Gérer les comptes d’accès d’urgence dans Azure Active Directory B2C
Il est important d’éviter de bloquer par inadvertance votre organisation Azure Active Directory B2C (Azure AD B2C), car vous ne pouvez pas vous connecter ou activer un autre compte d’utilisateur en tant qu’administrateur. Vous pouvez pallier l’impact d’un défaut d’accès administratif en créant deux ou plusieurs comptes d’accès d’urgence dans votre organisation.
Lorsque vous configurez ces comptes, les conditions suivantes doivent être remplies :
Les comptes d’accès d’urgence ne doivent pas être associés à un utilisateur individuel de l’organisation. Assurez-vous que vos comptes ne sont pas connectés avec des téléphones mobiles fournis par des employés, des jetons matériels qui voyagent avec des employés individuels ou d’autres informations d’identification spécifiques aux employés. Cette précaution de sécurité couvre les cas où un employé n’est pas joignable alors que les informations d’identification doivent être fournies. Il est important de s’assurer que tous les appareils inscrits sont conservés dans un endroit sûr et connu, disposant de plusieurs moyens de communication avec Azure AD B2C.
Utilisez l’authentification forte pour vos comptes d’accès d’urgence et assurez-vous qu’elle n’utilise pas les mêmes méthodes d’authentification que vos autres comptes d’administration.
L’appareil ou les informations d’identification ne doivent pas expirer ou faire potentiellement l’objet d’un nettoyage automatisé en raison d’une utilisation insuffisante.
Prérequis
- Si vous n’avez pas encore créé votre propre locataire Azure AD B2C, créez-en un maintenant. Vous pouvez utiliser un locataire Azure AD B2C existant.
- Comprendre les comptes d’utilisateur dans Azure AD B2C.
- Comprendre les rôles utilisateur pour contrôler l’accès aux ressources.
- Comprendre l’Accès conditionnel
Créer des comptes d’accès d’urgence
Créez plusieurs comptes d’accès d’urgence. Ces comptes doivent être des comptes cloud uniquement qui utilisent le domaine .onmicrosoft.com et qui ne sont pas fédérés ou synchronisés à partir d’un environnement local.
Pour créer un compte d’accès d’urgence, effectuez les étapes suivantes :
Connectez-vous au portail Azure en tant qu’administrateur général Azure AD existant. Si vous utilisez votre compte Microsoft Entra, vérifiez que vous utilisez le répertoire qui contient votre locataire Azure AD B2C :
Sélectionnez l’icône Répertoires + abonnements dans la barre d’outils du portail.
Sur la page Paramètres du portail | Répertoires + abonnements, recherchez votre répertoire AD B2C Azure dans la liste Nom de répertoire, puis sélectionnez Basculer.
Sous Services Azure, sélectionnez Azure AD B2C. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
Dans le menu de gauche, sous Gérer, sélectionnez Utilisateurs.
Sélectionnez + Nouvel utilisateur.
Sélectionnez Create user (Créer un utilisateur).
Sous Identité :
En regard de Nom d’utilisateur, entrez un nom d’utilisateur unique tel que compte d’urgence.
En regard de Nom, entrez un nom tel que Compte d’urgence.
Sous Mot de passe, entrez votre mot de passe unique.
Sous Groupes et rôles
Sélectionnez Utilisateur.
Dans le volet qui s’affiche, recherchez et sélectionnez Administrateur général, puis sélectionnez le bouton Sélectionner.
Sous Paramètres, sélectionnez le Lieu d’utilisation approprié.
Sélectionnez Create (Créer).
Stocker les informations d’identification de compte en toute sécurité.
Après avoir créé vos comptes d’urgence, vous devez effectuer les opérations suivantes :
Veillez à exclure au moins un compte de l’authentification multi-facteur par téléphone
Si vous utilisez l’Accès conditionnel, au moins un compte d’accès d’urgence doit être exclu de toutes les stratégies d’accès conditionnel.