Fonctionnalités et licences d'Azure AD Multi-Factor Authentication

Pour protéger les comptes d’utilisateurs au sein de votre organisation, vous devez utiliser l’authentification multifacteur. Cette fonctionnalité est particulièrement importante pour les comptes administratifs qui disposent d’un accès privilégié aux ressources. Les fonctionnalités de l’authentification multifacteur de base sont disponibles pour les administrateurs généraux Microsoft 365 et Azure Active Directory (Azure AD) sans frais supplémentaires. Si vous souhaitez procéder à la mise à niveau des fonctionnalités de vos administrateurs ou étendre l'authentification multifacteur au reste de vos utilisateurs, vous pouvez acheter Azure AD Multi-Factor Authentication de plusieurs façons.

Important

Cet article détaille les différentes façons d'obtenir la licence Azure AD Multi-Factor Authentication et de l'utiliser. Pour des détails spécifiques sur les prix et la facturation, consultez la page de tarification d’Azure AD.

Versions disponibles d'Azure AD Multi-Factor Authentication

Vous pouvez vous procurer la licence Azure AD Multi-Factor Authentication et l'utiliser de différentes manières en fonction des besoins de votre organisation. Vous disposez peut-être déjà d'une licence Azure AD, EMS ou Microsoft 365 qui vous permet d'utiliser Azure AD Multi-Factor Authentication. Par exemple, les 50 000 premiers utilisateurs actifs mensuels d’Azure AD External Identities peuvent utiliser l’authentification multifacteur et d’autres fonctionnalités Premium P1 ou P2 gratuitement. Pour plus d’informations, consultez Tarifs d’Azure Active Directory External Identities.

Le tableau suivant répertorie les différents moyens de se procurer Azure AD Multi-Factor Authentication, et détaille les fonctionnalités et utilisations correspondantes.

Si vous êtes un utilisateur de Fonctionnalités et utilisations
Microsoft 365 Business Premium et EMS ou Microsoft 365 E3 et E5 EMS E3, Microsoft 365 E3 et Microsoft 365 Business Premium incluent Azure AD Premium P1. EMS E5 ou Microsoft 365 E5 incluent Azure AD Premium P2. Vous pouvez utiliser les fonctionnalités d’accès conditionnel énoncées dans les sections suivantes pour fournir une authentification multifacteur aux utilisateurs.
Azure AD Premium P1 Vous pouvez utiliser l’accès conditionnel Azure AD pour inviter des utilisateurs à opter pour une authentification multifacteur dans le cadre de certains scénarios ou événements en fonction des besoins de votre entreprise.
Azure AD Premium P2 Fournit la sécurité la plus forte et une expérience utilisateur améliorée. Ajoute l’accès conditionnel en fonction des risques aux fonctionnalités d’Azure AD Premium P1, qui s’adapte aux profils d’utilisation et minimise les invites d’authentification multifacteur.
Tous les plans Microsoft 365 Azure AD Multi-Factor Authentication peut être activé pour tous les utilisateurs à l’aide des paramètres de sécurité par défaut. La gestion d'Azure AD Multi-Factor Authentication s'effectue via le portail Microsoft 365. Pour une expérience utilisateur améliorée, effectuez une mise à niveau vers Azure AD Premium P1 ou P2, et utilisez un accès conditionnel. Pour plus d’informations, consultez Sécuriser les ressources Microsoft 365 à l’aide de l’authentification multifacteur.
Office 365 gratuit
Azure AD gratuit
Vous pouvez utiliser les paramètres de sécurité par défaut pour inviter les utilisateurs à utiliser l’authentification multifacteur en fonction des besoins, mais vous ne disposez pas d’un contrôle précis des utilisateurs ou des scénarios activés, mais cela offre une étape de sécurité supplémentaire.
Même si des paramètres de sécurité par défaut ne sont pas utilisés pour activer l’authentification multifacteur pour tout le monde, les utilisateurs auxquels est attribué le rôle Administrateur général Azure AD peuvent être configurés pour utiliser l’authentification multifacteur. Cette fonctionnalité du niveau Gratuit veille à ce que les comptes d’administrateur critiques soient protégés par une authentification multifacteur.

Comparaison des fonctionnalités en fonction des licences

Le tableau suivant fournit la liste des fonctionnalités disponibles dans les différentes versions d'Azure AD Multi-Factor Authentication. Planifiez vos besoins en matière de sécurisation de l’authentification des utilisateurs, puis déterminez l’approche correspondant à ces exigences. Par exemple, bien qu'Azure AD Free fournisse des paramètres de sécurité par défaut incluant Azure AD Multi-Factor Authentication, seule l'application d'authentification mobile peut être utilisée pour l'invite d'authentification (les appels téléphoniques et les SMS ne sont pas pris en charge). Cette approche peut constituer une limitation si vous ne pouvez pas vous assurer que l’application d’authentification mobile est installée sur l’appareil personnel d’un utilisateur. Consultez Niveau Azure AD Free plus loin dans cette rubrique pour plus d’informations.

Fonctionnalité Azure AD Free - Paramètres de sécurité par défaut (activés pour tous les utilisateurs) Azure AD Free - Administrateurs généraux uniquement Office 365 Azure AD Premium P1 ou P2
Protection des comptes Administrateur locataire Azure AD avec MFA ● (Comptes d’administrateur généraux d’Azure AD uniquement)
Application mobile comme second facteur
Appel téléphonique comme second facteur
SMS comme second facteur
Contrôle d’administration sur les méthodes de vérification
Alerte de fraude
Rapports MFA
Messages de bienvenue personnalisés pour les appels téléphoniques
ID d’appelant personnalisé pour les appels téléphoniques
Adresses IP approuvées
Mémoriser MFA pour les appareils fiables
MFA pour les applications locales

Stratégies basées sur l’emplacement et l’authentification multifacteur

Le tableau suivant fournit des considérations relatives au déploiement pour différentes stratégies MFA.

Stratégie Paramètres de sécurité par défaut Accès conditionnel Authentification multifacteur par utilisateur
Gestion
Ensemble standard de règles de sécurité pour garantir la sécurité de votre entreprise
Activé/désactivé en un clic
Inclus dans la gestion des licences Office 365 (voir les considérations relatives aux licences)
Modèles préconfigurés dans l’assistant Centre d’administration Microsoft 365
Flexibilité de la configuration
Fonctionnalité
Exempter les utilisateurs de la stratégie
Authentification par appel téléphonique ou SMS
S’authentifier par Microsoft Authenticator et jetons logiciels
Authentification par FIDO2, Windows Hello Entreprise et les jetons matériels
Bloque les protocoles d’authentification hérités
Les nouveaux employés sont automatiquement protégés
Déclencheurs MFA dynamiques en fonction des événements à risque
Stratégies d’authentification et d’autorisation
Configurable en fonction de l’emplacement et de l’état de l’appareil
Prise en charge du mode « Rapport seul »
Possibilité de bloquer complètement les utilisateurs/services

Acheter et activer Azure AD Multi-Factor Authentication

Pour utiliser Azure AD Multi-Factor Authentication, inscrivez-vous pour disposer d'un niveau Azure AD éligible ou achetez-le. Azure AD est proposé en quatre éditions : Gratuite, Office 365, Premium P1 et Premium P2.

L’édition gratuite fait partie de tout abonnement Azure. Pour plus d’informations sur l’utilisation des paramètres de sécurité par défaut ou la protection des comptes avec le rôle Administrateur général Azure AD, voir la section ci-dessous.

Les éditions Azure AD Premium sont disponibles via votre représentant Microsoft, le programme de licences en volume Open et le programme Fournisseurs de solutions cloud. Les abonnés Azure et Microsoft 365 peuvent également acheter Azure Active Directory Premium P1 et P2 en ligne. Connectez-vous pour acheter.

Après avoir acheté le niveau Azure AD requis, planifiez et déployez Azure AD Multi-Factor Authentication.

Niveau Azure AD Free

Tous les utilisateurs au sein d’un locataire Azure AD Free peuvent utiliser Azure AD Multi-Factor Authentication à l’aide des paramètres de sécurité par défaut. L'application d'authentification mobile est la seule méthode utilisable pour Azure AD Multi-Factor Authentication en cas de recours aux paramètres de sécurité par défaut d'Azure AD Free.

Si vous ne souhaitez pas activer Azure AD Multi-Factor Authentication pour tous les utilisateurs, vous pouvez protéger uniquement les comptes d'utilisateurs dotés du rôle Administrateur général Azure AD. Cette approche fournit plus d’invites d’authentification pour les comptes d’administrateur critiques. Pour activer Azure AD Multi-Factor Authentication, utilisez l'une des méthodes suivantes, en fonction du type de compte :

Étapes suivantes