Décrire la réinitialisation du mot de passe en libre-service

  • 6 minutes

La réinitialisation de mot de passe en libre-service (SSPR) est une fonctionnalité de Microsoft Entra ID qui permet aux utilisateurs de modifier ou de réinitialiser leur mot de passe sans l’intervention d’un administrateur ou d’un support technique. SSPR offre plusieurs avantages clés pour les organisations et les utilisateurs :

  • La SSPR réduit les coûts de support informatique en permettant aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe.
  • Elle permet aux utilisateurs de reprendre plus rapidement leur travail et de gagner en productivité.
  • Les administrateurs peuvent modifier les paramètres pour répondre à de nouvelles exigences de sécurité et transmettre ces modifications aux utilisateurs sans interrompre leur connexion.
  • SSPR inclut des journaux d’audit robustes disponibles à partir d’une API, ce qui permet d’importer les données dans un système de gestion des informations et des événements de sécurité (SIEM).

Si le compte d’un utilisateur est verrouillé ou que l’utilisateur oublie son mot de passe ou souhaite le changer, il peut suivre une invite pour le réinitialiser et reprendre son travail. Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application.

Pour utiliser la réinitialisation de mot de passe en libre-service, les utilisateurs doivent :

  • Disposer d’une licence Microsoft Entra ID. Reportez-vous à la section En savoir plus de l’unité Résumé et ressources pour obtenir un lien vers les conditions de licence pour la réinitialisation de mot de passe en libre-service Microsoft Entra.
  • Être autorisé à utiliser la SSPR par un administrateur.
  • Être enregistré, avec les méthodes d’authentification qu’il souhaite utiliser. Il est recommandé d'utiliser deux méthodes d'authentification ou plus au cas où l'une d'entre elles ne serait pas disponible.

Les méthodes d’authentification suivantes sont disponibles pour SSPR :

  • Notification sur l’application mobile
  • Code de l’application mobile
  • E-mail
  • Téléphone mobile
  • Téléphone de bureau
  • Questions de sécurité

Quand les utilisateurs s’enregistrent pour SSPR, ils sont invités à choisir les méthodes d’authentification à utiliser. S’ils choisissent d’utiliser des questions de sécurité, ils les choisissent parmi un ensemble de questions et fournissent leurs propres réponses. Vous pouvez utiliser les questions de sécurité uniquement pendant le processus de réinitialisation de mot de passe en libre-service (SSPR) pour confirmer votre identité. Il s’agit d’une forme d’authentification secondaire. Les questions de sécurité ne sont pas utilisées comme méthode d’authentification durant un événement de connexion. Les comptes administrateurs ne peuvent pas utiliser les questions de sécurité comme méthode de vérification avec SSPR.

Notes

Par défaut, les comptes d’administrateur sont activés pour la réinitialisation de mot de passe en libre-service et sont nécessaires pour utiliser deux méthodes d’authentification pour réinitialiser leur mot de passe, par exemple une adresse e-mail, une application d’authentification ou un numéro de téléphone. Les administrateurs n’ont pas la possibilité d’utiliser des questions de sécurité.

Quand l’utilisateur réinitialise son mot de passe à l’aide de la réinitialisation de mot de passe en libre-service, celui-ci peut également être réécrit dans Active Directory en local. L’écriture différée de mot de passe permet aux utilisateurs d’utiliser leurs informations d’identification mises à jour avec des appareils et des applications en local et sans délai.

Pour informer les utilisateurs de l’activité des comptes, les administrateurs peuvent configurer des notifications par e-mail à envoyer lorsqu’un événement SSPR se produit. Ces notifications peuvent couvrir les comptes d’utilisateur standard et les comptes d’administrateur. Pour les comptes d’administrateur, cette notification fournit une couche de sensibilisation supplémentaire quand un mot de passe de compte d’administrateur privilégié est réinitialisé à l’aide de SSPR. Tous les administrateurs généraux sont avertis lorsque SSPR est utilisé sur un compte d’administrateur.