Se connecter à Visual Studio avec des comptes qui nécessitent l’authentification multifacteur (MFA)

  • Article

Dans cet article, vous apprenez à utiliser Visual Studio avec des comptes qui nécessitent l’authentification multifacteur (MFA).

Pourquoi activer des stratégies MFA ?

Quand vous collaborez avec des utilisateurs invités externes, pensez à protéger vos applications et vos données avec des stratégies d’accès conditionnel comme l’authentification multifacteur (MFA).

Une fois activées, les utilisateurs invités doivent utiliser une étape de plus que l’entrée du nom d’utilisateur et du mot de passe pour accéder à vos ressources, et doivent satisfaire à des exigences de sécurité supplémentaires. Ces stratégies peuvent être appliquées au niveau du locataire, d’une application ou d’un utilisateur individuel invité, de la même façon qu’elles peuvent être activées pour les membres de votre propre organisation.

Comment l’expérience Visual Studio est-elle affectée par les stratégies MFA ?

Les versions de Visual Studio antérieures à 16.6 peuvent avoir des expériences d’authentification dégradées quand elles sont utilisées avec des comptes qui ont des stratégies d’accès conditionnel activées (comme MFA), et qui sont associés à plusieurs locataires.

Ces problèmes peuvent amener votre instance de Visual Studio à demander une réauthentification plusieurs fois par jour. Vous devez peut-être entrer à nouveau vos informations d’identification pour les locataires précédemment authentifiés, même au cours de la même session Visual Studio.

Utilisation de Visual Studio avec des stratégies MFA

Vous pouvez accéder aux ressources sécurisées via des stratégies d’autorité de certification comme MFA dans Visual Studio. Pour utiliser ce workflow amélioré, vous devez vous inscrire en utilisant le navigateur web par défaut de votre système comme mécanisme pour ajouter et réauthentifier les comptes Visual Studio.

Vous pouvez accéder aux ressources sécurisées via des stratégies d’autorité de certification comme MFA dans Visual Studio. Pour utiliser ce flux de travail amélioré, vous devez choisir d’utiliser le navigateur web par défaut de votre système ou le répartiteur d’authentification Windows (disponible dans Visual Studio version 17.5, mais nous vous recommandons d’utiliser Visual Studio version 17.7 pour une expérience optimale) comme mécanisme d’ajout et de réauthentification des comptes Visual Studio.

Avertissement

Si vous n’utilisez pas ce workflow, vous pouvez avoir une expérience dégradée avec plusieurs invites d’authentification supplémentaires quand vous ajoutez ou réauthentifiez des comptes Visual Studio.

Activation du répartiteur d’authentification Windows

Note

Le gestionnaire de comptes web (WAM) est disponible uniquement sur Windows 10 et versions ultérieures, ainsi que Windows Server 2019 et versions ultérieures.

Pour activer ce workflow, accédez à la boîte de dialogue Options de Visual Studio (Outils > Options...), sélectionnez l’onglet Comptes, puis sélectionnez Répartiteur d’authentification Windows dans la liste déroulante Ajouter et réauthentifier des comptes en utilisant :.

Select web authentication broker from the dropdown.

Le répartiteur d’authentification Windows utilise Gestionnaire de comptes web (WAM) et offre de nombreux avantages tels que la sécurité, la prise en charge améliorée de l’authentification multifacteur et l’intégration transparente entre les comptes ajoutés au système d’exploitation et à Visual Studio.

Activation du navigateur web système

Notes

Pour une expérience optimale, nous vous recommandons d’effacer les données du navigateur web par défaut de votre système avant de continuer ce workflow. Par ailleurs, si vous avez des comptes professionnels ou scolaires dans vos paramètres Windows 10 sous Accès professionnel ou scolaire, vérifiez qu’ils sont correctement authentifiés.

Pour activer ce workflow, accédez à la boîte de dialogue Options de Visual Studio (Outils > Options...), sélectionnez l’onglet Comptes, puis sélectionnez Navigateur web système dans la liste déroulante Ajouter et réauthentifier des comptes en utilisant :.

Select system web browser from the menu.

Se connecter à d’autres comptes avec des stratégies MFA

Répartiteur d’authentification Windows

Une fois le workflow du répartiteur d’authentification Windows activé, vous pouvez vous connecter ou ajouter des comptes à Visual Studio normalement, dans la boîte de dialogue Paramètres du compte (Fichier > Paramètres de compte...). Le gestionnaire de comptes web (WAM) simplifie l’expérience de connexion en permettant aux utilisateurs de se connecter avec des comptes connus de Windows, tels que le compte connecté à votre session Windows.

Add additional accounts to Visual Studio with the Windows authentication broker workflow.

Navigateur web système

Une fois le workflow du navigateur web système activé, vous pouvez vous connecter ou ajouter des comptes à Visual Studio normalement, dans la boîte de dialogue Paramètres du compte (Fichier > Paramètres de compte...).

Add a new personalization account to Visual Studio.

Cette action ouvre le navigateur web par défaut de votre système, vous demande de vous connecter à votre compte et valide toutes les stratégies MFA nécessaires.

Pendant le processus de connexion, vous pouvez recevoir une invite supplémentaire vous demandant de rester connecté. Cette invite s’affiche probablement la deuxième fois qu’un compte est utilisé pour se connecter. Pour ne pas être obligé d’entrer à nouveau vos informations d’identification, nous vous recommandons de sélectionner Oui, car cela garantit que vos informations d’identification sont conservées entre les sessions de navigateur.

Stay signed in?

En fonction de vos activités de développement et de la configuration des ressources, vous pouvez encore être invité à entrer vos informations d’identification pendant votre session. Cela peut se produire quand vous ajoutez une nouvelle ressource ou essayez d’accéder à une ressource sans avoir précédemment répondu à ses exigences d’autorisation d’accès conditionnel/MFA.

Réauthentification d’un compte

En cas de problème avec votre compte, Visual Studio peut vous demander d’entrer à nouveau les informations d’identification de votre compte.

Screenshot showing account that needs reauthentication.

Cliquez sur Entrer à nouveau vos informations d’identification pour ouvrir le navigateur web par défaut de votre système et tenter d’actualiser automatiquement vos informations d’identification. En cas d’échec, vous êtes invité à vous connecter à votre compte et à valider toutes les stratégies d’accès conditionnel/MFA nécessaires.

Si votre compte est associé à plusieurs répertoires Azure Active et rencontre un problème d’accès avec un ou plusieurs d’entre eux, la boîte de dialogue Entrer à nouveau vos informations d’identification vous affiche les répertoires concernés et les codes d’erreur AADSTS associés.

Vous pourrez désélecifier tous les répertoires que vous ne souhaitez pas réauthentifier et poursuivre une opération de connexion régulière avec le répertoire de base, ainsi que tous les abonnés invités qui restent sélectionnés. Les répertoires désélectionnés ne seront pas accessibles pour une utilisation ultérieure tant que le filtre du compte n’aura pas été supprimé.

Reauthenticate your Visual Studio account.

Note

Pour une expérience optimale, laissez votre navigateur ouvert jusqu’à ce que toutes les stratégies d’accès conditionnel/MFA soient validées pour vos ressources. La fermeture du navigateur peut entraîner la perte de l’état MFA précédemment généré et peut entraîner des invites d’autorisation supplémentaires.

Résoudre des problèmes de connexion

Problèmes d’accès conditionnel/MFA

Si vous rencontrez des problèmes d’accès conditionnel/MFA et/ou si vous ne parvenez pas à vous connecter même quand vous utilisez le navigateur web système, essayez les étapes suivantes pour résoudre le problème :

  1. Déconnectez-vous du compte dans Visual Studio.
  2. Sélectionnez Outils>Options>Comptes> Décochez Authentifier sur tous les annuaires Azure Active Directory.
  3. Reconnectez-vous.

Notes

Après ces étapes, vous pouvez probablement vous connecter, mais votre compte est placé dans un état filtré. Dans un état filtré, seules les ressources et le locataire par défaut de votre compte sont disponibles. Tous les autres tenants et ressources Microsoft Entra deviennent inaccessibles, mais vous pouvez les rajouter manuellement.

Problèmes de préautorisation

Screenshot of a pre-authorization error dialog.

À compter de Visual Studio 2022 version 17.5, si la boîte de dialogue d’erreur précédente s’affiche, essayez les étapes suivantes pour résoudre le problème :

  1. Déconnectez-vous du compte dans Visual Studio.
  2. Reconnectez-vous.
  3. Créez un ticket Signaler un problème expliquant l’activité que vous étiez en train de faire et/ou la ressource à laquelle vous essayiez d’accéder avant de rencontrer le problème.

Notes

La création d’un ticket nous permet d’identifier les zones problématiques, et de fournir les journaux nécessaires pour investiguer et résoudre le problème.

Problèmes de connexion avec les clouds du secteur public

Screenshot of a sign-in error when trying to access government clouds.

À compter de Visual Studio 2022 version 17.5, si vous voyez la boîte de dialogue d’erreur précédente ou si vous rencontrez des problèmes pendant les opérations de connexion, essayez les étapes suivantes pour résoudre le problème :

  1. Fermez Visual Studio.
  2. Ouvrez « Invite de commandes développeur » pour votre installation Visual Studio spécifique.
  3. Entrez Set DisableWAMClientIdForVS=true. Vous pouvez également utiliser Setx DisableWAMClientIdForVS true pour définir une variable utilisateur sur votre système. Une fois que vous avez configuré une variable utilisateur, vous n’avez pas à le refaire.
  4. Après avoir défini la variable utilisateur, ouvrez Visual Studio à partir de l’invite de commandes développeur : devenv.
  5. Reconnectez-vous.

Comment refuser l’utilisation d’un tenant Microsoft Entra spécifique dans Visual Studio

Visual Studio 2019 version 16.6 et ultérieures offre la possibilité d’exclure les locataires individuellement ou globalement, en les masquant dans Visual Studio. Le filtrage vous évite de vous authentifier sur ce locataire, mais cela signifie également que vous ne pouvez pas accéder aux ressources associées.

Cette fonctionnalité est utile quand vous avez plusieurs locataires, et que vous souhaitez optimiser votre environnement de développement en ciblant un sous-ensemble spécifique. Cela peut également vous aider dans les cas où vous ne pouvez pas valider une stratégie d’accès conditionnel/MFA particulière, car vous pouvez masquer le locataire incriminé.

Comment masquer tous les locataires

Pour masquer globalement tous les locataires, ouvrez la boîte de dialogue Paramètres de compte (Fichier > Paramètres de compte... > Options de compte) et décochez la case Authentifier sur tous les annuaires Azure Active Directory.

Si vous décochez cette option, vous vous authentifiez uniquement sur le locataire par défaut du compte. Cela signifie également que vous ne pouvez pas accéder aux ressources associées aux autres locataires sur lesquels votre compte peut être invité.

Comment masquer des locataires individuels

Pour filtrer les locataires associés à votre compte Visual Studio, ouvrez la boîte de dialogue Paramètres de compte (Fichier > Paramètres de compte...) et cliquez sur Appliquer le filtre.

Apply filter.

La boîte de dialogue Filtrer le compte s’affiche, ce qui vous permet de sélectionner les locataires que vous souhaitez utiliser avec votre compte.

Select account to filter.

Une fois que vous avez décoché le locataire à filtrer, les boîtes de dialogue Paramètres de compte et Filtrer le compte affichent l’état filtré.

Screenshot showing the filtered tenant state on the Account Settings and the Filter Account dialogs

Contenu connexe