Gérer une méthode d’authentification externe dans Microsoft Entra ID (préversion)
Une méthode d’authentification externe (EAM) permet aux utilisateurs de choisir un fournisseur externe pour répondre aux exigences de l’authentification multifacteur (MFA) quand ils se connectent à Microsoft Entra ID. Une EAM peut répondre aux exigences MFA provenant des stratégies d’accès conditionnel, des stratégies des risques des connexions de Protection des ID Microsoft Entra et de l’activation de Privileged Identity Management (PIM), et quand l’application elle-même exige la MFA.
Les EAM diffèrent de la fédération où l’identité de l’utilisateur est générée et gérés dans Microsoft Entra ID. Avec la fédération, l’identité est gérée dans le fournisseur d’identité externe. Les EAM nécessitent au minimum une licence Microsoft Entra ID P1.
Métadonnées requises pour configurer une méthode d’authentification externe
Pour créer une méthode d’authentification externe, vous avez besoin des informations suivantes provenant de votre fournisseur d’authentification externe :
Un ID d’application est généralement une application multilocataire provenant de votre fournisseur, qui est utilisée dans le cadre de l’intégration. Vous devez fournir le consentement administrateur pour cette application dans votre locataire.
Un ID client est un identificateur provenant de votre fournisseur, utilisé dans le cadre de l’intégration de l’authentification pour identifier le service Microsoft Entra ID demandant l’authentification.
Une URL de découverte est le point de terminaison de découverte OpenID Connect (OIDC) pour le fournisseur d’authentification externe.
Remarque
Consultez Configurer un nouveau fournisseur d’authentification externe avec Microsoft Entra ID pour configurer l’inscription de l’application.
Gérer une méthode d’authentification externe dans le centre d’administration Microsoft Entra
Les méthodes d’authentification externes sont gérées avec la stratégie Méthodes d’authentification de Microsoft Entra ID, tout comme les méthodes intégrées.
Créer une méthode d’authentification externe dans le centre d’administration
Avant de créer une méthode d’authentification externe dans le centre d’administration, vérifiez que vous disposez des métadonnées pour configurer une méthode d’authentification externe.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Protection>Méthodes d’authentification>Ajouter une méthode d’authentification externe (préversion).
Ajoutez des propriétés de méthode en fonction des informations de configuration provenant de votre fournisseur. Par exemple :
- Nom : Adatum
- ID client : 00001111-aaaa-2222-bbbb-3333cccc4444
- Point de terminaison de découverte :
https://adatum.com/.well-known/openid-configuration
- ID d’application : 11112222-bbbb-3333-cccc-4444dddd5555
Important
Le nom d’affichage est le nom affiché à l’utilisateur dans le sélecteur de méthodes. Il ne peut pas être modifié une fois la méthode créée. Les noms d’affichage doivent être uniques.
Vous avez besoin au minimum du rôle Administrateur de rôle privilégié afin d’octroyer un consentement administrateur pour l’application du fournisseur. Si vous n’avez pas le rôle requis pour accorder le consentement, vous pouvez néanmoins enregistrer votre méthode d’authentification, mais vous ne pouvez pas l’activer tant que le consentement n’est pas accordé.
Une fois que vous avez entré les valeurs provenant de votre fournisseur, appuyez sur le bouton pour demander l’octroi du consentement administrateur à l’application afin qu’elle puisse lire les informations requises de l’utilisateur pour s’authentifier correctement. Vous êtes invité à vous connecter avec un compte disposant d’autorisations d’administrateur et à accorder les autorisations requises à l’application du fournisseur.
Une fois connecté, cliquez sur Accepter pour accorder le consentement administrateur :
Vous pouvez voir les autorisations que l’application du fournisseur demande avant d’accorder le consentement. Une fois que vous accordez le consentement administrateur et que la modification est répliquée, la page s’actualise pour montrer que le consentement administrateur a été accordé.
Si l’application dispose d’autorisations, vous pouvez également activer la méthode avant d’enregistrer. Sinon, vous devez enregistrer la méthode dans un état désactivé et l’activer une fois que le consentement a été accordé à l’application.
Une fois la méthode activée, tous les utilisateurs dans l’étendue peuvent choisir la méthode pour les invites de l’authentification multifacteur. Si le consentement n’est pas approuvé pour l’application du fournisseur, les connexions avec la méthode échouent.
Si l’application est supprimée ou n’a plus d’autorisation, les utilisateurs voient une erreur et la connexion échoue. La méthode ne peut pas être utilisée.
Configurer une méthode d’authentification externe dans le centre d’administration
Pour gérer vos méthodes d’authentification externes dans le centre d’administration Microsoft Entra, ouvrez la stratégie Méthodes d’authentification. Sélectionnez le nom de la méthode pour ouvrir les options de configuration. Vous pouvez choisir les utilisateurs qui sont inclus ou exclus pour l’utilisation de cette méthode.
Supprimer une méthode d’authentification externe dans le centre d’administration
Si vous ne voulez plus que vos utilisateurs puissent utiliser la méthode d’authentification externe, vous pouvez :
- Définir Activer sur Désactivé pour enregistrer la configuration de la méthode
- Cliquer sur Supprimer pour supprimer la méthode
Gérer une méthode d’authentification externe en utilisant Microsoft Graph
Pour gérer la stratégie Méthodes d’authentification en utilisant Microsoft Graph, vous avez besoin de l’autorisation Policy.ReadWrite.AuthenticationMethod
. Pour plus d'informations, consultez Mettre à jour authenticationMethodsPolicy.
Expérience utilisateur
Les utilisateurs pour lesquels la méthode d’authentification externe est activée peuvent l’utiliser quand ils se connectent et que l’authentification multifacteur est requise.
Remarque
Nous travaillons activement à la prise en charge de l’authentification multifacteur par défaut du système avec des méthodes d’authentification externes.
Si l’utilisateur a d’autres moyens de se connecter et que l’authentification multifacteur par défaut du système est activée, ces autres méthodes s’affichent dans l’ordre par défaut. L’utilisateur peut choisir d’utiliser une autre méthode, puis sélectionner la méthode d’authentification externe. Par exemple, si Authenticator est activé comme autre méthode pour l’utilisateur, il est invité à entrer le nombre correspondant.
Si l’utilisateur n’a pas d’autres méthodes activées, il peut seulement choisir la méthode d’authentification externe. Il est redirigé vers le fournisseur d’authentification externe pour effectuer l’authentification.
Inscription de la méthode d’authentification pour les EAM
Dans la préversion, tous les utilisateurs d’un groupe d’inclusion pour l’EAM sont considérés comme compatibles MFA et peuvent utiliser la méthode d’authentification externe pour satisfaire l’authentification multifacteur. Les utilisateurs compatibles MFA en raison d’une cible d’inclusion pour un EAM ne sont pas inclus dans les rapports sur l’inscription de méthode d’authentification.
Remarque
Nous travaillons activement à l’ajout de fonctionnalités d’inscription pour les EAM. Une fois l’inscription ajoutée, les utilisateurs qui utilisaient précédemment un EAM devront être inscrits auprès de l’Entra ID avant d’être invités à l’utiliser pour satisfaire l’authentification multifacteur.
Utilisation en parallèle de méthodes d’authentification externes et de contrôles personnalisés d’accès conditionnel
Des méthodes d’authentification externes et des contrôles personnalisés peuvent fonctionner en parallèle. Microsoft recommande aux administrateurs de configurer deux stratégies d’accès conditionnel :
- Une stratégie pour appliquer le contrôle personnalisé
- Une autre stratégie avec l’octroi de l’authentification multifacteur requis
Incluez un groupe de tests d’utilisateurs pour chaque stratégie, mais pas pour les deux. Si un utilisateur est inclus dans les deux stratégies ou dans une stratégie avec les deux conditions, il doit satisfaire à l’authentification multifacteur lors de la connexion. Il doit également satisfaire au contrôle personnalisé, ce qui le redirige une deuxième fois vers le fournisseur externe.
Étapes suivantes
Pour plus d’informations sur la gestion des méthodes d’authentification, consultez Gérer les méthodes d’authentification pour Microsoft Entra ID.
Pour obtenir des informations de référence sur les fournisseurs de méthode d’authentification externe, consultez Informations de référence sur les fournisseurs de méthodes externes d’authentification multifacteur de Microsoft Entra (préversion).