Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour sécuriser les événements de connexion des utilisateurs dans Microsoft Entra ID, vous pouvez exiger une authentification multifacteur (MFA) Microsoft Entra. La meilleure façon de protéger les utilisateurs avec une authentification multifacteur Microsoft Entra consiste à créer une stratégie d'accès conditionnel. L'accès conditionnel est une fonctionnalité Microsoft Entra ID P1 ou P2 qui vous permet d'appliquer des règles pour exiger l'authentification multifacteur selon les besoins dans certains scénarios. Pour commencer à utiliser l'accès conditionnel, consultez Tutoriel : Événements de connexion utilisateur sécurisée avec l'authentification multifacteur Microsoft Entra.
Pour les locataires Microsoft Entra ID Free sans accès conditionnel, vous pouvez utiliser les paramètres de sécurité par défaut pour protéger les utilisateurs. Les utilisateurs sont invités à utiliser l’authentification multifacteur le cas échéant, mais vous ne pouvez pas définir vos propres règles pour contrôler le comportement.
Si nécessaire, vous pouvez activer individuellement chaque compte pour l'authentification multifacteur Microsoft Entra par utilisateur. Lorsque vous activez l'authentification multifacteur individuellement pour chaque utilisateur, ils doivent l'effectuer à chaque connexion. Vous pouvez définir des exceptions, comme lorsqu'ils se connectent à partir d'adresses IP approuvées ou quand la fonctionnalité Se souvenir de l'authentification multifacteur sur les appareils de confiance est activée.
Il n'est pas recommandé de changer les états utilisateur, sauf si vos licences Microsoft Entra ID n'incluent pas l'accès conditionnel et si vous ne souhaitez pas utiliser les paramètres de sécurité par défaut. Pour plus d'informations sur les différentes façons d'activer l'authentification multifacteur, consultez Fonctionnalités et licences pour l'authentification multifacteur Microsoft Entra.
Importante
Cet article explique comment afficher et modifier l'état de l'authentification multifacteur Microsoft Entra par utilisateur. Si vous utilisez l’accès conditionnel ou les paramètres de sécurité par défaut, vous ne passez pas en revue ni n’activez les comptes d’utilisateur en suivant ces étapes.
L'activation de l'authentification multifacteur Microsoft Entra via une stratégie d'accès conditionnel ne modifie pas l'état de l'utilisateur. Ne soyez pas surpris si les utilisateurs sont signalés comme étant désactivés. L’accès conditionnel ne change pas l’état.
N'activez pas ou n'appliquez pas l'authentification multifacteur Microsoft Entra par utilisateur si vous utilisez des stratégies d'accès conditionnel.
États utilisateur pour l'authentification multifacteur Microsoft Entra
L'état d'un utilisateur indique si un Administrateur d'authentification a inscrit cet utilisateur à l'authentification multifacteur Microsoft Entra par utilisateur. Les comptes d'utilisateur avec l'authentification multifacteur Microsoft Entra peuvent présenter les trois états suivants :
| État | Descriptif | Authentification héritée affectée | Applications du navigateur affectées | Authentification moderne affectée |
|---|---|---|---|---|
| Désactivé | État par défaut d'un utilisateur non inscrit à l'authentification multifacteur Microsoft Entra par utilisateur. | Non | Non | Non |
| Activé | L'utilisateur est inscrit à l'authentification multifacteur Microsoft Entra par utilisateur, mais peut toujours utiliser son mot de passe pour une authentification héritée. Si l'utilisateur n'a pas inscrit de méthode d'authentification multifacteur, il reçoit une invite à s'y inscrire la prochaine fois qu'il se connecte à l'aide de l'authentification moderne (par exemple, lors d'une connexion via un navigateur web). | Non. L’authentification héritée continue de fonctionner jusqu’à ce que le processus d’inscription soit terminé. | Oui. Après expiration de la session, l'inscription à l'authentification multifacteur Microsoft Entra est nécessaire. | Oui. Après expiration du jeton d'accès, l'inscription à l'authentification multifacteur Microsoft Entra est nécessaire. |
| Appliquée | L'utilisateur est inscrit à l'authentification multifacteur Microsoft Entra par utilisateur. Si l'utilisateur n'a pas inscrit de méthode d'authentification, il reçoit une invite à s'y inscrire la prochaine fois qu'il se connecte à l'aide de l'authentification moderne (par exemple, lors d'une connexion via un navigateur web). Les utilisateurs qui s'inscrive alors qu'ils sont à l'état Activé passent automatiquement à l'état Appliqué. | Oui. Les applications requièrent des mots de passe d'application. | Oui. L'authentification multifacteur Microsoft Entra est requise lors de la connexion. | Oui. L'authentification multifacteur Microsoft Entra est requise lors de la connexion. |
Tous les utilisateurs commencent avec l’état Désactivé. Dès lors qu'ils sont inscrits à l'authentification multifacteur Microsoft Entra par utilisateur, leur état devient Activé. Lorsque les utilisateurs activés se connectent et suivent le processus d’inscription, leur état passe à Appliqué. Les administrateurs peuvent passer des utilisateurs d’un état à un autre, notamment d’Appliqué à Activé ou Désactivé.
Note
Si l’authentification multifacteur par utilisateur est réactivée sur un utilisateur et que celui-ci ne se réinscrit pas, son état d’authentification multifacteur ne passe pas d’Activé à Appliqué dans l’interface utilisateur de la gestion de l’authentification multifacteur. L’administrateur doit passer l’utilisateur directement à l’état Appliqué.
Afficher l’état d’un utilisateur
L'expérience d'administration de l'authentification multifacteur par utilisateur dans le centre d'administration Microsoft Entra a récemment été améliorée. Pour afficher et gérer les états des utilisateurs, effectuez les étapes suivantes :
Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de la stratégie d'authentification.
Accédez à Identité>Utilisateurs>Tous les utilisateurs.
Cliquez sur MFA par utilisateur.
Sélectionnez un compte d’utilisateur, puis sélectionnez paramètres d’authentification multifacteur utilisateur.
Après avoir apporté des modifications, sélectionnez Enregistrer.
Si vous essayez de trier plusieurs milliers d'utilisateurs, cela peut renvoyer le message Il n'y a aucun utilisateur à afficher. Essayez d'entrer des critères de recherche plus spécifiques pour affiner la recherche, ou appliquez des filtres d'État ou d'Affichage spécifiques.
Modifier l’état d’un utilisateur
Pour modifier l'état de l'authentification multifacteur Microsoft Entra par utilisateur, procédez comme suit :
Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de la stratégie d'authentification.
Accédez à Identité>Utilisateurs>Tous les utilisateurs.
Cliquez sur MFA par utilisateur.
Sélectionnez un compte d’utilisateur, puis sélectionnez Activer l’authentification multifacteur.
Conseil
Les utilisateurs activés basculent automatiquement vers l'état Appliqué lorsqu'ils s'inscrivent à l'authentification multifacteur Microsoft Entra. Ne modifiez pas manuellement l’état de l’utilisateur en Appliqué, sauf si l’utilisateur est déjà inscrit ou s’il est acceptable que l’utilisateur subisse une interruption de connexion aux protocoles d’authentification hérités.
Confirmez votre sélection dans la fenêtre contextuelle qui s’ouvre.
Dès que vous avez activé les utilisateurs, informez-les-en par e-mail. Informez les utilisateurs qu’une invite s’affiche et leur demande de s’inscrire la prochaine fois qu’ils se connectent. Si votre organisation utilise des applications qui ne s'exécutent pas dans un navigateur ou qui ne prennent pas en charge l'authentification moderne, vous pouvez créer des mots de passe d'application. Pour plus d'informations, consultez Appliquer l'authentification multifacteur Microsoft Entra avec des applications héritées à l'aide de mots de passe d'application.
Utiliser Microsoft Graph pour gérer l'authentification multifacteur par utilisateur
Vous pouvez gérer les paramètres d'authentification multifacteur par utilisateur à l'aide de la version bêta de l'API REST Microsoft Graph. Vous pouvez utiliser le type de ressource d'authentification pour exposer les états des méthodes d'authentification des utilisateurs.
Pour gérer l'authentification multifacteur par utilisateur, utilisez la propriété perUserMfaState dans users/id/authentication/requirements. Pour en savoir plus, consultez Type de ressource strongAuthenticationRequirements.
Afficher l'état de l'authentification multifacteur par utilisateur
Pour récupérer l'état de l'authentification multifacteur par utilisateur d'un utilisateur :
GET /users/{id | userPrincipalName}/authentication/requirements
Par exemple :
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Si l'utilisateur est activé pour l'authentification multifacteur par utilisateur, la réponse est la suivante :
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Pour plus d'informations, consultez Obtenir les états des méthodes d'authentification.
Modifier l'état de l'authentification multifacteur d'un utilisateur
Pour modifier l'état de l'authentification multifacteur d'un utilisateur, utilisez les valeurs strongAuthenticationRequirements de l'utilisateur. Par exemple :
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Si la modification réussit, la réponse est la suivante :
HTTP/1.1 204 No Content
Pour plus d'informations, consultez Mettre à jour les états des méthodes d'authentification.
Étapes suivantes
Pour configurer les paramètres d'authentification multifacteur Microsoft Entra, consultez Configurer les paramètres d'authentification multifacteur Microsoft Entra.
Pour gérer les paramètres utilisateur pour l'authentification multifacteur Microsoft Entra, consultez Gérer les paramètres utilisateur avec l'authentification multifacteur Microsoft Entra.
Pour comprendre la raison pour laquelle un utilisateur est invité ou non à effectuer une authentification multifacteur, consultez Rapports sur l'authentification multifacteur Microsoft Entra.