Authentification multifacteur et Privileged Identity ManagementMulti-factor authentication and Privileged Identity Management

Nous vous recommandons d’exiger une authentification multifacteur (MFA) pour tous vos administrateurs.We recommend that you require multi-factor authentication (MFA) for all your administrators. Cela réduit le risque d'attaque en raison d'un mot de passe compromis.This reduces the risk of an attack due to a compromised password.

Vous pouvez exiger que les utilisateurs se soumettent à une authentification multifacteur lors de leur connexion.You can require that users complete a multi-factor authentication challenge when they sign in. Vous pouvez également exiger que les utilisateurs répondent à une demande d’authentification multifacteur quand ils activent un rôle dans Azure Active Directory Privileged Identity Management (PIM).You can also require that users complete a multi-factor authentication challenge when they activate a role in Azure Active Directory (Azure AD) Privileged Identity Management (PIM). De cette façon, si l’utilisateur n’a pas terminé une demande d’authentification multifacteur lors de sa connexion, il sera invité à le faire par Privileged Identity Management.This way, if the user didn't complete a multi-factor authentication challenge when they signed in, they will be prompted to do so by Privileged Identity Management.

Importante

Azure AD Multi-Factor Authentication ne fonctionne actuellement qu’avec des comptes professionnels ou scolaires, pas avec des comptes Microsoft (généralement un compte personnel utilisé pour se connecter à des services Microsoft tels que Skype, Xbox ou Outlook.com).Right now, Azure AD Multi-Factor Authentication only works with work or school accounts, not Microsoft personal accounts (usually a personal account that's used to sign in to Microsoft services such as Skype, Xbox, or Outlook.com). C’est pourquoi une personne disposant d’un compte personnel ne peut pas être un administrateur éligible car elle ne peut pas utiliser l’authentification multifacteur pour activer ses rôles.Because of this, anyone using a personal account can't be an eligible administrator because they can't use multi-factor authentication to activate their roles. Si ces utilisateurs doivent continuer à gérer les charges de travail à l’aide d’un compte Microsoft, convertissez-les en administrateurs permanents pour l’instant.If these users need to continue managing workloads using a Microsoft account, elevate them to permanent administrators for now.

Comment PIM valide MFAHow PIM validates MFA

Il existe deux options pour valider l’authentification multifacteur lorsqu’un utilisateur active un rôle.There are two options for validating multi-factor authentication when a user activates a role.

Le plus simple consiste à s’appuyer sur Azure AD Multi-Factor Authentication pour les utilisateurs qui activent un rôle privilégié.The simplest option is to rely on Azure AD Multi-Factor Authentication for users who are activating a privileged role. Pour ce faire, vérifiez tout d’abord que ces utilisateurs bénéficient d’une licence si nécessaire, et qu’ils se sont inscrits à Azure AD Multi-Factor Authentication.To do this, first check that those users are licensed, if necessary, and have registered for Azure AD Multi-Factor Authentication. Pour plus d’informations sur la façon de déployer Azure AD Multi-Factor Authentication, consultez Déployer Azure AD Multi-Factor Authentication basé sur le cloud.For more information about how to deploy Azure AD Multi-Factor Authentication, see Deploy cloud-based Azure AD Multi-Factor Authentication. Il est recommandé, mais pas obligatoire, de configurer Azure AD pour appliquer l’authentification multifacteur à ces utilisateurs lorsqu’ils se connectent.It is recommended, but not required, that you configure Azure AD to enforce multi-factor authentication for these users when they sign in. Cela est dû au fait que les vérifications de l’authentification multifacteur sont effectuées par Privileged Identity Management lui-même.This is because the multi-factor authentication checks will be made by Privileged Identity Management itself.

Si les utilisateurs s’authentifient en local, vous pouvez également faire en sorte que votre fournisseur d’identité soit responsable de l’authentification multifacteur.Alternatively, if users authenticate on-premises you can have your identity provider be responsible for multi-factor authentication. Par exemple, si vous avez configuré des services ADFS pour exiger l’authentification par carte à puce avant d’accéder à Azure AD, la section Sécurisation des ressources de cloud avec Azure AD Multi-Factor Authentication et ADFS inclut des instructions pour configurer ADFS afin d’envoyer les revendications à Azure AD.For example, if you have configured AD Federation Services to require smartcard-based authentication before accessing Azure AD, Securing cloud resources with Azure AD Multi-Factor Authentication and AD FS includes instructions for configuring AD FS to send claims to Azure AD. Quand un utilisateur tente d’activer un rôle, Privileged Identity Management accepte l’authentification multifacteur déjà validée pour l’utilisateur dès réception des revendications appropriées.When a user tries to activate a role, Privileged Identity Management will accept that multi-factor authentication has already been validated for the user once it receives the appropriate claims.

Étapes suivantesNext steps