Azure AD Multi-Factor Authentication

Azure AD Multi-Factor Authentication peut être activé pour inviter les utilisateurs et les groupes à se soumettre à une vérification supplémentaire dans le cadre de l'événement de connexion. Les paramètres de sécurité par défaut sont disponibles pour tous les locataires Azure AD afin d’activer rapidement l’utilisation de l’application Microsoft Authenticator pour tous les utilisateurs.

Pour des contrôles plus précis, des stratégies d’accès conditionnel peuvent être utilisées pour définir des événements ou des applications qui demandent MFA. Ces stratégies peuvent autoriser des événements de connexion standard lorsque l’utilisateur se trouve sur le réseau d’entreprise ou sur un appareil inscrit, mais demander des facteurs de vérification supplémentaires lorsqu’il se connecte à distance ou sur un appareil personnel.

Diagramme de vue d’ensemble du fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion

Étapes suivantes

Pour en savoir plus sur les licences, consultez Fonctionnalités et licences Azure AD Multi-Factor Authentication.

Pour avoir un aperçu de l'authentification MFA, appliquez Azure AD Multi-Factor Authentication à un ensemble d'utilisateurs de test dans le tutoriel suivant :