Partage via

Qu’est-ce que l’authentification Microsoft Entra ?

  • Article

L’une des principales fonctionnalités d’une plateforme d’identités consiste à vérifier, ou authentifier, les informations d’identification quand l’utilisateur se connecte à un appareil, à une application ou à un service. Dans Microsoft Entra ID, l’authentification implique plus que la vérification d’un nom d’utilisateur et d’un mot de passe. Pour améliorer la sécurité et réduire le besoin d’assistance du support technique, l’authentification Microsoft Entra inclut les composants suivants :

  • Réinitialisation du mot de passe en libre-service
  • Authentification multifacteur Microsoft Entra
  • Intégration hybride pour réécrire les modifications de mot de passe dans l’environnement local
  • Intégration hybride pour appliquer des stratégies de protection par mot de passe pour un environnement local
  • Authentification sans mot de passe

Regardez notre courte vidéo pour en savoir plus sur ces composants d’authentification.

Améliorer l’expérience de l’utilisateur final

Microsoft Entra ID permet de protéger l’identité d’un utilisateur et de simplifier son expérience de connexion. Les fonctionnalités telles que la réinitialisation de mot de passe en libre-service permettent aux utilisateurs de mettre à jour ou de modifier leurs mots de passe à l’aide d’un navigateur web à partir de n’importe quel appareil. Cette fonctionnalité est particulièrement utile lorsque l’utilisateur a oublié son mot de passe ou son compte est verrouillé. Sans attendre qu’un support technique ou un administrateur fournisse un support technique, un utilisateur peut se débloquer et continuer à fonctionner.

L’authentification multifacteur Microsoft Entra permet aux utilisateurs de choisir une forme d’authentification supplémentaire lors de la connexion, comme un appel téléphonique ou une notification d’application mobile. Cette capacité réduit l’exigence d’une seule forme fixe d’authentification secondaire comme un jeton matériel. Si l’utilisateur n’a actuellement pas une forme d’authentification supplémentaire, il peut choisir une autre méthode et continuer à fonctionner.

méthodes d’authentification utilisées à l’écran de connexion

L’authentification sans mot de passe supprime la nécessité pour l’utilisateur de créer et de mémoriser un mot de passe sécurisé. Les fonctionnalités telles que les clés de sécurité Windows Hello Entreprise ou FIDO2 permettent aux utilisateurs de se connecter à un appareil ou une application sans mot de passe. Cette capacité peut réduire la complexité de la gestion des mots de passe dans différents environnements.

Réinitialisation du mot de passe en libre-service

La réinitialisation de mot de passe en libre-service permet aux utilisateurs de modifier ou de réinitialiser leur mot de passe, sans intervention de l’administrateur ou du support technique. Si le compte d’un utilisateur est verrouillé ou qu’il oublie son mot de passe, il peut suivre les invites pour se débloquer et revenir au travail. Cette capacité réduit les appels de support technique et la perte de productivité lorsqu’un utilisateur ne peut pas se connecter à son appareil ou à une application.

La réinitialisation de mot de passe en libre-service fonctionne dans les scénarios suivants :

  • modification du mot de passe : lorsqu’un utilisateur connaît son mot de passe, mais qu’il souhaite le remplacer par quelque chose de nouveau.
  • Réinitialisation du mot de passe : lorsqu’un utilisateur ne peut pas se connecter, par exemple lorsqu’il a oublié le mot de passe et souhaite réinitialiser son mot de passe.
  • déverrouillage du compte - lorsqu’un utilisateur ne peut pas se connecter, car son compte est verrouillé et souhaite déverrouiller son compte.

Lorsqu’un utilisateur met à jour ou réinitialise son mot de passe à l’aide de la réinitialisation de mot de passe en libre-service, ce mot de passe peut également être réécrit dans un environnement Active Directory local. La réécriture du mot de passe permet à un utilisateur d’utiliser immédiatement ses informations d’identification mises à jour avec des appareils et des applications locaux.

Authentification multifacteur Microsoft Entra

L’authentification multifacteur est un processus où un utilisateur est invité pendant le processus de connexion pour obtenir une forme supplémentaire d’identification, par exemple pour entrer un code sur son téléphone portable ou fournir une analyse d’empreinte digitale.

Si vous utilisez uniquement un mot de passe pour authentifier un utilisateur, il laisse un vecteur non sécurisé pour l’attaque. Si le mot de passe est faible ou a été exposé ailleurs, est-il vraiment l’utilisateur qui se connecte avec le nom d’utilisateur et le mot de passe, ou s’il s’agit d’un attaquant ? Lorsque vous avez besoin d’une deuxième forme d’authentification, la sécurité est augmentée, car ce facteur supplémentaire n’est pas facile pour un attaquant d’obtenir ou de dupliquer.

image conceptuelle des différentes formes d’authentification multifacteur

L’authentification multifacteur Microsoft Entra fonctionne en nécessitant au moins deux des méthodes d’authentification suivantes :

  • Quelque chose que vous connaissez, généralement un mot de passe.
  • Quelque chose que vous avez, tel qu’un appareil approuvé qui n’est pas facilement dupliqué, comme un téléphone ou une clé matérielle.
  • Un élément biométrique identifiant votre personne, tel qu’une empreinte digitale ou un scan du visage.

Les utilisateurs peuvent s’inscrire à la réinitialisation de mot de passe en libre-service et à l’authentification multifacteur Microsoft Entra en une seule étape pour simplifier l’expérience d’intégration. Les administrateurs peuvent définir les formes d’authentification secondaire qui peuvent être utilisées. L’authentification multifacteur Microsoft Entra peut également être nécessaire lorsque les utilisateurs effectuent une réinitialisation de mot de passe en libre-service pour sécuriser davantage ce processus.

Protection par mot de passe

Par défaut, Microsoft Entra ID bloque les mots de passe faibles tels que Mot de passe1. Une liste globale de mots de passe interdits est automatiquement mise à jour et appliquée qui inclut des mots de passe faibles connus. Si un utilisateur Microsoft Entra tente de définir son mot de passe sur l’un de ces mots de passe faibles, il reçoit une notification pour choisir un mot de passe plus sécurisé.

Pour renforcer la sécurité, vous pouvez définir des stratégies de protection de mot de passe personnalisées. Ces stratégies peuvent utiliser des filtres pour bloquer toute variante d’un mot de passe contenant un nom tel que Contoso ou un emplacement tel que Londres, par exemple.

Pour la sécurité hybride, vous pouvez intégrer la protection par mot de passe Microsoft Entra à un environnement Active Directory local. Un composant installé dans l’environnement local reçoit la liste globale des mots de passe interdits et les stratégies de protection de mot de passe personnalisées de Microsoft Entra ID, et les contrôleurs de domaine les utilisent pour traiter les événements de modification de mot de passe. Cette approche hybride garantit que, quelle que soit la façon ou l’emplacement où un utilisateur modifie ses informations d’identification, vous appliquez l’utilisation de mots de passe forts.

Authentification sans mot de passe

L’objectif final pour de nombreux environnements est de supprimer l’utilisation des mots de passe dans le cadre d’événements de connexion. Les fonctionnalités telles que la protection par mot de passe Azure ou l’authentification multifacteur Microsoft Entra permettent d’améliorer la sécurité, mais un nom d’utilisateur et un mot de passe restent une forme d’authentification faible qui peut être exposée ou attaquée par force brute.

Sécurité et commodité avec le processus d’authentification qui conduit à des sans mot de passe

Lorsque vous vous connectez avec une méthode sans mot de passe, les informations d’identification sont fournies à l’aide de méthodes telles que la biométrie avec Windows Hello Entreprise ou une clé de sécurité FIDO2. Ces méthodes d’authentification ne peuvent pas être facilement dupliquées par un attaquant.

Microsoft Entra ID permet de s’authentifier en mode natif à l’aide de méthodes sans mot de passe pour simplifier l’expérience de connexion pour les utilisateurs et réduire le risque d’attaques.

Étapes suivantes

Pour commencer, consultez le didacticiel pour la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur de Microsoft Entra .

Pour en savoir plus sur les concepts de réinitialisation de mot de passe en libre-service, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service Microsoft Entra.

Pour en savoir plus sur les concepts d’authentification multifacteur, consultez comment fonctionne l’authentification multifacteur de Microsoft Entra .