Tutoriel : Appliquer l’authentification multifacteur pour les utilisateurs invités B2B

  • Article

Lors d’une collaboration avec des utilisateurs invités B2B externes, il est judicieux de protéger vos applications avec des stratégies d’authentification multifacteur. Les utilisateurs externes doivent donc avoir plus qu’un simple nom d’utilisateur et mot de passe pour accéder à vos ressources. Dans Microsoft Entra ID, vous pouvez atteindre cet objectif avec une stratégie d’accès conditionnel exigeant une authentification multifacteur pour l’accès. Ces stratégies peuvent être appliquées au niveau du locataire, d’une application ou d’un utilisateur individuel invité, de la même façon qu’elles peuvent être activées pour les membres de votre propre organisation. Le locataire de la ressource est toujours responsable de l’authentification multifacteur Microsoft Entra pour les utilisateurs, même si l’organisation de l’utilisateur invité offre des fonctionnalités d’authentification multifacteur.

Exemple :

Diagram showing a guest user signing into a company's apps.

  1. Un administrateur ou un employé de la société A invite un utilisateur invité à utiliser une application cloud ou locale qui est configurée pour exiger l’authentification multifacteur pour l’accès.
  2. L’utilisateur invité se connecte avec sa propre identité professionnelle, scolaire ou sociale.
  3. L’utilisateur est invité à effectuer une demande d’authentification multifacteur.
  4. L’utilisateur configure l’authentification multifacteur avec la société A et choisit son option d’authentification multifacteur. L’utilisateur est autorisé à accéder à l’application.

Remarque

L’authentification multifacteur Microsoft Entra est effectuée au niveau du locataire de la ressource pour garantir la prévisibilité. Lorsque l’utilisateur invité se connecte, il voit la page de connexion du locataire de ressources affichée en arrière-plan, ainsi que sa propre page de connexion et son logo de société au premier plan.

Ce didacticiel présente les procédures suivantes :

  • Tester l’expérience de connexion avant la configuration de l’authentification multifacteur.
  • Créer une stratégie d’accès conditionnel qui exige l’authentification multifacteur pour l’accès à une application cloud dans votre environnement. Dans ce tutoriel, nous allons utiliser l’application API Gestion des services Windows Azure pour illustrer le processus.
  • Utilisez l’outil What If pour simuler la connexion d’authentification multifacteur.
  • Testez votre stratégie d’accès conditionnel.
  • Supprimez l’utilisateur de test et la stratégie.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Prérequis

Pour suivre le scénario décrit dans ce didacticiel, vous avez besoin de ce qui suit :

  • Accès à édition Microsoft Entra ID P1 ou P2, qui comprend des fonctionnalités de stratégie d’accès conditionnel. Pour appliquer l’authentification multifacteur, vous devez créer une stratégie d’accès conditionnel Microsoft Entra. Les stratégies d’authentification multifacteur sont toujours appliquées à votre organisation, que le partenaire ait ou non des fonctionnalités d’authentification multifacteur.
  • Un compte e-mail externe valide que vous pouvez ajouter à votre annuaire de locataires en tant qu’utilisateur invité et vous servir pour la connexion. Si vous ne savez pas comment créer un compte invité, consultez Ajouter un utilisateur invité B2B dans le centre d’administration Microsoft Entra.

Créer un utilisateur invité de test dans Microsoft Entra ID

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  3. Sélectionnez Nouvel utilisateur, puis Inviter un utilisateur externe.

    Screenshot showing where to select the new guest user option.

  4. Sous Identité dans l’onglet De base, entrez l’adresse e-mail de l’utilisateur externe. Vous pouvez éventuellement inclure un nom d’affichage et un message d’accueil.

    Screenshot showing where to enter the guest email.

  5. Au besoin, vous pouvez ajouter d’autres détails à l’utilisateur sous les onglets Propriétés et Affectations.

  6. Sélectionnez Evaluer + Inviter pour envoyer automatiquement l’invitation à l’utilisateur invité. Un message Utilisateur invité avec succès apparaît.

  7. Après avoir envoyé l’invitation, le compte d’utilisateur est automatiquement ajouté au répertoire en tant qu’invité.

Tester l’expérience de connexion avant la configuration de l’authentification multifacteur

  1. Utilisez votre nom d’utilisateur test et votre mot de passe pour vous connecter au centre d’administration Microsoft Entra.
  2. Vous devriez être en mesure d’accéder au centre d’administration Microsoft Entra en utilisant uniquement vos informations d’identification de connexion. Aucune autre authentification n’est requise.
  3. Déconnectez-vous.

Créer une stratégie d’accès conditionnel exigeant l’authentification multifacteur

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Identité>Protection>Security Center.

  3. Sous Sécurité, sélectionnez Accès conditionnel.

  4. Sur la page Accès conditionnel, dans la barre d'outils en haut, sélectionnez Créer une nouvelle stratégie.

  5. Dans la page Nouveau, dans la zone de texte Nom, tapez Exiger l’authentification multifacteur pour l’accès au portail B2B.

  6. Dans la section Affectations, choisissez le lien sous Utilisateurs et groupes.

  7. Dans la page Utilisateurs et groupes, choisissez Sélectionner des utilisateurs et groupes, puis Utilisateurs invités ou externes. Vous pouvez affecter la stratégie à différents types d’utilisateurs externes, rôles d’annuaire intégrés ou utilisateurs et groupes.

    Screenshot showing selecting all guest users.

  8. Dans la section Affectations, choisissez le lien sous Applications ou actions cloud.

  9. Choisissez Sélectionner les applications, puis choisissez le lien sous Sélectionner.

    Screenshot showing the Cloud apps page and the Select option.

  10. Sur la page Sélectionner, choisissez API Gestion des services Windows Azure, puis Sélectionner.

  11. Dans la page Nouveau, dans la section Contrôles d’accès, choisissez le lien sous Accorder.

  12. Dans la page Accorder, choisissez Accorder l’accès, cochez la case Exiger une authentification multifacteur, puis choisissez Sélectionner.

    Screenshot showing the Require multifactor authentication option.

  13. Sous Activer une stratégie, sélectionnez Activé.

    Screenshot showing the Enable policy option set to On.

  14. Cliquez sur Créer.

Utiliser l’option What If pour simuler une connexion

  1. Dans la page Accès conditionnel | Stratégies, sélectionnez What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Sélectionnez le lien sous Utilisateur.

  3. Dans la zone de recherche, tapez le nom de votre utilisateur invité de test. Choisissez l’utilisateur dans les résultats de la recherche, puis choisissez Sélectionner.

    Screenshot showing a guest user selected.

  4. Sélectionnez le lien sous Applications cloud, actions ou contenu d’authentification. Choisissez Sélectionner les applications, puis choisissez le lien sous Sélectionner.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Sur la page Applications cloud, dans la liste des applications, choisissez API Gestion des services Windows Azure, puis Sélectionner.

  6. Choisissez What If et vérifiez que votre nouvelle stratégie apparaît sous Résultats de l’évaluation sous l’onglet Stratégies qui vont s’appliquer.

    Screenshot showing the results of the What If evaluation.

Tester votre stratégie d’accès conditionnel

  1. Utilisez votre nom d’utilisateur test et votre mot de passe pour vous connecter au centre d’administration Microsoft Entra.

  2. Vous devriez voir une demande pour des méthodes d’authentification supplémentaires. Un certain temps peut être nécessaire pour que la stratégie entre en vigueur.

    Screenshot showing the More information required message.

    Remarque

    Vous pouvez également configurer des paramètres d’accès inter-locataire pour faire confiance à l’authentification MFA du locataire d’accueil Microsoft Entra. Cela permet aux utilisateurs Microsoft Entra externes d’utiliser l’authentification MFA inscrite dans leur propre locataire plutôt que de s’inscrire dans le locataire de la ressource.

  3. Déconnectez-vous.

Nettoyer les ressources

Quand vous n’en avez plus besoin, supprimez l’utilisateur de test et la stratégie d’accès conditionnel de test.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez l’utilisateur invité, puis sélectionnez Supprimer l’utilisateur.
  4. Accédez à Identité>Protection>Security Center.
  5. Sous Sécurité, sélectionnez Accès conditionnel.
  6. Dans la liste Nom de la stratégie, sélectionnez le menu contextuel (...) pour votre stratégie de test, puis Supprimer. Sélectionnez Oui pour confirmer.

Étapes suivantes

Dans ce tutoriel, vous avez créé une stratégie d’accès conditionnel exigeant que les utilisateurs invités utilisent l’authentification multifacteur lors de la connexion à une de vos applications cloud. Pour plus d’informations sur l’ajout d’utilisateurs invités pour la collaboration, consultez Ajouter des utilisateurs Microsoft Entra B2B Collaboration dans le portail Azure.