Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?

  • Article

La technologie SSPR (réinitialisation de mot de passe en libre-service) de Microsoft Entra permet aux utilisateurs de réinitialiser leurs mots de passe dans le cloud. Toutefois, la plupart des entreprises disposent également d’un environnement Active Directory Domain Services (AD DS) local pour leurs utilisateurs. La réécriture du mot de passe permet de réécrire les modifications de mot de passe effectuées dans le cloud dans un annuaire local en temps réel, en utilisant Microsoft Entra ID Connect ou la synchronisation cloud Microsoft Entra ID Connect. Lorsque les utilisateurs modifient ou réinitialisent leur mot de passe à l’aide du SSPR dans le cloud, les mots de passe mis à jour sont également réécrits dans l’environnement AD DS local.

Important

Cet article conceptuel explique à un administrateur le fonctionnement de la réécriture de la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

La réécriture du mot de passe est prise en charge dans les environnements qui utilisent les modèles d’identité hybride suivants :

La réécriture du mot de passe fournit les fonctionnalités suivantes :

  • Application de stratégies de mot de passe AD DS (Active Directory Domain Services) locales : quand un utilisateur réinitialise son mot de passe, celui-ci fait l’objet d’une vérification pour garantir qu’il répond à votre stratégie AD DS locale avant d’être validé dans l’annuaire. Cette vérification porte sur l’historique, la complexité, l’âge, les filtres de mot de passe et toute autre restriction de mot de passe définie dans AD DS.
  • Le retour d’informations immédiat : L’écriture différée de mot de passe est une opération synchrone. Les utilisateurs sont notifiés immédiatement si leur mot de passe ne respecte pas la stratégie définie, ou s’il ne peut pas être réinitialisé ou changé pour une raison quelconque.
  • La prise en charge de la modification des mots de passe à partir du panneau d’accès et de Microsoft 365 : quand des utilisateurs fédérés ou disposant de la synchronisation du code de hachage de mot de passe changent leurs mots de passe (arrivés ou non à expiration), ces derniers sont réécrits dans AD DS.
  • Prend en charge la réécriture du mot de passe quand un administrateur le réinitialise depuis le Centre d’administration Microsoft Entra : quand un administrateur réinitialise le mot de passe d’un utilisateur dans le Centre d’administration Microsoft Entra, si cet utilisateur est fédéré ou que la synchronisation de hachage du mot de passe est activée pour lui, le mot de passe est réécrit localement. Actuellement, cette fonctionnalité n’est pas prise en charge dans le portail d’administration Office.
  • Absence de règles de pare-feu obligatoires entrantes : la réécriture de mot de passe utilise un relais Microsoft Azure Service Bus comme canal de communication sous-jacent. Toutes les communications sont sortantes sur le port 443.
  • Prend en charge le déploiement côte à côte au niveau du domaine à l’aide deMicrosoft Entra Connect ou de la synchronisation cloud pour cibler différents groupes d’utilisateurs en fonction de leurs besoins, y compris les utilisateurs qui se trouvent dans des domaines déconnectés.

Remarque

Le compte de service local qui gère les demandes d’écriture différée de mot de passe ne peut aucunement modifier les mots de passe des utilisateurs appartenant à des groupes protégés. Les administrateurs peuvent modifier leur mot de passe dans le cloud, mais ils ne peuvent pas utiliser l’écriture différée de mot de passe pour réinitialiser un mot de passe oublié pour leur utilisateur local. Pour plus d’informations sur les groupes protégés, consultez Comptes et groupes protégés dans AD DS.

Pour bien démarrer avec l’écriture différée SSPR, suivez l’un des tutoriels suivants (ou les deux) :

Déploiement côte à côte de Microsoft Entra Connect et de la synchronisation cloud

Vous pouvez déployer Microsoft Entra Connect et la synchronisation cloud côte à côte dans différents domaines pour cibler différents ensembles d’utilisateurs. Cela permet aux utilisateurs existants de continuer à réécrire les modifications de mot de passe quand les utilisateurs se trouvent dans des domaines déconnectés en raison d’une fusion ou d’une division au sein de l’entreprise. Microsoft Entra Connect et la synchronisation cloud peuvent être configurés dans des domaines différents afin que les utilisateurs d’un domaine utilisent Microsoft Entra Connect, et que les utilisateurs d’un autre domaine utilisent la synchronisation cloud. La synchronisation cloud peut également fournir une disponibilité plus élevée, car elle ne repose pas sur une seule instance d’Azure AD Connect. Pour obtenir une comparaison des fonctionnalités fournies par ces deux options de déploiement, consultez Comparaison entre la synchronisation Microsoft Entra Connect et la synchronisation cloud.

Fonctionnement de la réécriture du mot de passe

Lorsqu’un compte d’utilisateur configuré pour la fédération, la synchronisation de hachage du mot de passe (ou, dans le cas d’un déploiement Microsoft Entra Connect, l’authentification directe) tente de réinitialiser ou de modifier un mot de passe dans le cloud, les actions suivantes se produisent :

  1. Vérification du type de mot de passe de l’utilisateur. Si le mot de passe de l’utilisateur est géré localement :

    • Vérification du bon fonctionnement du service de réécriture. Dans le cas, l’utilisateur peut continuer.
    • Si le service de réécriture n’est pas disponible, l’utilisateur est informé que son mot de passe ne peut pas être réinitialisé pour l’instant.

  2. Ensuite, l’utilisateur transite par les portails d’authentification appropriés et atteint la page de réinitialisation du mot de passe.

  3. L’utilisateur sélectionne un nouveau mot de passe et le confirme.

  4. Quand l’utilisateur sélectionne Envoyer, le mot de passe en texte brut est chiffré avec une clé publique créée durant le processus de configuration de la réécriture.

  5. Le mot de passe chiffré est inclus dans une charge utile qui est envoyée via un canal HTTPS à votre relais Service Bus spécifique à l’abonné (configuré pour vous lors du processus d’installation de la réécriture). Ce relais est protégé par un mot de passe généré de manière aléatoire, connu uniquement de votre installation locale.

  6. Une fois que le message a atteint le Service Bus, le point de terminaison de réinitialisation de mot de passe sort automatiquement du mode veille et découvre qu’une demande de réinitialisation est en attente.

  7. Ce service recherche alors l’utilisateur concerné à l’aide de l’attribut d’ancrage de cloud. Pour que cette recherche réussisse, les conditions suivantes doivent être remplies :

    • L’objet utilisateur doit exister dans l’espace connecteur AD DS.
    • L’objet utilisateur doit être lié à l’objet métaverse (MV) correspondant.
    • L’objet utilisateur doit être lié à l’objet connecteur Microsoft Entra correspondant.
    • Le lien de l’objet connecteur AD DS vers le MV doit avoir la règle de synchronisation Microsoft.InfromADUserAccountEnabled.xxx sur le lien.

    Quand l’appel provient du cloud, le moteur de synchronisation utilise l’attribut cloudAnchor pour rechercher l’objet CS (Connector Space) Microsoft Entra. Il suit ensuite le lien vers l’objet MV, puis le lien vers l’objet AD DS. Comme il peut exister plusieurs objets AD DS (multiforêts) pour le même utilisateur, le moteur de synchronisation s’appuie sur le lien Microsoft.InfromADUserAccountEnabled.xxx pour choisir celui qui convient.

  8. Une fois le compte d’utilisateur trouvé, une tentative de réinitialisation du mot de passe directement dans la forêt AD DS appropriée est effectuée.

  9. Si l’opération de définition du mot de passe réussit, l’utilisateur reçoit le message que son mot de passe a été modifié.

    Remarque

    Si le code de hachage de mot de passe de l’utilisateur est synchronisé à Microsoft Entra à l’aide de la synchronisation du code de hachage de mot de passe, il est possible que la stratégie de mot de passe locale soit plus faible que la stratégie de mot de passe cloud. Dans ce cas, la stratégie locale est appliquée. Cela garantit que votre stratégie locale est appliquée dans le cloud, que vous utilisiez ou non la synchronisation ou la fédération de hachage de mot de passe pour fournir une authentification unique.

  10. Si l’opération de définition du mot de passe échoue, un message d’erreur invite l’utilisateur à réessayer. L’opération peut être un échec pour les raisons suivantes :

    • Le service était arrêté.
    • Le mot de passe sélectionné ne répond pas aux stratégies de l’organisation.
    • L’utilisateur est introuvable dans l’environnement AD DS local.

    Les messages d’erreur fournissent des conseils aux utilisateurs afin qu’ils tentent de résoudre leur problème sans intervention de l’administrateur.

Sécurité de réécriture du mot de passe

La réécriture du mot de passe est un service hautement sécurisé. Pour garantir la protection de vos informations, un modèle de sécurité à quatre niveaux est activé, comme indiqué ci-dessous :

  • Relais de Service Bus propre au client
    • Lorsque vous configurez le service, un relais Service Bus spécifique au client est défini et protégé par un mot de passe fort généré de manière aléatoire, auquel Microsoft n’a jamais accès.
  • Clé de chiffrement de mot de passe forte et verrouillée
    • Une fois le relais Service Bus créé, une paire de clés symétriques fortes est créée, permettant de chiffrer le mot de passe lorsqu’il arrive sur le réseau. Cette clé réside uniquement dans le magasin de secrets de votre entreprise dans le cloud, lequel est fortement verrouillé et audité, comme n’importe quel mot de passe de l’annuaire.
  • Norme TLS (Transport Layer Security)
    1. Lorsqu’une opération de réinitialisation ou de modification de mot de passe a lieu dans le cloud, le mot de passe en clair est chiffré avec votre clé publique.
    2. Le mot de passe chiffré est placé dans un message HTTPS envoyé à votre instance de Service Bus Relay via un canal chiffré, à l’aide de certificats TLS/SSL Microsoft.
    3. Une fois le message arrivé dans Service Bus, votre agent local sort du mode veille et s’authentifie auprès de Service Bus en utilisant le mot de passe fort précédemment généré.
    4. L’agent local récupère le message chiffré et le déchiffre à l’aide de la clé privée.
    5. L’agent local tente ensuite de définir le mot de passe via l’API SetPassword AD DS. Cette étape est celle qui permet d’appliquer votre stratégie de mot de passe d’environnement AD DS local (complexité, âge, historique et filtres) dans le cloud.
  • Stratégies d’expiration de message
    • Si étant donné que votre service local est arrêté, le message reste dans Service Bus, il expire et est supprimé après quelques minutes. Le délai d’expiration et la suppression du message renforcent ainsi la sécurité.

Informations détaillées sur le chiffrement de la réécriture du mot de passe

Lorsqu’un utilisateur soumet une réinitialisation de mot de passe, cette demande transite via plusieurs étapes de chiffrement avant son arrivée dans votre environnement local. Ces étapes de chiffrement garantissent une sécurité et une fiabilité maximales. En voici le détail :

  1. Chiffrement de mot de passe avec clé RSA de 2 048 bits : Lorsqu’un utilisateur envoie un mot de passe en vue de sa réécriture en local, celui-ci est préalablement chiffré avec une clé RSA de 2 048 bits.
  2. Chiffrement de niveau package avec AES-GCM de 256 bits : l'ensemble du paquet, le mot de passe et les métadonnées requises, est crypté à l'aide du protocole AES-GCM (avec une clé de 256 bits). Ce chiffrement empêche quiconque ayant un accès direct au canal Service Bus sous-jacent de visualiser ou de falsifier le contenu.
  3. Toutes les communications passent par une connexion TLS/SSL : Toutes les communications avec Service Bus ont lieu dans un canal SSL/TLS. Ce chiffrement protège le contenu contre les tiers non autorisés.
  4. Substitution de clé automatique tous les six mois : Tous les 6 mois ou chaque fois que la réécriture du mot de passe est désactivée puis réactivée sur Microsoft Entra Connect, nous renouvelons automatiquement toutes les clés afin d’assurer la sécurité et la protection maximales du service.

Utilisation de la bande passante de la réécriture du mot de passe

L’écriture différée des mots de passe est un service à bande passante faible qui renvoie les demandes à l’agent local, uniquement dans les circonstances suivantes :

  • Deux messages sont envoyés lors de l’activation ou de la désactivation de la fonctionnalité via Microsoft Entra Connect.
  • Un message est envoyé une fois toutes les cinq minutes comme une pulsation du service tant que le service est en cours d’exécution.
  • Deux messages sont envoyés à chaque fois qu’un nouveau mot de passe est proposé :
    • Le premier message est une requête visant à effectuer l’opération.
    • Le deuxième message contient le résultat de l’opération et est envoyé dans les circonstances suivantes :
      • Chaque fois qu’un nouveau mot de passe est soumis pendant une réinitialisation de mot de passe libre-service par l’utilisateur.
      • Chaque fois qu’un nouveau mot de passe est soumis pendant une opération de modification de mot de passe par l’utilisateur.
      • Chaque fois qu’un nouveau mot de passe est soumis au cours d’une réinitialisation des mots de passe des utilisateurs réalisée par un administrateur (depuis les portails d’administration Azure uniquement).

Considérations relatives à la taille des messages et à la bande passante

La taille de chaque message décrit précédemment est généralement inférieure à 1 Ko. Même sous des charges extrêmes, le service d’écriture différée des mots de passe lui-même utilise quelques kilobits par seconde de bande passante. Étant donné que chaque message est envoyé en temps réel, uniquement lorsqu’une opération de mise à jour du mot de passe le requiert, et étant donné que la taille du message est très limitée, l’utilisation de la bande passante de la fonctionnalité d’écriture différée est effectivement trop petite pour produire un impact mesurable.

Opérations de réécriture prises en charge

Les mots de passe sont réécrits dans les situations suivantes :

  • Opérations de l’utilisateur final prises en charge

    • Tout changement volontaire de mot de passe en libre-service de l’utilisateur final
    • Tout changement forcé de mot de passe en libre-service de l’utilisateur final (par exemple, expiration du mot de passe)
    • Toute réinitialisation de mot de passe en libre-service de l’utilisateur final émanant du portail de réinitialisation de mot de passe

  • Opérations de l’administrateur prises en charge

    • Tout changement volontaire de mot de passe en libre-service de l’administrateur
    • Tout changement forcé de mot de passe en libre-service de l’administrateur (par exemple, expiration du mot de passe)
    • Toute réinitialisation de mot de passe en libre-service de l’administrateur émanant du portail de réinitialisation de mot de passe
    • Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur depuis le Centre d’administration Microsoft 365.
    • Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur à partir de l’API Microsoft Graph.

Opérations de réécriture non prises en charge

Les mots de passe ne sont pas réécrits dans les situations suivantes :

  • Opérations de l’utilisateur final non prises en charge
    • Toute réinitialisation de mot de passe de l’utilisateur final lancée par ce dernier à l’aide de PowerShell (version 1 ou version 2) ou l’API Microsoft Graph
  • Opérations de l’administrateur non prises en charge
    • Toute réinitialisation du mot de passe de l’utilisateur final réalisée par l’administrateur à l’aide de PowerShell version 1 ou version 2.
    • Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur depuis le Centre d’administration Microsoft 365
    • N’importe quel administrateur ne peut pas utiliser l’outil de réinitialisation de mot de passe en vue de réinitialiser son propre mot de passe pour la réécriture du mot de passe.

Avertissement

L’utilisation de la case à cocher « L’utilisateur doit changer de mot de passe à la prochaine ouverture de session » dans les outils d’administration AD DS locaux, par exemple Utilisateurs et ordinateurs Active Directory ou le Centre d’administration Active Directory, est prise en charge en tant que fonctionnalité en préversion de Microsoft Entra Connect. Pour plus d’informations, consultez Implémenter la synchronisation de hachage du mot de passe avec la synchronisation Microsoft Entra Connect.

Remarque

Si un utilisateur a l’option « Le mot de passe n’expire jamais » définie dans Active Directory (AD), l’indicateur permettant de forcer le changement de mot de passe ne sera pas défini dans Active Directory (AD) : l’utilisateur ne sera donc pas invité à changer le mot de passe lors de la connexion suivante, même si l’option forçant l’utilisateur à changer son mot de passe lors de l’ouverture de session suivante est sélectionnée lors de la réinitialisation du mot de passe de l’utilisateur final lancée par l’administrateur.

Étapes suivantes

Pour bien démarrer avec la réécriture SSPR, suivez le tutoriel suivant :

Tutoriel : Activer la réécriture SSPR (réinitialisation de mot de passe en libre-service)