Connexion sécurisée des utilisateurs à votre client Microsoft 365Secure user sign-ins to your Microsoft 365 tenant

Pour renforcer la sécurité des connexions des utilisateurs :To increase the security of user sign-ins:

  • Utiliser Windows Hello EntrepriseUse Windows Hello for Business
  • Utilisez la protection par mot de passe Azure Active Directory (Azure AD).Use Azure Active Directory (Azure AD) Password Protection
  • Utilisez l’authentification multifacteur (MFA)Use multi-factor authentication (MFA)
  • Déployer les configurations des identités et de l’accès aux appareilsDeploy identity and device access configurations
  • Protégez-vous contre la compromission d’informations d’identification avec Azure AD protection des identitésProtect against credential compromise with Azure AD Identity Protection

Windows Hello EntrepriseWindows Hello for Business

Windows Hello Entreprise dans Windows 10 Entreprise remplace les mots de passe par une authentification à deux facteurs forte lors de la connexion à un appareil Windows.Windows Hello for Business in Windows 10 Enterprise replaces passwords with strong two-factor authentication when signing on a Windows device. Les deux facteurs sont un nouveau type d’informations d’identification d’utilisateur qui est lié à un appareil et à un code biométrique ou PIN.The two factors are a new type of user credential that is tied to a device and a biometric or PIN.

Pour plus d’informations, consultez Vue d’ensemble de Windows Hello Entreprise.For more information, see Windows Hello for Business Overview.

Protection par mot de passe Azure AD.Azure AD Password Protection

La protection par mot de passe Azure AD détecte et bloque les mots de passe faibles connus et leurs variantes, et peut également bloquer d’autres termes faibles définis par votre organisation.Azure AD Password Protection detects and blocks known weak passwords and their variants and can also block additional weak terms that are specific to your organization. Les listes générales par défaut de mots de passe interdits sont automatiquement appliquées à tous les utilisateurs d’un client Azure AD.Default global banned password lists are automatically applied to all users in an Azure AD tenant. Vous pouvez définir d’autres entrées dans une liste personnalisée de mots de passe interdits.You can define additional entries in a custom banned password list. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes sont vérifiées de façon à garantir l’utilisation de mots de passe forts.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.

Pour plus d’informations, voir Configurer la protection par mot de passe Azure AD.For more information, see Configure Azure AD password protection.

Authentification multifacteurMFA

L’authentification multifacteur exige que les connexions des utilisateurs fassent l’objet d’une vérification supplémentaire, au-delà du mot de passe du compte d’utilisateur.MFA requires that user sign-ins be subject to an additional verification beyond the user account password. Même si un utilisateur malveillant détermine un mot de passe de compte d’utilisateur, il doit également répondre à une vérification supplémentaire, par exemple, un message texte envoyé vers un smartphone, avant que l’accès ne lui soit accordé.Even if a malicious user determines a user account password, they must also be able to respond to an additional verification, such as a text message sent to a smartphone before access is granted.

Le mot de passe correct et une vérification supplémentaire génèrent une connexion réussie

La première étape de l’utilisation de l’authentification multifacteur est de l’imposer à tous les comptes d’administrateurs, également appelés comptes privilégiés.Your first step in using MFA is to require it for all administrator accounts, also known as privileged accounts.

Une fois cette première étape effectuée, Microsoft recommande l’authentification multifacteur pour tous les utilisateurs.Beyond this first step, Microsoft recommends MFA For all users.

En fonction de votre plan Microsoft 365, trois méthodes sont possibles pour imposer l’utilisation de l’authentification multifacteur.There are three ways to require your administrators or users to use MFA based on your Microsoft 365 plan.

PlanificationPlan RecommandationRecommendation
Toutes les offres Microsoft 365 (sans licence Azure AD Premium P1 ou P2)All Microsoft 365 plans (without Azure AD Premium P1 or P2 licenses) Activer les paramètres de sécurité par défaut dans Azure AD.Enable Security defaults in Azure AD. La sécurité par défaut d’Azure AD inclut l’authentification multifacteur pour les utilisateurs et les administrateurs.Security defaults in Azure AD include MFA for users and administrators.
Microsoft 365 E3 (inclut les licences Azure AD Premium P1)Microsoft 365 E3 (includes Azure AD Premium P1 licenses) Utilisez les Stratégies d’accès conditionnel courantes pour configurer les stratégies suivantes :Use Common Conditional Access policies to configure the following policies:
- Exiger l’authentification multifacteur pour les administrateurs- Require MFA for administrators
- Exiger l’authentification multifacteur pour tous les utilisateurs- Require MFA for all users
- Bloquer l’authentification héritée- Block legacy authentication
Microsoft 365 E5 (inclut les licences Azure AD Premium P2)Microsoft 365 E5 (includes Azure AD Premium P2 licenses) Pour tirer parti de la protection d’identité Azure AD Identity Protection, commencez à implémenter la série recommandée concernant l’accès conditionnel et les stratégies associées en créant les deux stratégies suivantes :Taking advantage of Azure AD Identity Protection, begin to implement Microsoft's recommended set of conditional access and related policies by creating these two policies:
- Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé- Require MFA when sign-in risk is medium or high
- Les utilisateurs à risque élevé doivent modifier leur mot de passe- High risk users must change password

Paramètres de sécurité par défautSecurity defaults

Les paramètres de sécurité par défaut sont une nouvelle fonctionnalité pour Microsoft 365 et les abonnements Office 365 payants ou en version d’évaluation créés après le 21 octobre 2019.Security defaults is a new feature for Microsoft 365 and Office 365 paid or trial subscriptions created after October 21, 2019. Les paramètres de sécurité par défaut de ces abonnements sont activés, ce qui nécessite que tous vos utilisateurs utilisent l’authentification multifacteur à l’aide de l’application Microsoft Authenticator.These subscriptions have security defaults turned on, which requires all of your users to use MFA with the Microsoft Authenticator app.

Les utilisateurs disposent de 14 jours pour s’inscrire à l’authentification multifacteur de l’application Microsoft Authenticator sur leur smartphone, un délai qui commence dès la première connexion suivant l’activation des paramètres de sécurité par défaut.Users have 14 days to register for MFA with the Microsoft Authenticator app from their smart phones, which begins from the first time they sign in after security defaults has been enabled. Lorsque les 14 jours sont écoulés, l’utilisateur ne peut pas se connecter tant que son inscription à l’authentification multifacteur n’est pas terminée.After 14 days have passed, the user won't be able to sign in until MFA registration is completed.

Les paramètres de sécurité par défaut garantissent que toutes les organisations ont un niveau de sécurité de base qui est activé par défaut pour la connexion des utilisateurs.Security defaults ensure that all organizations have a basic level of security for user sign-in that is enabled by default. Vous pouvez désactiver les paramètres de sécurité par défaut en faveur de l’authentification multifacteur avec des stratégies d’accès conditionnel ou pour des comptes individuels.You can disable security defaults in favor of MFA with Conditional Access policies or for individual accounts.

Pour plus d’informations, consultez Vue d’ensemble des paramètres de sécurité par défaut.For more information, see the overview of security defaults.

Stratégies d’accès conditionnelConditional Access policies

Les stratégies d’accès conditionnel sont un groupe de règles qui spécifient les conditions dans lesquelles les connexions sont évaluées et l’accès autorisé.Conditional Access policies are a set of rules that specify the conditions under which sign-ins are evaluated and access is granted. Par exemple, vous pouvez créer une stratégie d’accès conditionnel qui indique :For example, you can create a Conditional Access policy that states:

  • Si le nom du compte d’utilisateur concerne membre d’un groupe d’utilisateurs bénéficiant des rôles d’administrateur Exchange, utilisateur, mot de passe, sécurité, SharePoint ou global, exigez l’authentification multifacteur avant d’autoriser l’accès.If the user account name is a member of a group for users that are assigned the Exchange, user, password, security, SharePoint, or global administrator roles, require MFA before allowing access.

Cette stratégie vous permet de demander une authentification multifacteur basée sur l’appartenance au groupe, plutôt que d’essayer de configurer des comptes d’utilisateur individuels pour l’authentification multifacteur lorsqu’ils sont attribués ou non à des rôles d’administrateur.This policy allows you to require MFA based on group membership, rather than trying to configure individual user accounts for MFA when they are assigned or unassigned from these administrator roles.

Vous pouvez également utiliser les stratégies d’accès conditionnel pour des fonctionnalités plus avancées, telles que la nécessité de se connecter à partir d’un appareil compatible, tel que votre ordinateur portable fonctionnant sous Windows 10.You can also use Conditional Access policies for more advanced capabilities, such as requiring that the sign-in is done from a compliant device, such as your laptop running Windows 10.

Les licences d’accès conditionnel exige Azure AD Premium P1, lesquelles sont incluses dans Microsoft 365 E3 et E5.Conditional Access requires Azure AD Premium P1 licenses, which are included with Microsoft 365 E3 and E5.

Si vous souhaitez en savoir plus, consultez la Présentation de l’accès conditionnel.For more information, see the overview of Conditional Access.

Utilisation combinée des méthodesUsing these methods together

Gardez les éléments suivants à l’esprit :Keep the following in mind:

  • Vous ne pouvez pas activer les paramètres de sécurité par défaut si vous avez activé des stratégies d’accès conditionnel.You cannot enable security defaults if you have any Conditional Access policies enabled.
  • Vous ne pouvez pas activer de stratégie d’accès conditionnel si les paramètres de sécurité par défaut sont activés.You cannot enable any Conditional Access policies if you have security defaults enabled.

Si les paramètres de sécurité par défaut sont activés, les nouveaux utilisateurs sont invités à s’inscrire pour l’authentification multifacteur et à utiliser l’application Microsoft Authenticator.If security defaults are enabled, all new users are prompted for MFA registration and the use of the Microsoft Authenticator app.

Ce tableau présente les résultats de l’activation de l’authentification multifacteur avec les paramètres de sécurité par défaut et les stratégies d’accès conditionnel.This table shows the results of enabling MFA with security defaults and Conditional Access policies.

MéthodeMethod ActivéEnabled DésactivéDisabled Méthode d'authentification supplémentaireAdditional authentication method
Paramètres de sécurité par défautSecurity defaults Ne peut pas utiliser les stratégies d’accès conditionnelCan’t use Conditional Access policies Peut utiliser les stratégies d’accès conditionnelCan use Conditional Access policies Application Microsoft AuthenticatorMicrosoft Authenticator app
Stratégies d’accès conditionnelConditional Access policies Si l’une d’elles est activée, vous ne pouvez pas activer les paramètres de sécurité par défautIf any are enabled, you can’t enable security defaults Si tous ces éléments sont désactivés, vous pouvez activer les paramètres de sécurité par défautIf all are disabled, you can enable security defaults Utilisateur spécifié lors de l’inscription à l’authentification multifacteurUser specifies during MFA registration

Configurations des identités et de l’accès aux appareilsIdentity and device access configurations

Les paramètres et stratégies d’identité et d’accès aux appareils sont des fonctionnalités préalables recommandées et leurs paramètres, associés à un accès conditionnel, à Intune et à des stratégies de protection d’identité Azure AD, qui déterminent si une demande d’accès doit être accordée et dans quelles conditions.Identity and device access settings and policies are recommended prerequisite features and their settings combined with Conditional Access, Intune, and Azure AD Identity Protection policies that determine whether a given access request should be granted and under what conditions. La décision se fonde sur le compte d’utilisateur utilisé pour la connexion, l’appareil utilisé, l’application utilisée par l’utilisateur pour l’accès, l’emplacement depuis lequel la demande d’accès est émise et l’évaluation du risque lié à la demande.This determination is based on the user account of the sign-in, the device being used, the app the user is using for access, the location from which the access request is made, and an assessment of the risk of the request. Cela permet de s’assurer que seuls les utilisateurs et les appareils approuvés ont accès aux ressources critiques de l’entreprise.This capability helps ensure that only approved users and devices can access your critical resources.

Notes

Azure AD Identity Protection requiert des licences Azure AD Premium P2, incluses dans Microsoft 365 E5.Azure AD Identity Protection requires Azure AD Premium P2 licenses, which are included with Microsoft 365 E5.

Les stratégies d’identité et d’accès aux appareils sont définies pour une utilisation à trois niveaux :Identity and device access policies are defined to be used in three tiers:

  • La protection de base constitue un niveau de sécurité minimal pour les identités et appareils qui accèdent à vos applications et données.Baseline protection is a minimum level of security for your identities and devices that access your apps and data.
  • La protection sensible propose une sécurité supplémentaire pour les données spécifiques.Sensitive protection provides additional security for specific data. Les identités et les appareils doivent démontrer des niveaux de sécurité et d’intégrité des appareils plus élevés.Identities and devices are subject to higher levels of security and device health requirements.
  • La protection des environnements comportant des données hautement réglementées ou classifiées est généralement limitée à de petites quantités de données hautement classifiées, comportant des secrets commerciaux ou soumises à des réglementations sur les données.Protection for environments with highly regulated or classified data is for typically small amounts of data that are highly classified, contain trade secrets, or is subject to data regulations. Les identités et les appareils doivent démontrer des niveaux de sécurité et d’intégrité des appareils bien plus élevés.Identities and devices are subject to much higher levels of security and device health requirements.

Ces niveaux de protection et les configurations correspondantes apportent des niveaux de protection cohérents selon les données, les identités et les appareils.These tiers and their corresponding configurations provide consistent levels of protection across your data, identities, and devices.

Microsoft recommande vivement de configurer et de déployer les stratégies d’identité et d’accès aux appareils dans votre organisation, notamment des paramètres spécifiques pour Microsoft Teams, Exchange Online et SharePoint.Microsoft highly recommends configuring and rolling out identity and device access policies in your organization, including specific settings for Microsoft Teams, Exchange Online, and SharePoint. Pour plus d’informations, voir Configurations des identités et de l’accès aux appareils.For more information, see Identity and device access configurations.

Azure AD Identity ProtectionAzure AD Identity Protection

Cette section explique comment configurer des stratégies de protection contre la compromission d’informations d’identification consistant pour un attaquant à déterminer le nom de compte et le mot de passe d’un utilisateur afin d’accéder aux services et données cloud d’une organisation.In this section, you'll learn how to configure policies that protect against credential compromise, where an attacker determines a user’s account name and password to gain access to an organization’s cloud services and data. Azure Active Directory Identity Protection offre plusieurs méthodes pour empêcher un pirate de compromettre les informations d’identification d’un compte d’utilisateur.Azure AD Identity Protection provides a number of ways to help prevent an attacker from compromising a user account's credentials.

Azure AD Identity Protection vous permet de :With Azure AD Identity Protection, you can:

FonctionnalitéCapability DescriptionDescription
déterminer et résoudre les vulnérabilités potentielles dans les identités de votre organisation ;Determine and address potential vulnerabilities in your organization’s identities Azure AD utilise le Machine Learning pour détecter les anomalies et les activités suspectes, telles que les connexions et les activités post-connexion.Azure AD uses machine learning to detect anomalies and suspicious activity, such as sign-ins and post-sign-in activities. Grâce à ces données, Azure AD Identity Protection génère des rapports et des alertes qui vous permettent d’évaluer les problèmes et de prendre des mesures.Using this data, Azure AD Identity Protection generates reports and alerts that help you evaluate the issues and take action.
Détecter des actions douteuses qui sont liées aux identités de votre organisation et y répondre automatiquementDetect suspicious actions that are related to your organization’s identities and respond to them automatically Vous pouvez configurer des stratégies qui répondent automatiquement aux problèmes détectés lorsqu’un niveau de risque spécifié est atteint.You can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Outre les autres contrôles d’accès conditionnel fournis par Azure AD et Microsoft Intune, ces stratégies peuvent automatiquement bloquer l’accès ou prendre des mesures correctives, qui incluent des réinitialisations de mot de passe et impliquent Azure AD Multi-Factor Authentication connexions suivantes.These policies, in addition to other Conditional Access controls provided by Azure AD and Microsoft Intune, can either automatically block access or take corrective actions, including password resets and requiring Azure AD Multi-Factor Authentication for subsequent sign-ins.
Examiner les incidents suspects et les résoudre avec des actions d’administrationInvestigate suspicious incidents and resolve them with administrative actions Vous pouvez examiner des événements à risque en utilisant les informations sur l’incident de sécurité. Des flux de travail de base sont disponibles pour effectuer le suivi des enquêtes et lancer des actions de correction, telles que des réinitialisations du mot de passe.You can investigate risk events using information about the security incident. Basic workflows are available to track investigations and initiate remediation actions, such as password resets.

Plus d’informations sur Azure AD Identity Protection.See more information about Azure AD Identity Protection.

Reportez-vous à la rubrique des étapes pour activer Azure AD Identity Protection.See the steps to enable Azure AD Identity Protection.

Ressources techniques pour l’administrateur pour l’authentification multifacteur et la connexion sécuriséeAdmin technical resources for MFA and secure sign-ins

Étape suivanteNext step

Gérez les comptes d’utilisateursManage your user accounts