Tutoriel : Événements de connexion utilisateur sécurisée avec Azure AD Multi-Factor AuthenticationTutorial: Secure user sign-in events with Azure AD Multi-Factor Authentication

L’authentification MFA (Azure Multi-Factor Authentication) est un processus dans lequel un utilisateur est invité, au cours d’un événement de connexion, à utiliser des formes d’identification supplémentaires.Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. Il peut s’agir en ce qui le concerne d’entrer un code sur son téléphone portable ou de scanner son empreinte digitale.This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. Quand vous exigez une deuxième forme d’authentification, la sécurité est accrue, car ce facteur supplémentaire n’est pas un élément facile à obtenir ou à dupliquer par un attaquant.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Azure AD Multi-Factor Authentication et les stratégies d’accès conditionnel offrent la flexibilité nécessaire qui permet l’authentification MFA des utilisateurs pendant des événements de connexion spécifiques.Azure AD Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events.

Important

Ce tutoriel montre aux administrateurs comment activer Azure AD Multi-Factor Authentication.This tutorial shows an administrator how to enable Azure AD Multi-Factor Authentication.

Si votre équipe informatique n’a pas activé la possibilité d’utiliser Azure AD Multi-Factor Authentication, ou si vous rencontrez des problèmes lors de la connexion, contactez votre support technique pour obtenir de l’aide.If your IT team hasn't enabled the ability to use Azure AD Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

Ce didacticiel vous montre comment effectuer les opérations suivantes :In this tutorial you learn how to:

  • Créer une stratégie d’accès conditionnel permettant d’activer AD Azure Multi-Factor Authentication pour un groupe d’utilisateursCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of users
  • Configurer les conditions de stratégie qui demandent l’authentification MFAConfigure the policy conditions that prompt for MFA
  • Tester le processus MFA en tant qu’utilisateurTest the MFA process as a user

PrérequisPrerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :To complete this tutorial, you need the following resources and privileges:

  • Un locataire Azure AD actif avec au moins un abonnement Azure AD Premium P1 ou une licence d’évaluation activée.A working Azure AD tenant with at least an Azure AD Premium P1 or trial license enabled.
  • Un compte avec des privilèges d’administrateur général.An account with global administrator privileges.
  • Un utilisateur non-administrateur avec un mot de passe que vous connaissez, par exemple testuser.A non-administrator user with a password you know, such as testuser. Vous testez l’expérience Azure AD Multi-Factor Authentication de l’utilisateur final à l’aide de ce compte dans ce tutoriel.You test the end-user Azure AD Multi-Factor Authentication experience using this account in this tutorial.
  • Un groupe dont l’utilisateur non-administrateur est membre, par exemple MFA-Test-Group.A group that the non-administrator user is a member of, such as MFA-Test-Group. Vous activez Azure AD Multi-Factor Authentication pour ce groupe dans ce tutoriel.You enable Azure AD Multi-Factor Authentication for this group in this tutorial.

Créer une stratégie d’accès conditionnelCreate a Conditional Access policy

Il est recommandé de se servir des stratégies d’accès conditionnel pour activer et utiliser Microsoft Azure AD Multi-Factor Authentication.The recommended way to enable and use Azure AD Multi-Factor Authentication is with Conditional Access policies. L’accès conditionnel vous permet de créer et de définir des stratégies qui réagissent aux événements de connexion en demandant des actions supplémentaires avant d’autoriser un utilisateur à accéder à une application ou à un service.Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Diagramme de vue d’ensemble du fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion

Les stratégies d’accès conditionnel peuvent être granulaires et spécifiques, avec pour objectif de permettre aux utilisateurs d’être productifs partout et à tout moment, tout en protégeant votre organisation.Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. Dans ce tutoriel, nous allons créer une stratégie d’accès conditionnel de base pour demander l’authentification MFA lorsqu’un utilisateur se connecte au portail Azure.In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. Dans un prochain tutoriel de cette série, vous configurerez Azure AD Multi-Factor Authentication à l’aide d’une stratégie d’accès conditionnel basée sur le risque.In a later tutorial in this series, you configure Azure AD Multi-Factor Authentication using a risk-based Conditional Access policy.

Tout d’abord, créez une stratégie d’accès conditionnel et affectez votre groupe test d’utilisateurs comme suit :First, create a Conditional Access policy and assign your test group of users as follows:

  1. Connectez-vous au portail Azure à l’aide d’un compte disposant d’autorisations d’administrateur général.Sign in to the Azure portal using an account with global administrator permissions.

  2. Recherchez et sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. Sélectionnez Accès conditionnel, puis choisissez + Nouvelle stratégie.Select Conditional Access, then choose + New policy.

  4. Entrez le nom de la stratégie, par exemple Pilote MFA.Enter a name for the policy, such as MFA Pilot.

  5. Sous Affectations, choisissez Utilisateurs et groupes, puis activez la case d’option Sélectionner des utilisateurs et des groupes.Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. Cochez la case Utilisateurs et groupes, puis choisissez Sélectionner pour parcourir les utilisateurs et les groupes Azure AD disponibles.Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. Recherchez et sélectionnez votre groupe Azure AD, par exemple MFA-Test-Group, puis choisissez Sélectionner.Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

    Sélectionner votre groupe Azure AD à utiliser avec la stratégie d’accès conditionnel Select your Azure AD group to use with the Conditional Access policy

  8. Pour appliquer la stratégie d’accès conditionnel au groupe, sélectionnez Terminé.To apply the Conditional Access policy for the group, select Done.

Configurer les conditions pour l’authentification multifacteurConfigure the conditions for multi-factor authentication

La stratégie d’accès conditionnel étant créée et un groupe test d’utilisateurs attribué, définissez maintenant les actions ou les applications cloud qui déclenchent la stratégie.With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. Ces actions ou applications cloud représentent les scénarios pour lesquels vous décidez de demander un processus supplémentaire, par exemple pour exiger l’authentification MFA.These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. Ainsi, vous pouvez décider que l’accès à une application financière ou l’utilisation d’outils de gestion nécessite une invite de vérification supplémentaire.For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

Pour ce tutoriel, configurez la stratégie d’accès conditionnel afin d’exiger l’authentification MFA lorsqu’un utilisateur se connecte au portail Azure.For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. Sélectionnez Applications ou actions cloud.Select Cloud apps or actions. Vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à Toutes les applications Cloud ou Sélectionner des applications.You can choose to apply the Conditional Access policy to All cloud apps or Select apps. Pour assurer la flexibilité, vous pouvez également exclure certaines applications de la stratégie.To provide flexibility, you can also exclude certain apps from the policy.

    Pour ce tutoriel, dans la page Inclure, choisissez la case d’option Sélectionner des applications.For this tutorial, on the Include page, choose the Select apps radio button.

  2. Choisissez Sélectionner, puis parcourez la liste des événements de connexion disponibles qui peuvent être utilisés.Choose Select, then browse the list of available sign-in events that can be used.

    Pour ce tutoriel, choisissez Gestion Microsoft Azure afin que la stratégie s’applique aux événements de connexion sur le portail Azure.For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. Pour l’appliquer aux applications sélectionnées, choisissez Sélectionner, puis Terminé.To apply the select apps, choose Select, then Done.

    Sélectionner l’application Gestion Microsoft Azure à inclure dans la stratégie d’accès conditionnel

Les contrôles d’accès vous permettent de définir les conditions à remplir pour qu’un utilisateur dispose d’un accès, par exemple le besoin d’une application cliente approuvée ou l’utilisation d’un appareil joint à Azure AD Hybride.Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. Dans ce tutoriel, configurez les contrôles d’accès pour demander l’authentification MFA lors d’un événement de connexion sur le portail Azure.In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. Sous Contrôle d’accès, choisissez Accorder, puis assurez-vous que la case d’option Accorder l’accès est sélectionnée.Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. Cochez la case Exiger une authentification multifacteur, puis choisissez Sélectionner.Check the box for Require multi-factor authentication, then choose Select.

Les stratégies d’accès conditionnel peuvent être définies sur Rapport seul si vous souhaitez voir comment la configuration affecte les utilisateurs, ou sur Désactivée si vous ne voulez pas utiliser la stratégie pour le moment.Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. Étant donné qu’un groupe test d’utilisateurs était ciblé pour ce tutoriel, activez la stratégie, puis testez Azure AD Multi-Factor Authentication.As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure AD Multi-Factor Authentication.

  1. Basculez Activer la stratégie sur Activé.Set the Enable policy toggle to On.
  2. Pour appliquer la stratégie d’accès conditionnel, sélectionnez Créer.To apply the Conditional Access policy, select Create.

Tester Azure AD Multi-Factor AuthenticationTest Azure AD Multi-Factor Authentication

Nous allons voir à présent votre stratégie d’accès conditionnel et Azure AD Multi-Factor Authentication en action.Let's see your Conditional Access policy and Azure AD Multi-Factor Authentication in action. Tout d’abord, connectez-vous de la façon suivante à une ressource qui ne nécessite pas d’authentification MFA :First, sign in to a resource that doesn't require MFA as follows:

  1. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, et accédez à https://account.activedirectory.windowsazure.com.Open a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser.Sign in with your non-administrator test user, such as testuser. Il n’y a aucune invite vous demandant de procéder à l’authentification MFA.There's no prompt for you to complete MFA.
  3. Fermez la fenêtre du navigateur.Close the browser window.

À présent, connectez-vous au portail Azure.Now sign in to the Azure portal. Étant donné que le portail Azure était configuré dans la stratégie d’accès conditionnel pour exiger une vérification supplémentaire, vous obtenez une invite Azure AD Multi-Factor Authentication.As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure AD Multi-Factor Authentication prompt.

  1. Ouvrez une nouvelle fenêtre de navigateur dans InPrivate ou en mode de navigation privée, et accédez à https://portal.azure.com.Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser.Sign in with your non-administrator test user, such as testuser. Il vous est demandé de vous inscrire et d’utiliser Azure AD Multi-Factor Authentication.You're required to register for and use Azure AD Multi-Factor Authentication. Suivez les invites pour aller au bout du processus et vérifiez que vous vous connectez correctement au portail Azure.Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    Suivre les invites du navigateur, puis l’invite de votre authentification multifacteur inscrite pour vous connecter

  3. Fermez la fenêtre du navigateur.Close the browser window.

Nettoyer les ressourcesClean up resources

Si vous ne souhaitez plus utiliser la stratégie d’accès conditionnel pour activer le service Azure AD Multi-Factor Authentication configuré dans le cadre de ce tutoriel, supprimez la stratégie en suivant ces étapes :If you no longer want to use the Conditional Access policy to enable Azure AD Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.
  2. Recherchez et sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. Sélectionnez Accès conditionnel, puis choisissez la stratégie que vous avez créée, par exemple Pilote MFA.Select Conditional access, then choose the policy you created, such as MFA Pilot
  4. Choisissez Supprimer, puis confirmez que vous souhaitez supprimer la stratégie.Choose Delete, then confirm you wish to delete the policy.

Étapes suivantesNext steps

Dans ce tutoriel, vous avez activé Azure AD Multi-Factor Authentication au moyen de stratégies d’accès conditionnel pour un groupe sélectionné d’utilisateurs.In this tutorial, you enabled Azure AD Multi-Factor Authentication using Conditional Access policies for a selected group of users. Vous avez appris à :You learned how to:

  • Créer une stratégie d’accès conditionnel permettant d’activer Azure AD Multi-Factor Authentication pour un groupe d’utilisateurs Azure ADCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of Azure AD users
  • Configurer les conditions de stratégie qui demandent l’authentification MFAConfigure the policy conditions that prompt for MFA
  • Tester le processus MFA en tant qu’utilisateurTest the MFA process as a user