Planification d’un déploiement Azure Multi-Factor Authentication basé sur le cloudPlanning a cloud-based Azure Multi-Factor Authentication deployment

Les personnes se connectent aux ressources d’organisation dans des scénarios plus en plus complexes.People are connecting to organizational resources in increasingly complicated scenarios. Les personnes se connectent à partir d’appareils personnels, publics et appartenant à l’organisation, sur le réseau d’entreprise ou non, à l’aide de smartphones, tablettes, PC et ordinateurs portables, souvent sur plusieurs plateformes.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. Dans ce monde toujours connecté, aux multiples appareils et plateformes, la sécurité des comptes d’utilisateur est plus importante que jamais.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. Les mots de passe, quelle que soit leur complexité, utilisés sur les appareils, les réseaux et les plateformes ne suffisent plus à garantir la sécurité des comptes d’utilisateur, en particulier lorsque les utilisateurs ont tendance à réutiliser les mots de passe sur plusieurs comptes.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. Des attaques sophistiquées d’hameçonnage et d’ingénierie sociale peuvent conduire à la publication et à la vente des noms d’utilisateur et des mots de passe sur le web invisible.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure Multi-Factor Authentication (MFA) permet de protéger l’accès aux données et aux applications.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Il fournit une couche supplémentaire de sécurité à l’aide d’une deuxième forme d’authentification.It provides an additional layer of security using a second form of authentication. Les organisations peuvent utiliser l’accès conditionnel pour que la solution réponde à leurs besoins spécifiques.Organizations can use Conditional Access to make the solution fit their specific needs.

PrérequisPrerequisites

Avant de lancer un déploiement d’Azure Multi-Factor Authentication, il existe des prérequis à prendre en compte.Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

ScénarioScenario Configuration requisePrerequisite
Environnement d’identité cloud uniquement avec authentification moderneCloud-only identity environment with modern authentication Aucune tâche de configuration requise supplémentaireNo additional prerequisite tasks
Scénarios d’identité hybrideHybrid identity scenarios Azure AD Connect est déployé, et les identités des utilisateurs sont synchronisées ou fédérées avec Azure Active Directory Connect en local avec Azure Active Directory.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Applications héritées locales publiées pour l’accès au cloudOn-premises legacy applications published for cloud access Le proxy d’application Azure AD est déployé.Azure AD Application Proxy is deployed.
Utilisation d’Azure MFA avec l’authentification RADIUSUsing Azure MFA with RADIUS Authentication Un serveur NPS (Network Policy Server) est déployé.A Network Policy Server (NPS) is deployed.
Les utilisateurs disposent de Microsoft Office 2010 ou une version antérieure, ou d’Apple Mail pour iOS 11 ou une version antérieure.Users have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Effectuez une mise à niveau vers Microsoft Office 2013 ou une version ultérieure, et Apple Mail pour iOS 12 ou une version ultérieure.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. L’accès conditionnel n’est pas pris en charge par les protocoles d’authentification hérités.Conditional Access is not supported by legacy authentication protocols.

Planifier le déploiement des utilisateursPlan user rollout

Votre plan de déploiement MFA doit inclure un déploiement pilote suivi par des vagues de déploiement compatibles avec votre capacité de prise en charge.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Commencez le déploiement en appliquant vos stratégies d’accès conditionnel à un petit groupe d’utilisateurs pilotes.Begin your rollout by applying your Conditional Access policies to a small group of pilot users. Après avoir évalué l’impact sur les utilisateurs pilotes, le processus utilisé et les comportements d’inscription, vous pouvez ajouter d’autres groupes à la stratégie ou ajouter d’autres utilisateurs aux groupes existants.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

Communication avec les utilisateursUser communications

Il est essentiel d’informer les utilisateurs des modifications à venir, des conditions d’inscription à Azure MFA et de toutes les actions utilisateur nécessaires, à travers des communications planifiées.It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. Nous vous recommandons de développer ces communications conjointement avec des représentants d’au sein de votre organisation, comme les services Communications, Gestion des changements ou Ressources humaines.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft fournit des modèles de communication et une documentation destinée aux utilisateurs finaux pour vous aider à rédiger vos communications.Microsoft provides communication templates and end-user documentation to help draft your communications. Vous pouvez diriger les utilisateurs vers https://myprofile.microsoft.com pour qu’ils s’inscrivent directement en sélectionnant les liens Informations de sécurité sur cette page.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

Points à prendre en considération pour le déploiementDeployment considerations

Azure Multi-Factor Authentication est déployé en appliquant des stratégies avec l’accès conditionnel.Azure Multi-factor Authentication is deployed by enforcing policies with Conditional Access. Une stratégie d’accès conditionnel peuvent exiger que les utilisateurs procèdent à une authentification multifacteur lorsque certains critères sont remplis :A Conditional Access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Tous les utilisateurs, un utilisateur, un membre de groupe ou un rôle affectéAll users, a specific user, member of a group, or assigned role
  • Accès à une application cloud spécifiqueSpecific cloud application being accessed
  • Plateforme d’appareil.Device platform
  • État de l’appareilState of device
  • Emplacement réseau ou adresse IP géolocaliséeNetwork location or geo-located IP address
  • Applications clientesClient applications
  • Risque de connexion (requiert Identity Protection)Sign-in risk (Requires Identity Protection)
  • Conformité de l’appareilCompliant device
  • Appareil joint Azure AD hybrideHybrid Azure AD joined device
  • Application cliente approuvéeApproved client application

Utilisez les posters personnalisables et les modèles d’e-mails disponibles dans les documents déploiement de l’authentification multifacteur pour déployer l’authentification multifacteur dans votre organisation.Use the customizable posters and email templates in multi-factor authentication rollout materials to roll out multi-factor authentication to your organization.

Activer l’authentification multifacteur avec l’accès conditionnelEnable Multi-Factor Authentication with Conditional Access

Les stratégies d’accès conditionnel forcent l’inscription, obligeant les utilisateurs non inscrits à effectuer l’inscription à la première connexion, un facteur de sécurité important.Conditional Access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure AD Identity Protection contribue à la fois à une stratégie d’inscription et à des stratégies de détection et correction automatisée des risques pour l’historique d’Azure Multi-Factor Authentication.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. Vous pouvez créer des stratégies pour imposer des modifications de mot de passe lorsqu’une identité risque d’être compromise ou exiger l’authentification multifacteur lors d’une connexion est considérée à risque par les événements suivants :Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Informations d’identification divulguéesLeaked credentials
  • Connexions depuis des adresses IP anonymesSign-ins from anonymous IP addresses
  • Voyage impossible vers des emplacements inhabituelsImpossible travel to atypical locations
  • Connexions depuis des emplacements non connusSign-ins from unfamiliar locations
  • Connexions depuis des appareils infectésSign-ins from infected devices
  • Connexions depuis des adresses IP avec des activités suspectesSign-ins from IP addresses with suspicious activities

Certains des événements à risque détectés par Azure Active Directory Identity Protection se produisent en temps réel, et d’autres nécessitent un traitement en mode hors connexion.Some of the risk events detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Les administrateurs peuvent choisir de bloquer les utilisateurs qui présentent des comportements à risque et y remédier manuellement, exiger une modification de mot de passe ou demander une authentification multifacteur dans le cadre de leurs stratégies d’accès conditionnel.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their Conditional Access policies.

Définir les emplacements réseauDefine network locations

Nous recommandons aux organisations d’utiliser l’accès conditionnel pour définir leur réseau à l’aide d’emplacements nommés.We recommended that organizations use Conditional Access to define their network using named locations. Si votre organisation utilise Identity Protection, envisagez d’appliquer des stratégies en fonction des risques au lieu des emplacements nommés.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Configuration d’un emplacement nomméConfiguring a named location

  1. Ouvrez Azure Active Directory dans le portail Azure.Open Azure Active Directory in the Azure portal
  2. Cliquez sur Accès conditionnel.Click Conditional Access
  3. Cliquez sur Emplacements nommés.Click Named Locations
  4. Cliquez sur Nouvel emplacement.Click New Location
  5. Dans le champ Nom, indiquez un nom explicite.In the Name field, provide a meaningful name
  6. Indiquez si vous définissez l’emplacement à l’aide de plages d’adresses IP ou de pays/régions.Select whether you are defining the location using IP ranges or Countries/Regions
    1. Si vous utilisez des plages d’adresses IPIf using IP Ranges
      1. Décidez s’il faut marquer l’emplacement comme approuvé.Decide whether to mark the location as Trusted. La connexion à partir d’un emplacement approuvé réduit le risque de connexion d’un utilisateur.Signing in from a trusted location lowers a user's sign-in risk. Marquez uniquement cet emplacement comme approuvé si vous savez que les plages d’adresses IP saisies sont établies et crédibles dans votre organisation.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Spécifiez les plages d’adresses IP.Specify the IP Ranges
    2. Si vous utilisez des pays/régionsIf using Countries/Regions
      1. Développez le menu déroulant et sélectionnez les pays ou régions que vous souhaitez définir pour cet emplacement nommé.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Décidez s’il faut inclure les zones inconnues.Decide whether to Include unknown areas. Les zones inconnues sont les adresses IP qui ne peuvent être mappées à aucun pays ou aucune région.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Cliquez sur CréerClick Create

Planifier les méthodes d’authentificationPlan authentication methods

Les administrateurs peuvent choisir les méthodes d’authentification qu’ils souhaitent mettre à disposition des utilisateurs.Administrators can choose the authentication methods that they want to make available for users. Il est important autoriser plusieurs méthodes d’authentification afin que les utilisateurs aient une méthode de secours au cas où la principale méthode n’est pas disponible.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Les administrateurs peuvent activer les méthodes suivantes :The following methods are available for administrators to enable:

Notification via une application mobileNotification through mobile app

Une notification Push est envoyée à l’application Microsoft Authenticator sur votre appareil mobile.A push notification is sent to the Microsoft Authenticator app on your mobile device. L’utilisateur consulte la notification et sélectionne Approuver pour valider la vérification.The user views the notification and selects Approve to complete verification. Les notifications Push sur l’application mobile constituent l’option la moins intrusive pour les utilisateurs.Push notifications through a mobile app provide the least intrusive option for users. Elles sont également l’option la plus fiable et sécurisée, car elles utilisent une connexion de données plutôt que le réseau de téléphonie.They are also the most reliable and secure option because they use a data connection rather than telephony.

Notes

Si le personnel de votre organisation travaille ou voyage en Chine, la méthode de notification via application mobile sur les appareils Android ne fonctionne pas dans ce pays.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. D’autres méthodes doivent être proposées aux utilisateurs.Alternate methods should be made available for those users.

Code de vérification de l’application mobileVerification code from mobile app

Une application mobile telle que Microsoft Authenticator génère un nouveau code de vérification OATH toutes les 30 secondes.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. L’utilisateur entre ce code de vérification dans l’interface de connexion.The user enters the verification code into the sign-in interface. L’option d’application mobile peut être utilisée que le téléphone dispose ou non d’un signal cellulaire ou données.The mobile app option can be used whether or not the phone has a data or cellular signal.

Appel vers le téléphoneCall to phone

Un appel vocal automatisé est passé à l’utilisateur.An automated voice call is placed to the user. L’utilisateur répond à l’appel et appuie sur # sur le clavier du téléphone pour valider son authentification.The user answers the call and presses # on the phone keypad to approve their authentication. L’appel téléphonique est une méthode de sauvegarde très efficace comme alternative aux notifications et au code de vérification à partir d’une application mobile.Call to phone is a great backup method for notification or verification code from a mobile app.

Message texte vers le téléphoneText message to phone

L’utilisateur reçoit un SMS avec le code de vérification et il est invité à entrer ce code dans l’interface de connexion.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Choisir les options de vérificationChoose verification options

  1. Accédez à Azure Active Directory, Utilisateurs, Multi-Factor Authentication.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Accès au portail Multi-Factor Authentication à partir du panneau Utilisateurs Azure AD dans le portail Azure

  2. Sous le nouvel onglet qui vient de s’ouvrir dans votre navigateur, accédez aux paramètres de service.In the new tab that opens browse to service settings.

  3. Sous options de vérification, cochez toutes les cases pour les méthodes disponibles pour les utilisateurs.Under verification options, check all of the boxes for methods available to users.

    Configurer des méthodes de vérification dans l’onglet de paramètres de service Authentification multifacteur

  4. Cliquez sur Save(Enregistrer).Click on Save.

  5. Fermez l’onglet paramètres de service.Close the service settings tab.

Planifier la stratégie d'inscriptionPlan registration policy

Les administrateurs doivent déterminer comment les utilisateurs inscrivent leurs méthodes.Administrators must determine how users will register their methods. Les organisations doivent activer la nouvelle expérience d’inscription combinée pour Azure MFA et la réinitialisation de mot de passe en libre-service (SSPR).Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). La fonctionnalité SSPR permet aux utilisateurs de réinitialiser leur mot de passe de manière sécurisée avec les mêmes méthodes que l’authentification multifacteur.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. Nous vous recommandons cette inscription combinée, actuellement en préversion publique, car il s’agit d’une excellente expérience pour les utilisateurs, qui permet une inscription unique pour les deux services.We recommend this combined registration, currently in public preview, because it’s a great experience for users, with the ability to register once for both services. L’activation des mêmes méthodes pour SSPR et Azure MFA permet aux utilisateurs de s’inscrire pour utiliser ces deux fonctionnalités.Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Inscription avec Identity ProtectionRegistration with Identity Protection

Si votre organisation utilise Azure Active Directory Identity Protection, configurez la stratégie d’inscription MFA pour inviter les utilisateurs à s’inscrire la prochaine fois qu’ils se connectent de manière interactive.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Inscription sans Identity ProtectionRegistration without Identity Protection

Si votre organisation n’a pas de licences qui activent Identity Protection, les utilisateurs sont invités à s’inscrire la prochaine fois que l’authentification multifacteur est requise lors de la connexion.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Les utilisateurs ne peuvent pas s’inscrire à MFA s’ils n’utilisent des applications protégées avec MFA.Users may not be registered for MFA if they don't use applications protected with MFA. Il est important que tous les utilisateurs s’inscrivent, de sorte que les malfaiteurs ne puissent pas deviner leur mot de passe et s’inscrire à MFA en leur nom, prenant alors le contrôle du compte.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Inscription forcéeEnforcing registration

En procédant comme suit, un accès conditionnel stratégie peut forcer les utilisateurs à s’inscrire à MFA.Using the following steps a Conditional Access policy can force users to register for Multi-Factor Authentication

  1. Créez un groupe et ajoutez tous les utilisateurs qui ne sont pas encore inscrits.Create a group, add all users not currently registered.
  2. À l’aide de l’accès conditionnel, forcez l’authentification multifacteur pour ce groupe lors de l’accès à toutes les ressources.Using Conditional Access, enforce multi-factor authentication for this group for access to all resources.
  3. Périodiquement, réévaluez l’appartenance au groupe et retirez les utilisateurs qui se sont inscrits.Periodically, reevaluate the group membership, and remove users who have registered from the group.

Vous pouvez identifier les utilisateurs Azure MFA inscrits et non inscrits avec des commandes PowerShell qui reposent sur le module MSOnline PowerShell.You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identifier les utilisateurs inscritsIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identifier les utilisateurs non inscritsIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Remplacer l’authentification multifacteur en fonction de l’utilisateur par l’authentification multifacteur en fonction de l’accès conditionnelConvert users from per-user MFA to Conditional Access based MFA

Si vos utilisateurs ont été activées l’authentification multifacteur appliquée par Azure ou reposant sur l’utilisateur, la commande PowerShell suivante peut vous aider à passer à une authentification multifacteur Azure en fonction de l’accès conditionnel.If your users were enabled using per-user enabled and enforced Azure Multi-Factor Authentication the following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

# Disable MFA for all users, keeping their MFA methods intact
Get-MsolUser -All | Disable-MFA -KeepMethods

# Enforce MFA for all users
Get-MsolUser -All | Set-MfaState -State Enforced

# Wrapper to disable MFA with the option to keep the MFA
# methods (to avoid having to proof-up again later)
function Disable-MFA {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipeline=$True)]
        $User,
        [switch] $KeepMethods
    )

    Process {

        Write-Verbose ("Disabling MFA for user '{0}'" -f $User.UserPrincipalName)
        $User | Set-MfaState -State Disabled

        if ($KeepMethods) {
            # Restore the MFA methods which got cleared when disabling MFA
            Set-MsolUser -ObjectId $User.ObjectId `
                         -StrongAuthenticationMethods $User.StrongAuthenticationMethods
        }
    }
}

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

Planifier les stratégies d’accès conditionnelPlan Conditional Access policies

Pour planifier votre stratégie d’accès conditionnel, qui déterminera quand l’authentification multifacteur et d’autres contrôles sont requis, reportez-vous à la définition de l’accès conditionnel dans Azure Active Directory.To plan your Conditional Access policy strategy, which will determine when MFA and other controls are required, refer to What is Conditional Access in Azure Active Directory?.

Il est important que vous évitiez de perdre l’accès à votre locataire Azure AD.It is important that you prevent being inadvertently locked out of your Azure AD tenant. Vous pouvez pallier l’impact d’un défaut d’accès administratif en créant plusieurs comptes d’accès d’urgence dans votre locataire et en les excluant de la stratégie d’accès conditionnel.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your Conditional Access policy.

Créer une stratégie d’accès conditionnelCreate Conditional Access policy

  1. Connectez-vous au portail Azure à l’aide d’un compte d’administrateur général.Sign in to the Azure portal using a global administrator account.
  2. Accédez à Azure Active Directory, Accès conditionnel.Browse to Azure Active Directory, Conditional Access.
  3. Sélectionnez Nouvelle stratégie.Select New policy.
  4. Entrez un nom explicite pour votre stratégie.Provide a meaningful name for your policy.
  5. Sous utilisateurs et groupes :Under users and groups:
    • Dans l’onglet Inclure, sélectionnez la case d’option Tous les utilisateursOn the Include tab, select the All users radio button
    • Dans l’onglet Exclure, cochez la case Utilisateurs et groupes et choisissez vos comptes d’accès d’urgence.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Cliquez sur Done.Click Done.
  6. Sous Applications Cloud, sélectionnez la case d’option Toutes les applications cloud.Under Cloud apps, select the All cloud apps radio button.
    • FACULTATIF : sous l’onglet Exclure, choisissez les applications cloud pour lesquelles votre organisation ne nécessite pas d’authentification multifacteur.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Cliquez sur Done.Click Done.
  7. Sous la section Conditions :Under Conditions section:
    • FACULTATIF : si vous avez activé Azure Identity Protection, vous pouvez choisir d’évaluer le risque de connexion dans le cadre de la stratégie.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • FACULTATIF : si vous avez configuré des emplacements approuvés ou des emplacements nommés, vous pouvez spécifier l’inclusion ou l’exclusion de ces emplacements à partir de la stratégie.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. Sous Accord, assurez-vous que la case d’option Accorder l’accès est sélectionnée.Under Grant, make sure the Grant access radio button is selected.
    • Cochez la case Exiger une authentification multifacteur.Check the box for Require multi-factor authentication.
    • Cliquez sur Sélectionner.Click Select.
  9. Ignorez la section Session.Skip the Session section.
  10. Basculez Activer la stratégie sur Activé.Set the Enable policy toggle to On.
  11. Cliquez sur Créer.Click Create.

Créer une stratégie d’accès conditionnel pour activer l’authentification multifacteur pour les utilisateurs du portail Azure dans le groupe pilote

Planifier l’intégration avec les systèmes locauxPlan integration with on-premises systems

Certaines applications héritées et locales qui ne s’authentifient pas directement auprès d’Azure AD nécessitent des étapes supplémentaires pour utiliser l’authentification multifacteur, notamment :Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Applications locales héritées, qui devront utiliser le proxy d’application.Legacy on-premises applications, which will need to use Application proxy.
  • Applications RADIUS locales, qui devront utiliser l’adaptateur MFA avec un serveur NPS.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Applications AD FS locales, qui devront utiliser l’adaptateur MFA avec AD FS 2016.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016.

Les applications qui s’authentifient directement auprès d’Azure AD et disposent d’une authentification moderne (WS-Fed, SAML, OAuth, OpenID Connect) peuvent tirer parti des stratégies d’accès conditionnel sans intermédiaire.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of Conditional Access policies directly.

Utiliser Azure MFA avec le proxy d’application Azure ADUse Azure MFA with Azure AD Application Proxy

Les applications locales peuvent être publiées sur votre local Azure AD via le proxy d’application Azure AD et tirer parti d’Azure Multi-Factor Authentication si elles sont configurées pour utiliser la pré-authentification Azure AD.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

Ces applications sont soumises aux stratégies d’accès conditionnel qui imposent l’authentification multifacteur Azure, tout comme n’importe quel autre application intégrée à Azure AD.These applications are subject to Conditional Access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

De même, si l’authentification multifacteur Azure est appliquée pour toutes les connexions des utilisateurs, les applications locales publiées avec le proxy d’application Azure AD seront protégées.Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Intégration d’Azure Multi-Factor Authentication avec le serveur NPS (Network Policy Server)Integrating Azure Multi-Factor Authentication with Network Policy Server

L’extension de serveur NPS (Network Policy Server) pour Azure MFA permet d’ajouter des fonctionnalités de MFA basées sur le cloud à votre infrastructure d’authentification à l’aide de vos serveurs existants.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Avec cette extension NPS, vous pouvez ajouter des vérifications par appel téléphonique, SMS ou application téléphonique à votre flux d’authentification.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Cette intégration présente les limites suivantes :This integration has the following limitations:

  • Avec le protocole CHAPv2, seuls les appels vocaux et les notifications Push de l’application d’authentification sont pris en charge.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • Les stratégies d’accès conditionnel ne peuvent pas être appliquées.Conditional Access policies cannot be applied.

L’extension NPS joue le rôle d’adaptateur entre RADIUS et Azure MFA basé sur le cloud pour fournir un second facteur d’authentification et protéger le VPN, les connexions de passerelle des services Bureau à distance ou les autres applications compatibles avec RADIUS.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Les utilisateurs qui s’inscrivent à Azure MFA dans cet environnement devront justifier toutes les tentatives d’authentification. L’absence de stratégies d’accès conditionnel signifient que l’authentification multifacteur est toujours requise.Users that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of Conditional Access policies mean MFA is always required.

Implémentation de votre serveur NPS (Network Policy Server)Implementing your NPS server

Si vous avez une instance de serveur NPS déployée et en cours d’utilisation, consultez Intégrer votre infrastructure NPS existante dans Azure Multi-Factor Authentication.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. Si vous configurez le serveur NPS pour la première fois, reportez-vous à Serveur NPS (Network Policy Server) pour obtenir des instructions.If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. Vous trouverez des conseils dans l’article Résoudre les messages d’erreur liés à l’extension NPS pour Azure Multi-Factor Authentication.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Anticiper la présence d’utilisateurs qui ne sont pas inscrits pour l’authentification MFA sur le serveur NPS (Network Policy Server)Prepare NPS for users that aren't enrolled for MFA

Choisissez ce qui se passe lorsque les utilisateurs qui ne sont pas inscrits à MFA tentent de s’authentifier.Choose what happens when users that aren’t enrolled with MFA try to authenticate. Utilisez le paramètre de registre REQUIRE_USER_MATCH dans le chemin d’accès au registre HKLM\Software\Microsoft\AzureMFA pour contrôler le comportement de la fonctionnalité.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Ce paramètre ne dispose que d’une seule option de configuration.This setting has a single configuration option.

CléKey ValeurValue DefaultDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE Non défini (équivaut à TRUE)Not set (equivalent to TRUE)

L’objectif de ce paramètre est de déterminer l’action à exécuter lorsqu’un utilisateur n’est pas inscrit pour l’authentification MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Les effets de la modification de ce paramètre sont répertoriés dans le tableau ci-dessous.The effects of changing this setting are listed in the table below.

ParamètresSettings État de l’utilisateur dans MFAUser MFA Status EffetsEffects
Clé inexistanteKey does not exist Non inscritNot enrolled Authentification MFA réussieMFA challenge is unsuccessful
Valeur définie sur True ou non définieValue set to True / not set Non inscritNot enrolled Authentification MFA réussieMFA challenge is unsuccessful
Clé définie sur FalseKey set to False Non inscritNot enrolled Authentification sans MFAAuthentication without MFA
Clé définie sur False ou TrueKey set to False or True InscritEnrolled Authentification avec MFA obligatoireMust authenticate with MFA

Intégration aux services de fédération Active Directory (AD FS)Integrate with Active Directory Federation Services

Si votre organisation est fédérée avec Azure AD, vous pouvez utiliser Azure Multi-Factor Authentication pour sécuriser les ressources AD FS, à la fois en local et dans le cloud.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Azure MFA vous permet de réduire le nombre de mots de passe et constitue un moyen plus sûr de s’authentifier.Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. Depuis Windows Server 2016, vous pouvez configurer Azure MFA pour l’authentification principale.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

Contrairement à AD FS dans Windows Server 2012 R2, l’adaptateur AD FS 2016 Azure MFA s’intègre directement à Azure AD et ne requiert pas de serveur Azure MFA local.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. L’adaptateur Azure MFA est intégré à Windows Server 2016, et aucune installation supplémentaire n’est requise.The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

Lors de l’utilisation d’Azure MFA avec AD FS 2016 et quand l’application cible est soumise à la stratégie d’accès conditionnel, il existe des considérations supplémentaires :When using Azure MFA with AD FS 2016 and the target application is subject to Conditional Access policy, there are additional considerations:

  • L’accès conditionnel est disponible lorsque l’application est une partie de confiance pour Azure AD, fédérée avec AD FS 2016.Conditional Access is available when the application is a relying party to Azure AD, federated with AD FS 2016.
  • L’accès conditionnel n’est pas disponible lorsque l’application est une partie de confiance pour AD FS 2016, et gérée ou fédérée avec AD FS 2016.Conditional Access is not available when the application is a relying party to AD FS 2016 and is managed or federated with AD FS 2016.
  • L’accès conditionnel n’est pas non plus disponible lorsque AD FS 2016 est configuré pour utiliser Azure MFA comme méthode d’authentification principale.Conditional Access is also not available when AD FS 2016 is configured to use Azure MFA as the primary authentication method.

Journalisation AD FSAD FS logging

La journalisation AD FS 2016 standard à la fois dans le journal de sécurité Windows et dans le journal de l’administrateur AD FS permet de collecter des informations sur les requêtes d’authentification et leur réussite ou échec.Standard AD FS 2016 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. Les données de journal des événements au sein de ces événements indiquent si Azure MFA a été utilisé.Event log data within these events will indicate whether Azure MFA was used. Par exemple, un ID d’événement d’audit AD FS 1200 peut contenir :For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Renouveler et gérer des certificatsRenew and manage certificates

Sur chaque serveur AD FS, sous Mon Store sur l’ordinateur local, il y aura un certificat Azure MFA auto-signé intitulé Microsoft AD FS Azure MFA, qui contient la date d’expiration du certificat.On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Vérifiez la période de validité de ce certificat sur chaque serveur AD FS pour déterminer la date d’expiration.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Si la période de validité de vos certificats arrive à expiration, générez et confirmez un nouveau certificat MFA sur chaque serveur AD FS.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

Les conseils suivants vous expliquent comment gérer les certificats Azure MFA sur vos serveurs AD FS.The following guidance details how to manage the Azure MFA certificates on your AD FS servers. Lorsque vous configurez AD FS avec Azure MFA, les certificats générés par la cmdlet PowerShell New-AdfsAzureMfaTenantCertificate sont valides pendant 2 ans.When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. Renouvelez les certificats et installez-les avant l’expiration pour éviter les interruptions de service d’authentification multifacteur.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implémenter votre planificationImplement your plan

Maintenant que vous avez planifié votre solution, vous pouvez l’implémenter en suivant les étapes ci-dessous :Now that you have planned your solution, you can implement by following the steps below:

  1. Respectez les prérequis.Meet any necessary prerequisites
    1. Déployez Azure AD Connect pour les scénarios hybrides.Deploy Azure AD Connect for any hybrid scenarios
    2. Déployez le proxy d’application Azure AD pour les applications locales publiées pour l’accès au cloud.Deploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Déployez NPS pour l’authentification RADIUS.Deploy NPS for any RADIUS authentication
    4. Vérifiez que les utilisateurs ont effectué la mise à niveau vers des versions prises en charge de Microsoft Office avec l’authentification moderne activée.Ensure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Configurez les méthodes d’authentification choisies.Configure chosen authentication methods
  3. Définissez vos emplacements réseau nommés.Define your named network locations
  4. Sélectionnez des groupes pour commencer le déploiement de MFA.Select groups to begin rolling out MFA.
  5. Configurez vos stratégies d’accès conditionnel.Configure your Conditional Access policies
  6. Configurez votre stratégie d’inscription MFA.Configure your MFA registration policy
    1. MFA et SSPR combinésCombined MFA and SSPR
    2. Avec Identity ProtectionWith Identity Protection
  7. Envoyez des communications aux utilisateurs et faites en sorte qu’ils s’inscrivent sur https://aka.ms/mfasetup.Send user communications and get users to enroll at https://aka.ms/mfasetup
  8. Suivez les inscriptions.Keep track of who’s enrolled

Gérer votre solutionManage your solution

Rapports pour Azure MFAReports for Azure MFA

Azure MFA fournit des rapports via le portail Azure :Azure Multi-Factor Authentication provides reports through the Azure portal:

RapportReport LocationLocation DescriptionDescription
Alertes relatives à l’utilisation et aux fraudesUsage and fraud alerts Azure AD > ConnexionsAzure AD > Sign-ins Fournit des informations sur l’utilisation globale, un récapitulatif par utilisateur, des informations détaillées sur les utilisateurs, ainsi que l’historique des alertes de fraude émises au cours de la plage de dates spécifiée.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Résoudre les problèmes relatifs à MFATroubleshoot MFA issues

Trouvez des solutions aux problèmes fréquemment rencontrés avec Azure MFA dans l’article Résolution des problèmes d’authentification multifacteur Azure dans le centre de support Microsoft.Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

Étapes suivantesNext steps