Multi-Factor Authentication pour Microsoft 365Multi-factor authentication for Microsoft 365

Les mots de passe sont la méthode la plus courante d’authentification d’une connectez-vous à un ordinateur ou un service en ligne, mais ils sont également les plus vulnérables.Passwords are the most common method of authenticating a sign-in to a computer or online service, but they are also the most vulnerable. Les utilisateurs peuvent choisir des mots de passe simples et utiliser les mêmes mots de passe pour plusieurs connecteurs à différents ordinateurs et services.People can choose easy passwords and use the same passwords for multiple sign-ins to different computers and services.

Pour fournir un niveau de sécurité supplémentaire pour les sign-ins, vous devez utiliser l’authentification multifacteur (MFA), qui utilise à la fois un mot de passe, qui doit être fort, et une méthode de vérification supplémentaire basée sur :To provide an additional level of security for sign-ins, you must use multi-factor authentication (MFA), which uses both a password, which should be strong, and an additional verification method based on:

  • Ce que vous avez avec vous n’est pas facilement dupliqué, par exemple un smartphone.Something you have with you that is not easily duplicated, such as a smart phone.
  • Quelque chose que vous avez de manière unique et err ment, par exemple vos empreintes digitales, votre visage ou tout autre attribut biométrique.Something you uniquely and biologically have, such as your fingerprints, face, or other biometric attribute.

La méthode de vérification supplémentaire n’est utilisée qu’après la vérification du mot de passe de l’utilisateur.The additional verification method is not employed until after the user's password has been verified. Avec l' portable, même si un mot de passe utilisateur fort est compromis, l’attaquant ne peut pas avoir votre smartphone ou votre empreinte digitale pour terminer la signature.With MFA, even if a strong user password is compromised, the attacker does not have your smart phone or your fingerprint to complete the sign-in.

Prise en charge de l’mf dans Microsoft 365MFA support in Microsoft 365

Par défaut, les deux Microsoft 365 et Office 365 l’famf pour les comptes d’utilisateur à l’aide des paramètres :By default, both Microsoft 365 and Office 365 support MFA for user accounts using:

  • Message texte envoyé à un téléphone qui oblige l’utilisateur à taper un code de vérification.A text message sent to a phone that requires the user to type a verification code.
  • Appel téléphonique.A phone call.
  • Application Microsoft Authenticator smartphone.The Microsoft Authenticator smart phone app.

Dans les deux cas, la sign-in mfa utilise la méthode « Quelque chose que vous avez avec vous qui n’est pas facilement dupliqué » pour la vérification supplémentaire.In both cases, the MFA sign-in is using the "something you have with you that is not easily duplicated" method for the additional verification. Il existe plusieurs façons d’activer l' multi-facteur pour Microsoft 365 et Office 365 :There are multiple ways in which you can enable MFA for Microsoft 365 and Office 365:

  • Avec les paramètres de sécurité par défautWith security defaults
  • Avec les stratégies d’accès conditionnelWith Conditional Access policies
  • Pour chaque compte d’utilisateur individuel (non recommandé)For each individual user account (not recommended)

Ces méthodes sont basées sur Microsoft 365 plan.These ways are based on your Microsoft 365 plan.

PlanificationPlan RecommandationRecommendation Type de clientType of customer
Toutes les Microsoft 365 planAll Microsoft 365 plans Utilisez les paramètres de sécurité par défaut, qui nécessitent l' usage de l’mf pour tous les comptes d’utilisateurs.Use security defaults, which require MFA for all user accounts.

Vous pouvez également configurer l’mf par utilisateur sur des comptes d’utilisateur individuels, mais cela n’est pas recommandé.You can also configure per-user MFA on individual user accounts, but this is not recommended.

Petite entrepriseSmall business
Microsoft 365 Business PremiumMicrosoft 365 Business Premium

Microsoft 365 E3Microsoft 365 E3

Azure Active Directory (Azure AD) Premium licences P1Azure Active Directory (Azure AD) Premium P1 licenses

Utilisez des stratégies d’accès conditionnel pour exiger une mf pour les comptes d’utilisateur en fonction de l’appartenance au groupe, des applications ou d’autres critères.Use Conditional Access policies to require MFA for user accounts based on group membership, apps, or other criteria. Petite entreprise à entrepriseSmall business to enterprise
Microsoft 365 E5Microsoft 365 E5

Licences Azure AD Premium P2Azure AD Premium P2 licenses

Utilisez Azure AD Identity Protection pour exiger une mffa en fonction des critères de risque de la signature.Use Azure AD Identity Protection to require MFA based on sign-in risk criteria. EntrepriseEnterprise

Paramètres de sécurité par défautSecurity defaults

Les paramètres de sécurité par défaut sont une nouvelle fonctionnalité pour Microsoft 365 et les abonnements Office 365 payants ou en version d’évaluation créés après le 21 octobre 2019.Security defaults is a new feature for Microsoft 365 and Office 365 paid or trial subscriptions created after October 21, 2019. Ces abonnements ont des paramètres de sécurité par défaut, qui :These subscriptions have security defaults turned on, which:

  • Exige que tous vos utilisateurs utilisent l’famf avec l’Microsoft Authenticator app.Requires all of your users to use MFA with the Microsoft Authenticator app.
  • Bloque l’authentification héritée.Blocks legacy authentication.

Les utilisateurs disposent de 14 jours pour s’inscrire à l’authentification multifacteur de l’application Microsoft Authenticator sur leur smartphone, un délai qui commence dès la première connexion suivant l’activation des paramètres de sécurité par défaut.Users have 14 days to register for MFA with the Microsoft Authenticator app from their smart phones, which begins from the first time they sign in after security defaults has been enabled. Lorsque les 14 jours sont écoulés, l’utilisateur ne peut pas se connecter tant que son inscription à l’authentification multifacteur n’est pas terminée.After 14 days have passed, the user won't be able to sign in until MFA registration is completed.

Les paramètres de sécurité par défaut garantissent que toutes les organisations ont un niveau de sécurité de base qui est activé par défaut pour la connexion des utilisateurs.Security defaults ensure that all organizations have a basic level of security for user sign-in that is enabled by default. Vous pouvez désactiver les paramètres de sécurité par défaut au profit de l’mfmf avec les stratégies d’accès conditionnel.You can disable security defaults in favor of MFA with Conditional Access policies.

Vous activez ou désactivez les paramètres de sécurité par défaut dans le volet Propriétés d’Azure AD dans le portail Azure.You enable or disable security defaults from the Properties pane for Azure AD in the Azure portal.

Image de la page des propriétés de l’annuaire.

Vous pouvez utiliser les paramètres de sécurité par défaut avec n’importe Microsoft 365 plan.You can use security defaults with any Microsoft 365 plan.

Pour plus d’informations, voirVue d’ensemble des paramètres de sécurité par défaut.For more information, see this overview of security defaults.

Stratégies d’accès conditionnelConditional Access policies

Les stratégies d’accès conditionnel sont un groupe de règles qui spécifient les conditions dans lesquelles les connexions sont évaluées et autorisées.Conditional Access policies are a set of rules that specify the conditions under which sign-ins are evaluated and allowed. Par exemple, vous pouvez créer une stratégie d’accès conditionnel qui indique :For example, you can create a Conditional Access policy that states:

  • Si le nom du compte d’utilisateur concerne membre d’un groupe d’utilisateurs bénéficiant des rôles d’administrateur Exchange, utilisateur, mot de passe, sécurité, SharePoint ou global, exigez l’authentification multifacteur avant d’autoriser l’accès.If the user account name is a member of a group for users that are assigned the Exchange, user, password, security, SharePoint, or global administrator roles, require MFA before allowing access.

Cette stratégie vous permet de demander une authentification multifacteur basée sur l’appartenance au groupe, plutôt que d’essayer de configurer des comptes d’utilisateur individuels pour l’authentification multifacteur lorsqu’ils sont attribués ou non à des rôles d’administrateur.This policy allows you to require MFA based on group membership, rather than trying to configure individual user accounts for MFA when they are assigned or unassigned from these administrator roles.

Vous pouvez également utiliser des stratégies d’accès conditionnel pour des fonctionnalités plus avancées, telles que l’obligation d’une mf pour des applications spécifiques ou l’exécution de la connectez-vous à partir d’un appareil conforme, tel que votre ordinateur portable exécutant Windows 10.You can also use Conditional Access policies for more advanced capabilities, such as requiring MFA for specific apps or that the sign-in is done from a compliant device, such as your laptop running Windows 10.

Vous configurez les stratégies d’accès conditionnel à partir du volet Sécurité d’Azure AD dans le portail Azure.You configure Conditional Access policies from the Security pane for Azure AD in the Azure portal.

Image de l’option de menu pour l’accès conditionnel

Vous pouvez utiliser des stratégies d’accès conditionnel avec :You can use Conditional Access policies with:

  • Microsoft 365 Business PremiumMicrosoft 365 Business Premium
  • Microsoft 365 E3 et E5Microsoft 365 E3 and E5
  • Licences Azure AD Premium P1 et Azure AD Premium P2Azure AD Premium P1 and Azure AD Premium P2 licenses

Pour les petites entreprises avec Microsoft 365 Business Premium, vous pouvez facilement utiliser les stratégies d’accès conditionnel en suivant les étapes suivantes :For small businesses with Microsoft 365 Business Premium, you can easily use Conditional Access policies with the following steps:

  1. Créez un groupe pour contenir les comptes d’utilisateur qui requièrent l' mba.Create a group to contain the user accounts that require MFA.
  2. Activez la stratégie Exiger l’mf pour les administrateurs globaux.Enable the Require MFA for global admins policy.
  3. Créez une stratégie d’accès conditionnel basée sur les groupes avec les paramètres ci-après :Create a group-based Conditional Access policy with these settings:
    • Affectations > utilisateurs et groupes : nom de votre groupe de l’étape 1 ci-dessus.Assignments > Users and groups: The name of your group from Step 1 above.
    • Affectations > actions ou applications cloud : toutes les applications cloud.Assignments > Cloud apps or actions: All cloud apps.
    • Les contrôles d’accès > accorder > accorder l’accès > nécessite une authentification multifacteur.Access controls > Grant > Grant access > Require multi-factor authentication.
  4. Activez la stratégie.Enable the policy.
  5. Ajoutez un compte d’utilisateur au groupe créé à l’étape 1 ci-dessus et testez.Add a user account to the group created in Step 1 above and test.
  6. Pour exiger une mf pour des comptes d’utilisateurs supplémentaires, ajoutez-les au groupe créé à l’étape 1.To require MFA for additional user accounts, add them to the group created in Step 1.

Cette stratégie d’accès conditionnel vous permet de déployer l’exigence de l’mfmf à vos utilisateurs à votre propre rythme.This Conditional Access policy allows you to roll out the MFA requirement to your users at your own pace.

Les entreprises doivent utiliser des stratégies d’accès conditionnel courantes pour configurer les stratégies suivantes :Enterprises should use Common Conditional Access policies to configure the following policies:

Si vous souhaitez en savoir plus, consultez Présentation de l’accès conditionnel.For more information, see this overview of Conditional Access.

Azure AD Identity ProtectionAzure AD Identity Protection

Avec Azure AD Identity Protection, vous pouvez créer une stratégie d’accès conditionnel supplémentaire pour exiger l' approbation de la MFA lorsque le risque de se connecte est moyen ou élevé.With Azure AD Identity Protection, you can create an additional Conditional Access policy to require MFA when sign-in risk is medium or high.

Vous pouvez utiliser Azure AD Identity Protection et les stratégies d’accès conditionnel basées sur les risques avec :You can use Azure AD Identity Protection and risk-based Conditional Access policies with:

  • Microsoft 365 E5Microsoft 365 E5
  • Licences Azure AD Premium P2Azure AD Premium P2 licenses

Si vous souhaitez en savoir plus, consultez la page Présentation de Azure AD Identity Protection.For more information, see this overview of Azure AD Identity Protection.

Vous devez utiliser les paramètres de sécurité par défaut ou les stratégies d’accès conditionnel pour exiger l' approbation de compte d’utilisateur pour les connecteurs de votre compte d’utilisateur. Toutefois, si l’un d’eux ne peut pas être utilisé, Microsoft recommande vivement l’mfmf pour les comptes d’utilisateurs qui ont des rôles d’administrateur, en particulier le rôle d’administrateur général, pour tout abonnement de taille.You should be using either security defaults or Conditional Access policies to require MFA for your user account sign-ins. However, if either of these cannot be used, Microsoft strongly recommends MFA for user accounts that have administrator roles, especially the global administrator role, for any size subscription.

Vous activez l’mf pour les comptes d’utilisateur individuels à partir du volet Utilisateur actif du centre d Microsoft 365'administration.You enable MFA for individual user accounts from the Active user pane of the Microsoft 365 admin center.

Image de l’option d’authentification multifacteur sur la page Utilisateurs actifs

Une fois activé, la prochaine fois que l’utilisateur se sera inscrit, il sera invité à s’inscrire à l’mf et à choisir et tester la méthode de vérification supplémentaire.After being enabled, the next time the user signs in, they will be prompted to register for MFA and to choose and test the additional verification method.

Utilisation combinée des méthodesUsing these methods together

Ce tableau présente les résultats de l’activation de l’authentification multifacteur avec les paramètres de sécurité par défaut, les stratégies d’accès conditionnel et les paramètres de compte par utilisateur.This table shows the results of enabling MFA with security defaults, Conditional Access policies, and per-user account settings.

ActivéEnabled DésactivéDisabled Méthode d'authentification secondaireSecondary authentication method
Paramètres de sécurité par défautSecurity defaults Ne peut pas utiliser les stratégies d’accès conditionnelCan't use Conditional Access policies Peut utiliser les stratégies d’accès conditionnelCan use Conditional Access policies Application Microsoft AuthenticatorMicrosoft Authenticator app
Stratégies d’accès conditionnelConditional Access policies Si des paramètres sont activés, vous ne pouvez pas activer les paramètres de sécurité par défautIf any are enabled, you can't enable security defaults Si tous ces éléments sont désactivés, vous pouvez activer les paramètres de sécurité par défautIf all are disabled, you can enable security defaults Utilisateur spécifié lors de l’inscription à l’authentification multifacteurUser-specified during MFA registration
Fa MFA héritée par utilisateur (non recommandé)Legacy per-user MFA (not recommended) Remplace les paramètres de sécurité par défaut et les stratégies d’accès conditionnel nécessitant l’ation MFA à chaque signatureOverrides security defaults and Conditional Access policies requiring MFA at each sign in Overridden by security defaults and Conditional Access policiesOverridden by security defaults and Conditional Access policies Utilisateur spécifié lors de l’inscription à l’authentification multifacteurUser-specified during MFA registration

Si les paramètres de sécurité par défaut sont activés, tous les nouveaux utilisateurs sont invités à s’inscrire à l’mf et à utiliser l’application Microsoft Authenticator lors de leur prochaine ouverture de contrat.If security defaults are enabled, all new users are prompted for MFA registration and the use of the Microsoft Authenticator app at their next sign-in.

Méthodes de gestion des paramètres mfaWays to manage MFA settings

Il existe deux façons de gérer les paramètres mfa.There are two ways to manage MFA settings.

Dans le portail Azure, vous pouvez :In the Azure portal, you can:

  • Activer et désactiver les paramètres de sécurité par défautEnable and disable security defaults
  • Configurer des stratégies d’accès conditionnelConfigure Conditional Access policies

Dans le Microsoft 365 d’administration, vous pouvez configurer les paramètres mFA par utilisateur et service.In the Microsoft 365 admin center, you can configure per-user and service MFA settings.

Prochaines étapesNext steps

Configurer l’ment MFA pour Microsoft 365Set up MFA for Microsoft 365

Activer l’authentification multifacteur (vidéo)Turn on multi-factor authentication (video)
Activer l’authentification multifacteur sur votre téléphone (vidéo)Turn on multi-factor authentication for your phone (video)