Vue d’ensemble de l’API des forces d’authentification Microsoft Entra
Espace de noms: microsoft.graph
Les forces d’authentification permettent aux administrateurs d’exiger des combinaisons spécifiques de méthodes d’authentification Microsoft Entra pour accéder à une ressource. Chaque force d’authentification comprend une ou plusieurs combinaisons de méthodes d’authentification, où chaque combinaison correspond à une ou plusieurs méthodes d’authentification. Lorsque la force est appliquée à un scénario en tant que contrôle d’octroi dans l’accès conditionnel, un utilisateur dans l’étendue de la stratégie doit satisfaire l’une de ces combinaisons autorisées lors de la connexion avant de pouvoir accéder à la ressource. Dans le cadre de l’accès conditionnel, les forces d’authentification peuvent également être associées à d’autres contrôles d’accès conditionnel, tels que le risque utilisateur et l’emplacement.
Par exemple, un administrateur peut demander aux utilisateurs de s’authentifier à l’aide de méthodes d’authentification résistantes au hameçonnage avant de pouvoir accéder à une ressource sensible. L’administrateur peut également autoriser les utilisateurs à s’authentifier à l’aide de combinaisons d’authentification multifacteur (MFA) moins sécurisées, telles que mot de passe et SMS, pour qu’ils puissent accéder aux applications non sensibles.
Cet article présente les API Microsoft Graph qui permettent aux administrateurs de gérer par programmation les forces d’authentification.
Stratégies de force d’authentification
Les stratégies de force d’authentification définissent les forces d’authentification disponibles dans le locataire. Utilisez le type de ressource authenticationStrengthPolicy et ses méthodes associées pour définir et gérer ces stratégies. Les stratégies incluent les configurations suivantes :
- Nom, identificateur et description de la stratégie.
- Combinaisons de méthodes d’authentification qui font partie de la stratégie.
- Indique si la stratégie, lorsque les exigences de la méthode d’authentification sont satisfaites, peut être utilisée pour satisfaire une revendication MFA dans le jeton d’accès.
Microsoft Entra ID prend en charge les stratégies de force d’authentification intégrées et personnalisées. Microsoft a fourni les trois stratégies intégrées suivantes :
- Authentification multifacteur
- Authentification multifacteur sans mot de passe
- Authentification multifacteur résistante au hameçonnage
Vous pouvez uniquement lire les stratégies intégrées, mais vous pouvez créer jusqu’à 15 stratégies personnalisées en fonction de vos besoins.
Combinaisons de méthodes d’authentification
Les combinaisons de méthodes d’authentification sont au cœur d’une stratégie. Une combinaison se compose d’une ou plusieurs méthodes d’authentification dans une liste séparée par des virgules. Les combinaisons sont prédéfinies et utilisées pour définir une force d’authentification. Ces méthodes d’authentification sont basées sur l’énumération avec indicateur authenticationMethodModes . Voici quelques exemples de combinaisons :
Exemple de combinaison autorisée | Description |
---|---|
fido2 |
L’utilisateur doit se connecter à l’aide d’une clé de sécurité FIDO2 pour répondre à l’exigence de force d’authentification. |
password,microsoftAuthenticatorPush |
L’utilisateur doit se connecter à l’aide d’un mot de passe et d’une approbation Push Microsoft Authenticator pour répondre à l’exigence de force d’authentification. |
password,softwareOath |
L’utilisateur doit se connecter à l’aide d’un mot de passe et d’un jeton OATH logiciel pour répondre aux exigences de force d’authentification. |
Microsoft Entra ID fournit les combinaisons prédéfinies en lecture seule en utilisant les principes suivants :
- Méthodes d’authentification à un seul facteur qui peuvent être utilisées comme premiers facteurs tels que mot de passe et SMS.
- Combinaisons de mot de passe et d’un deuxième facteur qui font une combinaison d’authentification multifacteur valide (« quelque chose que vous avez » et « quelque chose que vous connaissez »).
- Authentificateurs multifacteurs sans mot de passe tels que l’authentification par certificat FIDO2 et x509.
Les forces d’authentification intégrées utilisent ces combinaisons, et les combinaisons peuvent être utilisées dans les forces d’authentification personnalisées.
Pour afficher les détails des méthodes d’authentification prises en charge et des combinaisons autorisées, appelez l’API List authenticationMethodModes .
Les combinaisons d’authentification des stratégies intégrées sont en lecture seule. Pour voir toutes les stratégies intégrées et leurs configurations, appelez l’API List authenticationStrengthPolicies .
Pour créer une stratégie de force d’authentification personnalisée, vous devez configurer les combinaisons de méthodes d’authentification à l’aide des combinaisons autorisées.
Configurations combinées
Vous pouvez appliquer des restrictions supplémentaires sur certaines méthodes d’authentification pour contrôler les instances de la méthode qu’un utilisateur peut utiliser pour s’authentifier. Ces types de restrictions sont des configurations combinées et peuvent également faire partie d’un objet authenticationStrengthPolicy .
Une configuration de combinaison peut s’appliquer à une ou plusieurs combinaisons qui incluent la méthode d’authentification spécifique. Aujourd’hui, FIDO2 est la seule méthode qui prend en charge les configurations de combinaison.
Par exemple, une stratégie personnalisée autorise les combinaisons suivantes : password,softwareOath
, fido2
et x509CertificateMultiFactor
. Pour cette stratégie, vous pouvez restreindre les clés de sécurité FIDO2 que l’utilisateur peut utiliser pour s’authentifier en configurant une configuration de combinaison avec des GUID d’attestation d’authentification (AAGUID) spécifiques.
Une stratégie de force d’authentification a zéro ou plusieurs configurations de combinaison.
Appliquer des stratégies de force d’authentification dans l’accès conditionnel
Après avoir défini la stratégie de force d’authentification, vous l’appliquez et l’appliquez à la ressource protégée à l’aide de Microsoft Entra stratégies d’accès conditionnel.
Dans les contrôles d’octroi d’accès conditionnel, configurez la relation authenticationStrength en affectant l’objet authenticationStrengthPolicy qui doit être associé à la stratégie d’accès conditionnel. Lorsqu’une stratégie d’accès conditionnel s’applique à une connexion et que cette stratégie dispose d’un contrôle d’octroi de force d’authentification, l’utilisateur doit utiliser l’une des combinaisons de méthodes d’authentification autorisées pour se connecter. Les stratégies de force d’authentification peuvent également être appliquées pour les utilisateurs invités via des stratégies d’accès conditionnel et des paramètres de confiance entrante d’accès interlocataire.
L’objet authenticationStrength correspond au contrôle « Exiger la force d’authentification » de l’expérience utilisateur de la stratégie d’accès conditionnel sur le centre d’administration Microsoft Entra.
Vous ne pouvez pas configurer les forces d’authentification et le contrôle d’octroi de l’authentification multifacteur sur la même stratégie d’accès conditionnel.
Étapes suivantes
- En savoir plus sur les forces de l’authentification.
- Essayez l’API dans graph Explorer.