Authentification multifacteur par défaut du système - Stratégie des méthodes d’authentification
L’authentification multifacteur (MFA) par défaut du système invite les utilisateurs à se connecter en utilisant la méthode la plus sécurisée qu’ils ont inscrite. Il s’agit d’une amélioration importante de la sécurité pour les utilisateurs qui s’authentifient via les transports de télécommunications. Les administrateurs peuvent activer l’authentification multifacteur (MFA) par défaut du système pour améliorer la sécurité de la connexion et décourager les méthodes de connexion moins sécurisées telles que le service de message court (SMS).
Par exemple, si un utilisateur a inscrit les notifications Push SMS et Microsoft Authenticator comme méthodes d’authentification multifacteur (MFA), l’authentification multifacteur (MFA) par défaut du système invite l’utilisateur à se connecter en utilisant la méthode de notification Push la plus sécurisée. L’utilisateur peut toujours choisir de se connecter en utilisant une autre méthode, mais il est d’abord invité à essayer la méthode la plus sécurisée qu’il a inscrite.
L’authentification multifacteur (MFA) par défaut du système est un paramètre managé par Microsoft, qui correspond à une stratégie à trois états. La valeur managée par Microsoft de l’authentification multifacteur préférée par le système est activée. Si vous ne souhaitez pas activer l’authentification multifacteur (MFA) par défaut du système, remplacez l’état managé par Microsoft vers Désactivé ou excluez les utilisateurs et les groupes de la stratégie.
Une fois l’authentification multifacteur (MFA) par défaut du système activée, le système d’authentification effectue tout le travail. Les utilisateurs n’ont pas besoin de définir une méthode d’authentification par défaut car le système détermine et présente toujours la méthode la plus sécurisée qu’ils ont inscrite.
Activer l’authentification multifacteur par défaut du système dans le Centre d’administration Microsoft Entra
Par défaut, l’authentification multifacteur (MFA) par défaut du système est managée par Microsoft et désactivée pour tous les utilisateurs.
Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
Accédez à Protection>Méthodes d’authentification>Paramètres.
Pour Authentification multifacteur préférée par le système, choisissez d’activer ou de désactiver explicitement la fonctionnalité, puis d’inclure ou d’exclure des utilisateurs. Les groupes exclus sont prioritaires sur les groupes inclus.
Par exemple, la capture d’écran suivante montre comment activer explicitement l’authentification multifacteur par défaut du système pour le groupe Ingénierie uniquement.
Une fois que vous avez terminé d’apporter des modifications, cliquez sur Enregistrer.
Activer l’authentification multifacteur par défaut du système à l’aide des API Graph
Pour activer au préalable l’authentification multifacteur (MFA) par défaut du système, vous devez choisir un seul groupe cible dans la configuration du schéma, comme indiqué dans l’exemple Requête.
Propriétés de configuration des fonctionnalités de la méthode d’authentification
Par défaut, l’authentification multifacteur (MFA) par défaut du système est managée par Microsoft et désactivée.
| Propriété | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Entité unique exclue de cette fonctionnalité. Vous ne pouvez exclure qu’un seul groupe, dynamique ou imbriqué, de l’authentification multifacteur (MFA) par défaut du système. |
| includeTarget | featureTarget | Entité unique incluse dans cette fonctionnalité. Vous ne pouvez inclure qu’un seul groupe, dynamique ou imbriqué, dans l’authentification multifacteur (MFA) par défaut du système. |
| State | advancedConfigState | Les valeurs possibles sont les suivantes : enabled active explicitement la fonctionnalité pour le groupe sélectionné. disabled désactive explicitement la fonctionnalité pour le groupe sélectionné. default permet à Microsoft Entra ID de gérer l’activation ou non de la fonctionnalité pour le groupe sélectionné. |
Propriétés de ciblage des fonctionnalités
L’authentification multifacteur (MFA) par défaut du système peut être activée pour un seul groupe uniquement, dynamique ou imbriqué.
| Propriété | Type | Description |
|---|---|---|
| id | String | ID de l’entité ciblée. |
| targetType | featureTargetType | Type d’entité ciblée, comme le groupe, le rôle ou l’unité administrative. Les valeurs possibles sont les suivantes : 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Utilisez le point de terminaison d’API suivant pour activer systemCredentialPreferences et inclure ou exclure des groupes :
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Notes
Dans l’Explorateur Graph, vous devez accepter les autorisations Policy.ReadWrite.AuthenticationMethod.
Requête
L’exemple suivant exclut un groupe cible échantillon et inclut tous les utilisateurs. Pour plus d'informations, consultez Mettre à jour authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Comment l’authentification multifacteur (MFA) par défaut du système détermine-t-elle la méthode la plus sécurisée ?
Lorsqu’un utilisateur se connecte, le processus d’authentification vérifie quelles méthodes d’authentification sont inscrites pour cet utilisateur. L’utilisateur est invité à se connecter avec la méthode la plus sécurisée dans l’ordre suivant. L’ordre des méthodes d’authentification est dynamique. Il est mis à jour au fur et à mesure de l’évolution du paysage de la sécurité et de l’émergence de meilleures méthodes d’authentification. En raison de problèmes connus concernant l’ABC et l’authentification multifacteur par défaut du système, nous avons déplacé l’authentification CBA en bas de la liste. Cliquez sur le lien pour obtenir plus d’informations sur chaque méthode.
- Passe d’accès temporaire
- Clè d’accès (FIDO2)
- Notifications Microsoft Authenticator
- Mot de passe à usage unique et à durée définie (TOTP)1
- Téléphonie2
- Authentification par certificat
1Inclut le TOTP matériel ou logiciel de Microsoft Authenticator, Authenticator Lite ou des applications tierces.
2Inclut les SMS et les appels vocaux.
Comment l’authentification multifacteur (MFA) par défaut du système affecte-t-elle l’extension NPS ?
L’authentification multifacteur (MFA) par défaut du système n’affecte pas les utilisateurs qui se connectent via l’extension NPS (Network Policy Server). Ces utilisateurs ne voient aucune modification dans leur expérience de connexion.
Que se passe-t-il pour les utilisateurs dont la stratégie des méthodes d’authentification n’est pas spécifiée mais dont la stratégie d’authentification multifacteur (MFA) héritée à l’échelle du locataire est activée ?
L’authentification multifacteur (MFA) par défaut du système s’applique également aux utilisateurs dont la stratégie héritée d’authentification multifacteur (MFA) est activée.
