Exigez une authentification multifactorielle pour les utilisateurs externes

La force de l’authentification est un contrôle d’accès conditionnel qui vous permet de définir une combinaison spécifique de méthodes d’authentification multifacteur (MFA) qu’un utilisateur externe doit suivre pour accéder à vos ressources. Ce contrôle est particulièrement utile pour restreindre l’accès externe aux applications sensibles de votre organisation. Par exemple, vous pouvez créer une stratégie d’accès conditionnel, exiger une force d’authentification résistante au hameçonnage dans la stratégie, et l’affecter aux invités et aux utilisateurs externes.

Microsoft Entra ID fournit trois forces d’authentification intégrées :

• Niveau d'authentification multifactorielle (moins restrictif) recommandé dans cet article
• Force de l’authentification multifacteur sans mot de passe
• Niveau de MFA résistant au phishing (le plus restrictif)

Vous pouvez utiliser l’une des forces intégrées ou créer une force d’authentification personnalisée basée sur les méthodes d’authentification que vous souhaitez exiger.

Dans les scénarios d’utilisateur externe, les méthodes d’authentification multifacteur qu’un locataire de ressource peut accepter varient selon que l’utilisateur termine l’authentification multifacteur dans son locataire domestique ou dans le locataire de ressource. Pour plus de détails, voir Niveau d'authentification pour les utilisateurs externes.

Remarque

Actuellement, vous pouvez uniquement appliquer des stratégies de force d’authentification aux utilisateurs externes qui s’authentifient auprès de Microsoft Entra ID. Pour les utilisateurs du code secret à usage unique par e-mail, de SAML/WS-Fed et de la fédération Google, utilisez le contrôle d’octroi d’authentification multifacteur pour exiger l’authentification multifacteur.

Configurer les paramètres d’accès interlocataire pour approuver l’authentification multifacteur

Les stratégies de force d’authentification fonctionnent conjointement avec les paramètres de confiance d’authentification multifacteur dans vos paramètres d’accès inter-locataires pour déterminer où et comment l’utilisateur externe doit effectuer l’authentification multifacteur. Un utilisateur Microsoft Entra s’authentifie d’abord avec son propre compte dans son tenant d’origine. Ensuite, lorsque cet utilisateur tente d’accéder à votre ressource, Microsoft Entra ID applique la stratégie d’accès conditionnel de la force d’authentification et vérifie si vous avez activé l’approbation authentification multifacteur.

• Si l’approbation authentification multifacteur est activée, Microsoft Entra ID vérifie la session d’authentification de l’utilisateur pour obtenir une revendication indiquant que l’authentification multifacteur a été remplie dans le locataire de domicile de l’utilisateur.
• Si la confiance d’authentification multifacteur est désactivée, le locataire de la ressource présente à l’utilisateur un défi pour compléter authentification multifacteur dans le locataire de la ressource en utilisant une méthode d’authentification acceptable.

Les méthodes d’authentification que les utilisateurs externes peuvent utiliser pour répondre aux exigences de l’authentification multifacteur sont différentes selon que l’utilisateur termine l’authentification multifacteur dans son locataire domestique ou dans le locataire de ressource. Consultez le tableau dans Force d’authentification de l’accès conditionnel.

Important

Avant de créer la stratégie d’accès conditionnel, vérifiez vos paramètres d’accès interlocataire pour vous assurer que vos paramètres d’approbation d’authentification multifacteur entrants sont configurés comme prévu.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage en raison d’une mauvaise configuration. Dans le scénario improbable où tous les administrateurs seraient verrouillés, votre compte administratif d’accès d’urgence peut être utilisé pour la connexion et la prise de mesures pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Créer une stratégie d’accès conditionnel

Effectuez les étapes suivantes pour créer une stratégie d’accès conditionnel qui applique une force d’authentification aux utilisateurs externes.

Avertissement

Si vous utilisez des méthodes d’authentification externes, celles-ci sont actuellement incompatibles avec la force d’authentification et vous devez utiliser le contrôle d’autorisation Exiger l’authentification multifacteur.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel>Stratégies.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, choisissez Sélectionner des utilisateurs et des groupes, puis sélectionnez Utilisateurs invités ou externes.
      1. Sélectionnez les types d’utilisateurs invités ou externes auxquels vous souhaitez appliquer la stratégie.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
6. Sous Ressources cibles>Ressources (anciennement applications cloud), sous Inclure ou Exclure, sélectionnez les applications que vous souhaitez inclure ou exclure des exigences de force d’authentification.
7. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger la force d’authentification, puis sélectionnez la force d’authentification intégrée ou personnalisée appropriée dans la liste.
   2. Sélectionnez Sélectionner.
8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
9. Sélectionnez Créer pour créer votre stratégie.

Une fois que vous confirmez vos paramètres à l’aide du mode Rapport seul, un administrateur peut modifier la position du bouton bascule Activer la stratégie de Rapport seul sur Activé.

Contenu connexe

• Modèles d’accès conditionnel
• Utilisez le mode rapport seul pour l’accès conditionnel afin de déterminer l’impact des nouvelles décisions de stratégie.