Configurer l’authentification utilisateur par SMS via Azure Active Directory

Pour simplifier et sécuriser la connexion à des applications et des services, Azure Active Directory (Azure AD) fournit plusieurs options d’authentification. L’authentification par SMS permet aux utilisateurs de se connecter sans fournir ni même connaître leur nom d’utilisateur et leur mot de passe. Une fois qu’un administrateur d’identité a créé son compte, il peut entrer son numéro de téléphone à l’invite de connexion. Ils reçoivent un code d’authentification par SMS, qu’ils peuvent fournir pour terminer la connexion. Cette méthode d’authentification simplifie l’accès aux applications et aux services, en particulier pour les travailleurs qui sont en première ligne.

Cet article vous montre comment activer l’authentification par SMS pour certains utilisateurs ou groupes dans Azure AD.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

Limites

Les limitations suivantes s’appliquent à l’authentification par SMS :

  • L'authentification par SMS n'est pas compatible avec Azure AD Multi-Factor Authentication.
  • À l’exception de Teams, l’authentification par SMS n’est pas compatible avec les applications Office natives.
  • L’authentification par SMS n’est pas recommandée pour les comptes B2B.
  • Les utilisateurs fédérés ne s’authentifient pas dans le locataire de base. Ils s’authentifient uniquement dans le cloud.

Activer la méthode d’authentification par SMS

Il existe trois étapes principales pour activer et utiliser l’authentification par SMS dans votre organisation :

  • Activez la stratégie de méthode d’authentification.
  • Sélectionnez les utilisateurs ou les groupes qui peuvent utiliser la méthode d’authentification basée sur SMS.
  • Affectez un numéro de téléphone à chaque compte d’utilisateur.
    • Ce numéro de téléphone peut être affecté dans le portail Azure (illustré dans cet article) ainsi que dans Mon personnel ou Mon compte.

Tout d’abord, activons l’authentification par SMS pour votre locataire Azure AD.

  1. Connectez-vous au portail Azure en tant qu’administrateur général.

  2. Recherchez et sélectionnez Azure Active Directory.

  3. Dans le menu de navigation sur le côté gauche de la fenêtre Azure Active Directory, sélectionnez Sécurité > Méthodes d’authentification > Stratégie de méthode d’authentification.

    Recherchez et sélectionnez la fenêtre Stratégie de méthode d’authentification dans le portail Azure.

  4. Dans la liste des méthodes d’authentification disponibles, sélectionnez SMS.

  5. Affectez à Activer la valeur Oui.

    Activer l’authentification par SMS dans la fenêtre de stratégie de méthode d’authentification

    Vous avez le choix entre activer l’authentification par SMS pour Tous les utilisateurs ou Sélectionner des utilisateurs et des groupes. Dans la section suivante, vous activez l’authentification par SMS pour un utilisateur de test.

Affecter la méthode d’authentification aux utilisateurs et aux groupes

Une fois l’authentification par SMS activée dans votre locataire Azure AD, sélectionnez les utilisateurs ou les groupes autorisés à utiliser cette méthode d’authentification.

  1. Dans la fenêtre de stratégie d’authentification par SMS, affectez à Cible la valeur Sélectionner les utilisateurs.

  2. Choisissez d’ajouter des utilisateurs ou des groupes, puis sélectionnez un utilisateur ou un groupe de test, par exemple Contoso User (Utilisateur Contoso) ou Contoso SMS Users (Utilisateurs Contoso - SMS).

    Choose users or groups to enable for SMS-based authentication in the Azure portal.

  3. Une fois que vous avez sélectionné vos utilisateurs ou vos groupes, vous devez choisir Sélectionner, puis Enregistrer la stratégie de méthode d’authentification mise à jour.

Chaque utilisateur activé dans la stratégie de méthode d’authentification par SMS doit disposer d’une licence, même s’il ne l’utilise pas. Vérifiez que vous disposez des licences appropriées pour les utilisateurs que vous activez dans la stratégie de méthode d’authentification, en particulier quand vous activez la fonctionnalité dans le cadre de grands groupes d’utilisateurs.

Définir un numéro de téléphone pour les comptes d’utilisateur

Désormais, l’authentification par SMS est activée pour les utilisateurs. Toutefois, vous devez associer leur numéro de téléphone au profil utilisateur dans Azure AD pour leur permettre de se connecter. Vous pouvez soit laisser l’utilisateur définir lui-même ce numéro de téléphone dans Mon compte, soit affecter le numéro de téléphone via le portail Azure. Les numéros de téléphone peuvent être définis par les administrateurs généraux, les administrateurs d’authentification ou les administrateurs d’authentification privilégiés.

Lorsqu'un numéro de téléphone est défini pour l'authentification par SMS, il peut également être utilisé avec Azure AD Multi-Factor Authentication et la réinitialisation de mot de passe en libre-service.

  1. Recherchez et sélectionnez Azure Active Directory.

  2. Dans le menu de navigation sur le côté gauche de la fenêtre Azure Active Directory, sélectionnez Utilisateurs.

  3. Sélectionnez l’utilisateur pour lequel vous avez activé l’authentification par SMS dans la section précédente, par exemple Contoso User, puis sélectionnez Méthodes d’authentification.

  4. Sélectionnez + Ajouter une méthode d’authentification, puis, dans le menu déroulant Choisir une méthode, sélectionnez Numéro de téléphone.

    Entrez le numéro de téléphone de l’utilisateur, notamment l’indicatif téléphonique international, par exemple +1 xxxxxxxxx. Le portail Azure vérifie que le numéro de téléphone est au format approprié.

    Ensuite, dans le menu déroulant Type de téléphone, sélectionnez Mobile, Autre mobile ou Autre selon les besoins.

    Définir le numéro de téléphone d’un utilisateur dans le portail Azure pour l’utiliser avec l’authentification par SMS

    Le numéro de téléphone doit être unique dans votre locataire. Si vous essayez d’utiliser le même numéro de téléphone pour plusieurs utilisateurs, un message d’erreur s’affiche.

  5. Pour appliquer le numéro de téléphone au compte d’un utilisateur, sélectionnez Ajouter.

Une fois le provisionnement réussi, une coche apparaît pour Connexion par SMS activée.

Tester la connexion par SMS

Si vous souhaitez tester le compte d’utilisateur pour lequel la connexion par SMS est désormais activée, effectuez les étapes suivantes :

  1. Ouvrez une nouvelle fenêtre de navigateur web InPrivate ou en mode privé pour https://www.office.com

  2. Dans le coin supérieur droit, sélectionnez Connexion.

  3. À l’invite de connexion, entrez le numéro de téléphone associé à l’utilisateur dans la section précédente, puis sélectionnez Suivant.

    Entrez un numéro de téléphone à l’invite de connexion pour l’utilisateur de test

  4. Un SMS est envoyé au numéro de téléphone fourni. Pour effectuer le processus de connexion, entrez le code à 6 chiffres fourni dans le SMS à l’invite de connexion.

    Entrez le code de confirmation envoyé par SMS au numéro de téléphone de l’utilisateur

  5. L’utilisateur est désormais connecté sans avoir à fournir un nom d’utilisateur ou un mot de passe.

Résoudre les problèmes de connexion par SMS

Vous pouvez utiliser les scénarios et étapes de résolution des problèmes suivants si vous rencontrez des difficultés pour activer et utiliser la connexion par SMS.

Numéro de téléphone déjà défini pour un compte d’utilisateur

Si un utilisateur s'est déjà inscrit à Azure AD Multi-Factor Authentication et/ou à la réinitialisation de mot de passe en libre-service (SSPR), un numéro de téléphone est déjà associé à son compte. Ce numéro de téléphone n’est pas automatiquement disponible pour une connexion par SMS.

Un utilisateur dont le numéro de téléphone est déjà défini pour son compte voit s’afficher un bouton permettant d’activer la connexion par SMS dans la page Mon profil. Sélectionnez ce bouton afin d'activer la connexion par SMS ainsi que l'inscription à Azure AD Multi-Factor Authentication ou SSPR pour le compte.

Pour plus d’informations du point de vue de l’utilisateur final, consultez l’article sur l’expérience utilisateur de connexion par SMS à l’aide d’un numéro de téléphone.

Erreur durant la tentative de définition d’un numéro de téléphone pour le compte d’un utilisateur

Si vous recevez une erreur quand vous essayez de définir un numéro de téléphone pour un compte d’utilisateur dans le portail Azure, passez en revue les étapes de résolution des problèmes suivantes :

  1. Vérifiez que la fonctionnalité de connexion par SMS est activée pour votre compte.
  2. Vérifiez que la stratégie de méthode d’authentification SMS est activée pour le compte d’utilisateur.
  3. Veillez à définir le numéro de téléphone au format approprié, tel que validé dans le portail Azure (par exemple +1 4251234567).
  4. Vérifiez que le numéro de téléphone n’est pas utilisé ailleurs dans votre locataire.
  5. Vérifiez qu’aucun numéro vocal n’est défini pour le compte. Si un numéro vocal est défini, supprimez-le, puis réessayez d’utiliser le numéro de téléphone.

Étapes suivantes

Pour connaître d’autres façons de se connecter à Azure AD sans mot de passe, par exemple à l’aide de l’application Microsoft Authenticator ou des clés de sécurité FIDO2, consultez Options d’authentification sans mot de passe pour Azure AD.

Vous pouvez également utiliser l’API REST Microsoft Graph pour activer ou désactiver la connexion par SMS.