Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
Microsoft recommande les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés d’accès (FIDO2) et l’application Microsoft Authenticator car elles fournissent l’expérience de connexion la plus sécurisée. Bien qu’un utilisateur puisse se connecter à l’aide d’autres méthodes courantes comme un nom d’utilisateur et un mot de passe, les mots de passe doivent être remplacés par des méthodes d’authentification plus sécurisées.
L’authentification multifacteur de Microsoft Entra ajoute une couche de sécurité supplémentaire par rapport à l’utilisation d’un simple mot de passe lors de la connexion d’un utilisateur. L’utilisateur peut être invité à fournir d’autres formes d’authentification, comme répondre à une notification Push, entrer un code à partir d’un jeton logiciel ou matériel, ou répondre à un SMS ou à un appel téléphonique.
Pour simplifier l’expérience d’intégration des utilisateurs et s’inscrire à MFA et à la réinitialisation de mot de passe en libre-service (SSPR), nous vous recommandons d’activer l’inscription d’informations de sécurité combinée. À des fins de résilience, nous vous recommandons de demander aux utilisateurs d’enregistrer plusieurs méthodes d’authentification. Lorsqu’une méthode n’est pas disponible pour un utilisateur lors d’une connexion ou SSPR, il peut choisir de s’authentifier avec une autre méthode. Pour plus d’informations, consultez Créer une stratégie de gestion du contrôle d’accès résiliente dans Microsoft Entra ID.
Fonctionnement de chaque méthode d’authentification
Certaines méthodes d’authentification peuvent être utilisées en tant que facteur principal lorsque vous vous connectez à une application ou un appareil, par exemple à l’aide d’une clé de sécurité FIDO2 ou d’un mot de passe. D’autres méthodes d’authentification sont disponibles uniquement comme facteur secondaire lorsque vous utilisez une authentification multifacteur Microsoft Entra ou une SSPR.
Le tableau suivant décrit quand une méthode d’authentification peut être utilisée lors d’un événement de connexion :
| Méthode | Authentification principale | Authentification secondaire |
|---|---|---|
| Windows Hello Entreprise | Oui | MFA* |
| Notification Push Microsoft Authenticator | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Microsoft Authenticator sans mot de passe | Oui | Non* |
| Clé d’accès Microsoft Authenticator | Oui | MFA |
| Authenticator Lite | Non | MFA |
| Clè d’accès (FIDO2) | Oui | MFA |
| Authentification par certificat | Oui | MFA |
| Jetons OATH matériels (préversion) | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Jetons OATH logiciels | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Méthodes d’authentification externes (préversion) | Non | MFA |
| Passe d’accès temporaire (TAP) | Oui | MFA |
| Détails | Oui | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Appel vocal | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Mot de passe | Oui | No |
* La fonctionnalité Windows Hello Entreprise, en soi, ne sert pas d’informations d’identification MFA de niveau supérieur. Par exemple, une demande d’authentification MFA liée à la fréquence de connexion ou à une requête SAML contenant forceAuthn=true. La fonctionnalité Windows Hello Entreprise peut servir d’informations d’identification MFA de niveau supérieur en étant utilisée dans l’authentification FIDO2. Pour que cela fonctionne correctement, l’authentification FIDO2 doit être inscrite chez les utilisateurs.
* La connexion sans mot de passe peut être utilisée en guise d’authentification secondaire uniquement si l’authentification basée sur un certificat est utilisée comme authentification principale. Pour plus d’informations, consultez Immersion technique avec l’authentification basée sur les certificats Microsoft Entra.
Vous pouvez configurer toutes ces méthodes d’authentification dans le centre d’administration Microsoft Entra, et de plus en plus à l’aide de l’API REST Microsoft Graph.
Pour en savoir plus sur le fonctionnement de chaque méthode d’authentification, consultez les articles conceptuels suivants :
- Windows Hello Entreprise
- Application Microsoft Authenticator
- Authenticator Lite
- Clè d’accès (FIDO2)
- Authentification par certificat
- Jetons OATH matériel (préversion)
- Jetons OATH logiciels
- Méthodes d’authentification externes (préversion)
- Passe d’accès temporaire (TAP)
- Connexion SMS et vérification
- Vérification par appel téléphonique
- Mot de passe
Remarque
Dans Microsoft Entra ID, un mot de passe constitue souvent l’une des méthodes d’authentification principales. Vous ne pouvez pas désactiver la méthode d’authentification par mot de passe. Si vous utilisez un mot de passe en tant que facteur d'authentification principal, renforcez la sécurité des événements de connexion à l'aide de l’authentification multifacteur Microsoft Entra.
Ces autres méthodes de vérification peuvent être utilisées dans certains scénarios :
- Mots de passe d'application : utilisés pour les anciennes applications qui ne prennent pas en charge l'authentification moderne et peuvent être configurés pour l’authentification multifacteur Microsoft Entra par utilisateur.
- Questions de sécurité : utilisées uniquement pour SSPR
- Adresse e-mail : utilisée uniquement pour SSPR
Méthodes utilisables et non utilisables
Les administrateurs peuvent voir les méthodes d’authentification utilisateur dans le centre d’administration Microsoft Entra. Les méthodes utilisables sont listées en premier, suivies des méthodes non utilisables.
Chaque méthode d’authentification peut devenir inutilisable pour diverses raisons. Par exemple, un passe d’accès temporaire peut expirer ou l’attestation de la clé de sécurité FIDO2 peut échouer. Le portail est mis à jour pour indiquer la raison pour laquelle la méthode n’est pas utilisable.
Les méthodes d’authentification qui ne sont plus disponibles en raison de la condition Exiger une réinscription de l’authentification multifacteur s’affichent également ici.
Contenu connexe
Pour commencer, consultez le tutoriel sur la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur Microsoft Entra.
Pour en savoir plus sur les concepts de SSPR, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service dans Microsoft Entra.
Pour plus d’informations sur les concepts MFA, consultez Fonctionnement de l’authentification multifacteur Microsoft Entra.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.
Pour connaître les méthodes d'authentification utilisées, consultez Analyse de la méthode d'authentification de l’authentification multifacteur Microsoft Entra avec PowerShell.