Partager via


Concevoir la configuration du locataire

La configuration dans Microsoft Entra ID s’effectue au sein de chaque locataire. Les paramètres de configuration contrôlent vos stratégies de sécurité et d’accès. Documentez vos stratégies de sécurité et d’accès pour garantir la cohérence entre les locataires, le cas échéant.

Cohérence de la configuration entre les locataires

Dans un environnement EDU de grande taille où vous disposez d’une équipe d’administration centrale, vous assurer que la plupart des configurations sont cohérentes entre les locataires :

  • Simplifiez la gestion et rendez votre équipe informatique centrale plus efficace.

  • Facilitez l’identification et la résolution des problèmes.

  • Facilitez le développement, le test et le déploiement de logiciels sur les locataires.

  • Rendre l’expérience utilisateur entre les locataires plus cohérente et intuitive.

  • Facilitez le processus de migration des utilisateurs d’un locataire vers un autre.

Créez des stratégies sur lesquelles les configurations de locataire seront standard et gérées par votre équipe informatique centrale, et qui peuvent être ajustées par l’équipe informatique spécifique au locataire. Voici quelques domaines dans lesquels une équipe d’administration spécifique au locataire peut avoir besoin de flexibilité :

  • Autoriser les partenaires externes à accéder au locataire. Bien que votre organization dispose d’une stratégie qui autorise uniquement l’accès de ses autres locataires, une région spécifique peut avoir besoin d’un fournisseur spécifique à la région pour accéder à la liste verte Microsoft Entra B2B Collaboration.

  • Ajustement des stratégies d’accès requises, par exemple exiger que les appareils gérés répondent aux exigences de sécurité spécifiques au locataire ou à la région, ou pour tenir compte de la disponibilité des appareils gérés.

  • Tester de nouvelles fonctionnalités, par exemple une région qui teste MyStaff pour permettre au directeur d’une école de couvrir certaines tâches informatiques pour le personnel de cette école.

Configurer des identités externes

Les identités externes représentent des utilisateurs externes à un locataire Microsoft Entra, tels que des utilisateurs d’autres locataires dans le organization EDU. Dans une grande organization EDU qui s’étend sur plusieurs locataires, vous pouvez utiliser Microsoft Entra collaboration interentreprises (B2B) pour fournir l’accès à ces locataires. Microsoft Entra B2B vous permet de partager en toute sécurité les applications et services de votre organization avec des invités d’un autre organization, tout en conservant le contrôle de vos propres données.

Contrôler la collaboration externe

Les paramètres de collaboration externes vous permettent d’activer ou de désactiver les invitations d’invités pour différents types d’utilisateurs dans votre organization. Vous pouvez également déléguer des invitations à des utilisateurs individuels en leur attribuant des rôles qui leur permettent d’inviter des invités. Les paramètres de collaboration externe sont gérés dans le centre d’administration Microsoft Entra sous Microsoft Entra ID.

Autoriser les invités à apparaître dans la liste d’adresses globale

Vous pouvez afficher des invités (utilisateurs externes) dans votre liste d’adresses globale (GAL) comme suit :

  • Invitation d’utilisateurs en tant qu’invités à l’aide de Microsoft Entra B2B (recommandé)

  • Utilisation de la synchronisation de la liste d’adresses gal (non recommandé)

Remarque

La synchronisation de la liste d’utilisateurs ne crée pas de comptes d’utilisateur. Au lieu de cela, chaque contact créé est un objet qui est comptabilisé par rapport à votre limite d’objets dans le locataire.

Stratégies de sécurité et d’accès

La gestion de la sécurité peut être difficile avec les attaques liées à l’identité qui sont si répandues. Les paramètres de sécurité par défaut et les stratégies d’accès facilitent la protection de vos organization contre les attaques telles que la pulvérisation de mots de passe, la relecture et le hameçonnage.

Paramètres de sécurité par défaut

Les paramètres de sécurité par défaut fournissent des paramètres sécurisés que nous gérons au nom de votre organization pour vous assurer la sécurité jusqu’à ce que vous soyez prêt à gérer votre propre histoire de sécurité d’identité. Lorsque les paramètres de sécurité par défaut sont activés, nous pouvons vous aider à protéger vos organization avec les paramètres de stratégie préconfigurés suivants :

  • Demander à tous les utilisateurs de s’inscrire à Azure Multi-Factor Authentication

  • Exiger des administrateurs qu’ils effectuent l’authentification multifacteur

  • Blocage des protocoles d’authentification hérités

  • Exiger des utilisateurs qu’ils effectuent l’authentification multifacteur si nécessaire

  • Protection des activités privilégiées telles que l’accès au Portail Azure

L’activation des paramètres de sécurité par défaut est recommandée si votre organization souhaite améliorer votre posture de sécurité maintenant et que vous n’avez pas configuré une sécurité robuste. Si vous êtes un organization avec des licences Microsoft Entra ID P1 ou P2 et que vous utilisez actuellement des stratégies d’accès conditionnel pour appliquer des stratégies organisationnelles, les paramètres de sécurité par défaut ne vous conviennent probablement pas.

Activez les valeurs par défaut de sécurité dans le Portail Azure, comme illustré dans l’image suivante.

Capture d’écran du Portail Azure avec le bouton bascule pour activer les paramètres de sécurité par défaut.

Appareils gérés pour le service informatique et le personnel

Pour protéger les ressources de votre locataire, empêchez l’accès aux appareils dont les niveaux de protection sont inconnus. Implémentez une solution de gestion des appareils afin que les utilisateurs puissent uniquement accéder aux ressources à l’aide d’un appareil géré par le organization.

Dans Microsoft Entra ID, un appareil doit être considéré comme géré au minimum lorsqu’il est inscrit auprès de Microsoft Entra ID. Les administrateurs peuvent choisir d’implémenter les types de gestion des appareils suivants dans Microsoft Entra ID :

  • Joint à un domaine hybride. Appareils appartenant au organization et joints à la Active Directory local et au Microsoft Entra ID. En règle générale, un appareil acheté et géré par un organization et géré par System Center Configuration Manager.

  • Microsoft Entra un domaine joint. Appareils appartenant au organization et joints au locataire Microsoft Entra de l’organization. Généralement, un appareil acheté et géré par un organization, joint à Microsoft Entra ID et géré par un service tel que Microsoft Intune.

  • Microsoft Entra inscrit. Appareils appartenant au organization, ou appareils personnels, utilisés pour accéder aux ressources de l’entreprise. Généralement un appareil personnel utilisé pour accéder aux ressources d’entreprise. Les organisations peuvent exiger que l’appareil soit inscrit via mobile Gestion des appareils (GPM) ou appliqué via la gestion des applications mobiles (GAM) sans inscription pour accéder aux ressources. Cette fonctionnalité peut être fournie par un service tel que Microsoft Intune.

Pour plus d’informations, consultez Choisir vos méthodes d’intégration.

Pour renforcer la sécurité, nous vous recommandons également de créer une stratégie d’accès conditionnel Microsoft Entra pour le service informatique et le personnel. Avec l’accès conditionnel, vous pouvez créer une stratégie unique qui accorde l’accès :

  • Pour les applications cloud sélectionnées.

  • Pour les utilisateurs et les groupes sélectionnés.

  • Exiger un appareil géré.

Utiliser L’authentification multifacteur pour les administrateurs

Les comptes auxquels des autorisations élevées sont attribuées sont des cibles précieuses pour les attaquants. Pour réduire le risque de compromission de compte privilégié, approvisionnez tous les comptes disposant d’autorisations élevées avec des informations d’identification d’authentification fortes, telles qu’Azure Multi-Factor Authentication (MFA).

Au minimum, nous vous recommandons de créer une stratégie d’accès conditionnel pour exiger l’authentification multifacteur pour les rôles d’administration suivants :

  • Administrateur de facturation

  • Administrateur de l’accès conditionnel

  • Administrateur Exchange

  • Administrateur général

  • Administrateur du support technique (mot de passe)

  • Administrateur de sécurité

  • Administrateur SharePoint

  • Administrateur d’utilisateurs

Si les utilisateurs disposent d’une méthode d’authentification multifacteur, appliquez l’authentification multifacteur aux utilisateurs qui ont accès à des informations sensibles telles que les enregistrements des étudiants.

Stratégies de risque

Avec Microsoft Entra ID, les administrateurs peuvent créer des stratégies pour se protéger contre certains types de risques :

  • Risque de connexion Probabilité qu’une demande d’authentification donnée ne soit pas autorisée par le propriétaire de l’identité.

  • Risque de l’utilisateur. Probabilité qu’une identité de don ou un compte soit compromis.

Les stratégies de risque de connexion et les stratégies de risque utilisateur automatisent la réponse aux détections de risques dans votre environnement et permettent aux utilisateurs de corriger eux-mêmes les risques.

Les organisations éducatives disposant de licences Microsoft 365 A5 (ou Microsoft Entra ID licences P2) peuvent utiliser Protection Microsoft Entra ID pour sécuriser leurs comptes. Vous pouvez également créer des stratégies d’accès conditionnel basées sur les risques de connexion et des stratégies d’accès conditionnel basées sur les risques de l’utilisateur.

Configurez la stratégie de risque utilisateur afin que les utilisateurs à haut risque soient tenus de modifier leur mot de passe après la connexion.

Meilleures pratiques

  • Définissez des stratégies d’accès conditionnel pour appliquer la posture de sécurité des identités et réduire les risques de connexion et les risques utilisateur. Cela doit inclure des contrôles sur l’authentification multifacteur et des contrôles basés sur les appareils pour permettre l’accès uniquement via les appareils gérés et les emplacements attendus.

  • Toutes les applications doivent avoir des stratégies d’accès conditionnel explicites appliquées.

  • Réduisez le nombre de stratégies d’accès conditionnel en les appliquant à plusieurs applications ayant les mêmes exigences.

  • Planifiez l’interruption en configurant des comptes d’accès d’urgence pour atténuer les effets du verrouillage accidentel.

  • Configurez une stratégie d’accès conditionnel en mode rapport uniquement.

Pour obtenir des conseils généraux sur les stratégies d’accès conditionnel pour les environnements individuels, case activée le Guide des meilleures pratiques et des opérations Microsoft Entra de l’autorité de certification :

Inscriptions des applications

Seuls les utilisateurs disposant d’autorisations élevées peuvent effectuer des tâches telles que l’ajout d’applications à la galerie d’applications ou la configuration d’une application pour utiliser Proxy d'application. Toutefois, par défaut, tous les utilisateurs de votre annuaire ont la possibilité d’inscrire des objets d’application et de principal de service. Ils ont également le pouvoir discrétionnaire quant aux applications qui peuvent accéder à leurs données organization par le biais du consentement de l’utilisateur.

Nous vous recommandons de désactiver le consentement de l’utilisateur afin que les comptes non privilégiés ne puissent pas créer d’objets d’application et de principal de service dans le locataire. Au lieu de cela, déléguez les rôles d’administration d’application des membres de l’équipe , tels que l’administrateur d’application, le développeur d’applications ou l’administrateur d’applications cloud. L’utilisation de rôles centralise le processus de prise de décision autour du consentement avec les équipes de sécurité et d’identité de votre organization.

Intégration d’applications

Si possible, intégrez des applications SaaS prises en charge à l’aide de la galerie d’applications Microsoft Entra où vous pouvez trouver des applications préconfigurées qui fonctionnent avec Microsoft Entra ID. Si votre application n’est pas disponible dans la galerie d’applications Microsoft Entra, vous pouvez ajouter l’application non listée dans le centre d’administration Microsoft Entra.

Dans les environnements hybrides, vous pouvez activer l’accès à distance sécurisé à vos applications héritées à l’aide de Microsoft Entra proxy d’application. Le proxy d’application permet aux utilisateurs d’accéder aux applications web locales sans VPN à l’aide de leur compte Microsoft Entra.

Vous pouvez également sécuriser l’accès aux applications héritées si vous utilisez actuellement l’une des solutions réseau ou de livraison d’applications tierces suivantes :

Concevoir la sécurité du locataire

En plus des recommandations ci-dessus, nous vous recommandons également de verrouiller davantage votre locataire en configurant les paramètres suivants dans le centre d’administration Microsoft Entra.

Paramètres utilisateur

Paramètre Valeur Raison
Portail d’administration
Restreindre l’accès au portail d’administration Microsoft Entra Oui Ce paramètre empêche les comptes non privilégiés d’accéder à la section Microsoft Entra ID du Portail Azure.
Connexions de compte LinkedIn Non Aucun besoin métier
Inscriptions des applications
Les utilisateurs peuvent inscrire des applications Non Pour les organisations éducatives, Microsoft recommande d’empêcher les comptes sans privilèges de créer des objets d’application et de principal de service dans le locataire. Au lieu de cela, affectez explicitement les membres de l’équipe à des rôles d’administration d’application tels que l’administrateur d’application, le développeur d’applications ou l’administrateur d’applications cloud.

Paramètres des identités externes

Paramètre Valeur Raison
Autoriser uniquement les locataires du même organization
Les autorisations d’invité sont limitées Non Les invités proviennent de locataires connus.
Les administrateurs et les utilisateurs membres du rôle Inviteur d’invités peuvent envoyer des invitations Oui L’invitation d’invité peut être déléguée lorsque les invitations sont uniquement autorisées à des domaines spécifiés.
Les membres peuvent inviter, les invités peuvent inviter Non Contrôlez davantage qui est invité dans le locataire en autorisant uniquement certains administrateurs ou administrateurs/utilisateurs ayant le rôle d’inviteur d’invités à inviter des invités.
Activer le code secret à usage unique du courrier pour les invités (préversion) Non Les invités proviennent de locataires connus.
Activer l’inscription en libre-service invité via des flux d’utilisateurs (préversion) Non Les invitations sont autorisées uniquement aux domaines spécifiés et les comptes d’utilisateur sont Microsoft Entra comptes dans ces autres locataires.
Restrictions de collaboration : autoriser les invitations uniquement pour les domaines spécifiés Le plus restrictif Microsoft recommande ce paramètre pour les grandes organisations avec plusieurs locataires qui utiliseront les fonctionnalités de collaboration B2B pour fournir l’accès entre les locataires.
Lorsque vous définissez vos paramètres de collaboration sur Autoriser l’invitation uniquement aux domaines spécifiés (le plus restrictif), vous incluez tous les domaines qui font partie de votre organization à la liste d’autorisation, ce qui refusera automatiquement les invitations à d’autres domaines. Ou, si votre établissement scolaire a un partenariat avec d’autres organisations, vous pouvez limiter les invitations à ces organisations uniquement en les ajoutant à la liste verte.
Autoriser la collaboration en dehors de son propre organization
Les autorisations d’invité sont limitées Oui Les invités peuvent provenir de l’extérieur de la propre organization, ce paramètre les limite à certaines tâches d’annuaire, telles que l’énumération d’utilisateurs, de groupes ou d’autres objets d’annuaire.
Les administrateurs et les utilisateurs membres du rôle Inviteur d’invités peuvent envoyer des invitations Non Nous vous recommandons de garder les invitations contrôlées avec un groupe d’administrateurs délégués lorsque des restrictions de collaboration sont définies pour autoriser l’envoi d’invitations à n’importe quel domaine.
Les membres peuvent inviter, les invités peuvent inviter Non Contrôlez davantage qui est invité dans le locataire en autorisant uniquement certains administrateurs ou administrateurs/utilisateurs ayant le rôle d’inviteur d’invités à inviter des invités.
Activer le code secret à usage unique du courrier pour les invités (préversion) Oui Le mot de passe à usage unique est recommandé lorsque vous invitez des utilisateurs en dehors de votre propre organization.
Activer la connexion libre-service d’invité via des flux d’utilisateurs (préversion) Non Il est préférable de contrôler les invitations plutôt que de laisser les invités s’inscrire en libre-service auprès du locataire.
Restrictions de collaboration : autoriser l’envoi d’invitations à n’importe quel domaine Le plus inclusif Paramètre recommandé lorsqu’il est nécessaire de collaborer avec plusieurs autres locataires, par exemple, lors de la collaboration avec des partenaires, des consultants externes, d’autres organisations éducatives, etc.

Paramètres d’aperçu des fonctionnalités utilisateur

Paramètre Valeur Raison
Les utilisateurs peuvent utiliser la fonctionnalité en préversion pour Mes applications Aucun/Sélectionné/Tout Le paramètre dépend de l’utilisation et de la nécessité de Mes applications portail et de ses fonctionnalités. Vous pouvez envisager d’utiliser le portail Mes applications pour fournir l’accès aux applications cloud de votre organization uniquement au personnel ou à tout le monde, y compris les étudiants.
Les utilisateurs peuvent utiliser l’expérience d’inscription combinée des informations de sécurité tous Il est recommandé d’utiliser des méthodes d’authentification améliorées telles que les informations d’identification sans mot de passe et l’accès conditionnel pour sécuriser l’inscription des informations de sécurité.
Les administrateurs peuvent accéder à Mon personnel Aucun/Sélectionné/Tout Le paramètre dépend de l’utilisation et des besoins de Mon personnel. Vous pouvez envisager d’utiliser Mon personnel pour déléguer des tâches courantes de support technique au personnel.
Mon personnel vous permet de déléguer à une figure d’autorité, telle qu’un directeur d’école, les autorisations pour vous assurer que les membres du personnel sont en mesure d’accéder à leurs comptes Microsoft Entra. Au lieu de s’appuyer sur un support technique central, les organisations peuvent déléguer des tâches courantes telles que la réinitialisation des mots de passe ou la modification des numéros de téléphone pour, par exemple, un directeur d’école. Avec Mon personnel, un utilisateur qui ne peut pas accéder à son compte peut récupérer l’accès en quelques sélections, sans aucun support technique ni personnel informatique requis.

Paramètres de gestion de groupe

Paramètre Valeur Raison
Gestion des groupes en libre-service
Les propriétaires peuvent gérer les demandes d’appartenance à un groupe dans le volet d’accès Non Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
Limitez la capacité de l’utilisateur à accéder aux fonctionnalités de groupes dans le volet d’accès. Les administrateurs (global, groupe et utilisateur Administration) ont accès, quelle que soit la valeur de ce paramètre. Oui Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
Groupes de sécurité
Les utilisateurs peuvent créer des groupes de sécurité dans les portails Azure Non Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
Propriétaires qui peuvent affecter des membres en tant que propriétaires de groupe dans les portails Azure Aucun Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
Groupes Office 365
Les utilisateurs peuvent créer des groupes Office 365 dans les portails Azure Non Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
Propriétaires qui peuvent affecter des membres en tant que propriétaires de groupe dans les portails Azure Aucun Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios

Paramètres des applications d’entreprise

Paramètre Valeur Raison
Applications d’entreprise
Les utilisateurs peuvent donner leur consentement aux applications qui accèdent aux données de l’entreprise en leur nom Non Les applications qui nécessitent un consentement doivent être examinées par le biais d’un processus défini avec une propriété établie à l’aide de flux de travail de demande de consentement Administration
Les utilisateurs peuvent donner leur consentement aux applications qui accèdent aux données de l’entreprise pour les groupes dont ils sont propriétaires Non Les applications qui nécessitent un consentement doivent être examinées par le biais d’un processus défini avec une propriété établie à l’aide de flux de travail de demande de consentement Administration
Les utilisateurs peuvent ajouter des applications de galerie à leur volet d’accès Non Groupes dans les locataires EDU peuvent avoir un accès aux ressources sensibles (par exemple, l’accès aux informations sur les étudiants) qui doit être structuré et régi. La gestion initiée par l’utilisateur n’est pas recommandée pour ces scénarios
demandes de consentement Administration (préversion)
Les utilisateurs peuvent demander le consentement de l’administrateur aux applications pour lesquelles ils ne peuvent pas donner leur consentement Non L’activation de ce paramètre permet à tous les utilisateurs de votre locataire de demander le consentement, ce qui peut entraîner l’envoi de nombreuses demandes de consentement aux administrateurs. Si les administrateurs ne peuvent pas ou ne veulent pas gérer les demandes, les utilisateurs peuvent être confus.
Sélectionner des utilisateurs pour passer en revue les demandes de consentement administrateur S/O Applicable uniquement si Administration fonctionnalité de demande de consentement est activée
Les utilisateurs sélectionnés recevront Notifications par e-mail pour les demandes S/O Applicable uniquement si Administration fonctionnalité de demande de consentement est activée
Les utilisateurs sélectionnés recevront des rappels d’expiration de demande S/O Applicable uniquement si Administration fonctionnalité de demande de consentement est activée
La demande de consentement expire après (jours) S/O Applicable uniquement si Administration fonctionnalité de demande de consentement est activée
paramètres de Office 365
Les utilisateurs peuvent uniquement voir les applications Office 365 dans le portail Office 365 Non Lorsque vous utilisez Mes applications portail, ce paramètre doit être défini sur « Non » si vous souhaitez que Office 365 applications s’affichent dans Mes applications. vue d’ensemble du portail Mes applicationsapplications/access-panel-deployment-plan

Paramètres de gouvernance des identités

Gérez le cycle de vie des utilisateurs externes ajoutés via des packages d’accès en spécifiant ce qui se passe lorsqu’ils perdent leur dernière affectation de package d’accès.

Paramètre Valeur Raison
Empêcher l’utilisateur externe de se connecter à ce répertoire Oui Lorsqu’un utilisateur externe perd sa dernière affectation à un package d’accès que vous devez bloquer, supprimez-le du locataire. ​
Supprimer un utilisateur externe Oui Lorsqu’un utilisateur externe perd sa dernière affectation à un package d’accès que vous devez bloquer, supprimez-le du locataire. ​
Nombre de jours avant la suppression d’un utilisateur externe de ce répertoire 30 Lorsqu’un utilisateur externe perd sa dernière affectation à un package d’accès que vous devez bloquer, puis supprimez-le du locataire

Paramètres de réinitialisation de mot de passe

Paramètre Valeur Raison
Properties
Réinitialisation du mot de passe en libre-service activée Sélectionner les utilisateurs Nous vous recommandons de réinitialiser le mot de passe en libre-service pour tous les utilisateurs qui peuvent utiliser leur téléphone mobile pour le texte et installer et configurer l’application Microsoft Authenticator.
Méthodes d’authentification
Nombre de méthodes nécessaires à la réinitialisation 2 Deux méthodes offrent un équilibre entre facilité d’utilisation et sécurité.
Méthodes disponibles pour les utilisateurs Notification de l’application mobile, code de l’application mobile, e-mail et téléphone mobile (SMS uniquement) Mobile App fournit les méthodes de chiffrement les plus modernes et les plus sécurisées. ​
Ensuite, l’e-mail ou les SMS peuvent être utilisés comme une autre option.
Nous vous recommandons vivement de déployer des méthodes d’authentification sans mot de passe sur des comptes dans des locataires EDU. Cela améliore l’expérience utilisateur.
Registration
Exiger que les utilisateurs s’inscrivent lors de la connexion ? Oui Avec cette valeur, les comptes sont interrompus pour fournir l’inscription à SSPR lors de la première connexion. Cela permet d’intégrer des comptes avec une base de référence cohérente.
Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification 180
Notifications
Avertir les utilisateurs des réinitialisations de mot de passe ? Oui Les notifications fournissent une visibilité de cette opération de gestion des informations d’identification sensibles.
Avertir tous les administrateurs lorsque d’autres administrateurs réinitialisent leur mot de passe ? Oui Les notifications fournissent une visibilité de cette opération de gestion des informations d’identification sensibles.

Paramètres de sécurité

Paramètre Valeur Raison
Stratégie de méthode d’authentification
Clé de sécurité FIDO2 Oui : sélectionner des utilisateurs  
Connexion sans mot de passe à Microsoft Authenticator Oui : sélectionner des utilisateurs
SMS Non Le numéro de téléphone doit être attribué à tous les utilisateurs qui doivent utiliser cette fonctionnalité.
S’il n’existe aucun cas d’usage fort pour cette fonctionnalité, la surcharge liée à l’ajout des numéros de téléphone n’est pas justifiée.

Étapes suivantes

Concevoir une stratégie de compte