Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Les attaques d’informations d’identification entraînent un accès non autorisé aux ressources. Les mots de passe définis par les utilisateurs doivent être raisonnablement complexes. Azure AD B2C a des techniques d’atténuation en place pour les attaques d’informations d’identification. L’atténuation inclut la détection des attaques d’informations d’identification par force brute et des attaques d’informations d’identification par dictionnaire. En utilisant différents signaux, Azure Active Directory B2C (Azure AD B2C) analyse l’intégrité des requêtes. Azure AD B2C est conçu pour différencier intelligemment les utilisateurs prévus des pirates et des botnets.
Fonctionnement du verrouillage intelligent
Azure AD B2C utilise une stratégie sophistiquée pour verrouiller les comptes. Les comptes sont verrouillés en fonction de l’adresse IP de la requête et des mots de passe entrés. La durée du verrouillage augmente également en fonction de la probabilité de l’existence d’une attaque. Une fois qu’un mot de passe a échoué 10 fois (le seuil de tentative par défaut), un verrouillage d’une minute se produit. La prochaine fois qu’une connexion échoue une fois le compte déverrouillé (c’est-à-dire une fois le compte déverrouillé automatiquement par le service une fois la période de verrouillage expirée), un autre verrouillage d’une minute se produit et se poursuit pour chaque connexion infructueuse. L’entrée du même mot de passe ou d’un mot de passe similaire à plusieurs reprises ne compte pas comme plusieurs connexions infructueuses.
Remarque
Cette fonctionnalité est prise en charge par les flux utilisateur, les stratégies personnalisées et les flux ROPC . Il est activé par défaut, vous n’avez donc pas besoin de le configurer dans vos flux d’utilisateurs ou stratégies personnalisées.
Déverrouiller les comptes
Les 10 premières périodes de verrouillage sont longues d’une minute. Les 10 prochaines périodes de verrouillage sont légèrement plus longues et augmentent la durée après toutes les 10 périodes de verrouillage. Le compteur de verrouillage est réinitialisé à zéro après une connexion réussie lorsque le compte n’est pas verrouillé. Les périodes de verrouillage peuvent durer jusqu’à cinq heures. Les utilisateurs doivent attendre l’expiration de la durée de verrouillage. Toutefois, l’utilisateur peut déverrouiller à l’aide du flux utilisateur de mot de passe libre-service.
Gérer les paramètres de verrouillage intelligent
Pour gérer les paramètres de verrouillage intelligent, y compris le seuil de verrouillage :
Connectez-vous au portail Azure.
Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
Dans le menu de gauche, sélectionnez Azure AD B2C. Vous pouvez également sélectionner Tous les services et rechercher et sélectionner Azure AD B2C.
Sous Sécurité, sélectionnez Méthodes d’authentification (préversion), puis sélectionnez Protection par mot de passe.
Sous Verrouillage intelligent personnalisé, entrez les paramètres de verrouillage intelligent souhaités :
Seuil de verrouillage : nombre de tentatives de connexion ayant échoué autorisées avant que le compte ne soit verrouillé pour la première fois. Si la première connexion après un verrouillage échoue également, le compte se verrouille à nouveau.
Durée de verrouillage en secondes : durée minimale de chaque verrouillage en secondes. Si un compte se verrouille à plusieurs reprises, cette durée augmente.
Définition du seuil de verrouillage sur 5 dans les paramètres de protection par mot de passe.
Cliquez sur Enregistrer.
Test du verrouillage intelligent
La fonctionnalité de verrouillage intelligent utilise de nombreux facteurs pour déterminer quand un compte doit être verrouillé, mais le facteur principal est le modèle de mot de passe. La fonctionnalité de verrouillage intelligent considère de légères variantes d’un mot de passe en tant qu’ensemble, et elles sont comptabilisées comme une tentative unique. Par exemple:
- Mots de passe tels que 12456 ! et 1234567 ! (ou newAccount1234 et newaccount1234) sont si similaires que l’algorithme les interprète comme une erreur humaine et les compte comme un seul essai.
- Variations plus importantes du modèle, telles que 12456 ! et ABCD2 !, sont comptés comme des tentatives distinctes.
Lorsque vous testez la fonctionnalité de verrouillage intelligent, utilisez un modèle distinctif pour chaque mot de passe que vous entrez. Envisagez d’utiliser des applications web de génération de mot de passe, telles que https://password-gen.com/.
Lorsque le seuil de verrouillage intelligent est atteint, le message suivant s’affiche lorsque le compte est verrouillé : votre compte est temporairement verrouillé pour empêcher toute utilisation non autorisée. Réessayez plus tard. Les messages d’erreur peuvent être localisés.
Remarque
Lorsque vous testez le verrouillage intelligent, vos demandes de connexion peuvent être traitées par différents centres de données en raison de la gestion géo-distribuée et équilibrée en charge inhérente au service d’authentification Microsoft Entra. Dans ce scénario, étant donné que chaque centre de données Microsoft Entra effectue le suivi du verrouillage de façon indépendante, le nombre de tentatives peut dépasser le seuil que vous aviez défini pour provoquer un verrouillage. Un utilisateur a un maximum de (threshold_limit * datacenter_count) nombre de tentatives incorrectes avant d’être complètement verrouillé. Pour plus d’informations, consultez l’infrastructure mondiale Azure.
Affichage des comptes verrouillés
Pour obtenir des informations sur les comptes verrouillés, vous pouvez consulter le rapport d’activité de connexion Active Directory. Sous État, sélectionnez Échec. Échec des tentatives de connexion avec un code d’erreur de connexion indiquant 50053 un compte verrouillé :
Pour en savoir plus sur l’affichage du rapport d’activité de connexion dans l’ID Microsoft Entra, consultez les codes d’erreur du rapport d’activité de connexion.