Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La réinitialisation de mot de passe en libre-service (SPSPR) Microsoft Entra permet aux utilisateurs de changer ou de réinitialiser leur mot de passe, sans l’intervention d’un administrateur ou d’un agent du support technique. Si le compte d’un utilisateur est verrouillé ou qu’il oublie son mot de passe, il peut suivre les invites pour se débloquer et revenir au travail. Cette capacité réduit les appels de support technique et la perte de productivité lorsqu’un utilisateur ne peut pas se connecter à son appareil ou à une application. Nous vous recommandons cette vidéo sur l’activation et la configuration de SSPR dans Microsoft Entra ID.
Importante
Cet article conceptuel explique à un administrateur comment fonctionne la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.
Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.
Fonctionnement du processus de réinitialisation de mot de passe
Un utilisateur peut réinitialiser ou modifier son mot de passe à l’aide du portail SSPR. En outre, pour mettre en évidence SSPR pour les administrateurs n’est pas activé sur le locataire par défaut, car SSPR est uniquement pour les utilisateurs finaux. Ils doivent d’abord inscrire leurs méthodes d’authentification souhaitées. Lorsqu’un utilisateur accède au portail SSPR, la plateforme Microsoft Entra prend en compte les facteurs suivants :
- Comment la page doit-elle être localisée ?
- Le compte d’utilisateur est-il valide ?
- Quelle organisation appartient l’utilisateur ?
- Où est géré le mot de passe de l’utilisateur ?
Lorsqu’un utilisateur sélectionne le lien Impossible d’accéder au lien de votre compte à partir d’une application ou d’une page, ou accède directement à https://aka.ms/sspr, la langue utilisée dans le portail SSPR est basée sur les options suivantes :
- Par défaut, les paramètres régionaux du navigateur sont utilisés pour afficher la SSPR dans la langue appropriée. L’expérience de réinitialisation de mot de passe est localisée dans les mêmes langues prises en charge par Microsoft 365.
- Si vous souhaitez créer un lien vers la SSPR dans une langue localisée spécifique, ajoutez
?mkt=à la fin de l’URL de réinitialisation de mot de passe, ainsi que les paramètres régionaux requis.- Par exemple, pour spécifier les paramètres régionaux es-us espagnols, utilisez
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Par exemple, pour spécifier les paramètres régionaux es-us espagnols, utilisez
Une fois que le portail SSPR s’affiche dans la langue requise, l’utilisateur est invité à entrer un ID d’utilisateur et à passer un captcha. Microsoft Entra ID vérifie maintenant que l’utilisateur est en mesure d’utiliser SSPR en effectuant les vérifications suivantes :
- Vérifie que l’utilisateur a activé SSPR.
- Si l’utilisateur n’est pas activé pour SSPR, l’utilisateur est invité à contacter son administrateur pour réinitialiser son mot de passe.
- Vérifie que l’utilisateur dispose des méthodes d’authentification appropriées définies sur son compte conformément à la stratégie d’administrateur.
- Si la stratégie ne nécessite qu’une seule méthode, vérifiez que l’utilisateur dispose des données appropriées définies pour au moins une des méthodes d’authentification activées par la stratégie d’administrateur.
- Si les méthodes d’authentification ne sont pas configurées, l’utilisateur est invité à contacter son administrateur pour réinitialiser son mot de passe.
- Si la stratégie nécessite deux méthodes, vérifiez que l’utilisateur dispose des données appropriées définies pour au moins deux des méthodes d’authentification activées par la stratégie d’administrateur.
- Si les méthodes d’authentification ne sont pas configurées, l’utilisateur est invité à contacter son administrateur pour réinitialiser son mot de passe.
- Si un rôle d’administrateur Azure est attribué à l’utilisateur, la stratégie de mot de passe à deux portes forte est appliquée. Pour plus d’informations, consultez Différences en matière de stratégie de réinitialisation par l’administrateur.
- Si la stratégie ne nécessite qu’une seule méthode, vérifiez que l’utilisateur dispose des données appropriées définies pour au moins une des méthodes d’authentification activées par la stratégie d’administrateur.
- Vérifie si le mot de passe de l’utilisateur est géré localement, par exemple si le locataire Microsoft Entra utilise l’authentification fédérée, l’authentification directe ou la synchronisation de hachage de mot de passe :
- Si l’écriture différée SSPR est configurée et que le mot de passe de l’utilisateur est géré localement, l’utilisateur est autorisé à procéder à l’authentification et à la réinitialisation de son mot de passe.
- Si l’écriture différée SSPR n’est pas déployée et que le mot de passe de l’utilisateur est géré localement, l’utilisateur est invité à contacter son administrateur pour réinitialiser son mot de passe.
Si toutes les vérifications précédentes sont correctement effectuées, l’utilisateur est guidé dans le processus de réinitialisation ou de modification de son mot de passe.
Remarque
SSPR peut envoyer des notifications par e-mail aux utilisateurs dans le cadre du processus de réinitialisation de mot de passe. Ces e-mails sont envoyés à l’aide du service de relais SMTP, qui fonctionne en mode actif-actif dans plusieurs régions.
Les services de relais SMTP reçoivent et traitent le corps de l’e-mail, mais ne le stockent pas. Le corps de l’e-mail SSPR susceptible de contenir des informations fournies par le client n’est pas stocké dans les journaux du service de relais SMTP. Les journaux contiennent uniquement des métadonnées de protocole.
Pour bien démarrer avec SSPR, suivez le tutoriel suivant :
Exiger que les utilisateurs s’inscrivent lorsqu’ils se connectent
Vous pouvez activer l’option permettant à un utilisateur de terminer l’inscription SSPR s’il utilise l’authentification moderne ou le navigateur web pour se connecter à toutes les applications à l’aide de l’ID Microsoft Entra. Ce flux de travail inclut les applications suivantes :
- Microsoft 365
- Centre d’administration Microsoft Entra
- Volet d'accès
- Applications fédérées
- Applications personnalisées utilisant l’ID Microsoft Entra
Lorsque vous n’avez pas besoin d’inscription, les utilisateurs ne sont pas invités lors de la connexion, mais ils peuvent s’inscrire manuellement. Les utilisateurs peuvent visiter https://aka.ms/ssprsetup ou sélectionner le lien Inscrire pour la réinitialisation de mot de passe sous l’onglet Profil dans le volet d’accès.
Remarque
Les utilisateurs peuvent ignorer le portail d’inscription SSPR en sélectionnant annuler ou en fermant la fenêtre. Toutefois, ils sont invités à s’inscrire chaque fois qu’ils se connectent jusqu’à ce qu’ils terminent leur inscription.
Cette interruption pour s’inscrire à SSPR n’interrompt pas la connexion de l’utilisateur s’il est déjà connecté.
Informations d’authentification reconfirmer
Vous pouvez demander aux utilisateurs de confirmer leurs informations d’authentification après une certaine période de temps. Cette option est disponible uniquement si vous activez l’option Exiger que les utilisateurs s’inscrivent lors de la connexion.
Valeurs valides pour inviter un utilisateur à confirmer que ses informations d’authentification sont comprises entre 0 et 730 jours. La définition de cette valeur sur 0 signifie que les utilisateurs ne sont jamais invités à confirmer leurs informations d’authentification. Les utilisateurs doivent se connecter avant de pouvoir reconfirmer leurs informations.
Remarque
Si SSPR nécessite plusieurs méthodes d’authentification, un utilisateur qui supprime une méthode n’est pas tenu de confirmer ses informations d’authentification tant qu’il n’a pas atteint le nombre de jours avant que les utilisateurs ne soient invités à confirmer à nouveau leurs informations d’authentification.
Méthodes d’authentification
Lorsqu’un utilisateur est activé pour SSPR, il doit inscrire au moins une méthode d’authentification. Nous vous recommandons vivement de choisir deux méthodes d’authentification ou plus afin que vos utilisateurs aient plus de flexibilité au cas où ils ne parviennent pas à accéder à une méthode lorsqu’ils en ont besoin. Pour plus d'informations, consultez Quelles sont les méthodes d'authentification ?.
Les méthodes d’authentification suivantes sont disponibles pour SSPR :
- Notifications push de Microsoft Authenticator
- Jetons matériels OATH (version préliminaire)
- Jetons logiciels OATH
- Connexion à Short Message Service (SMS)
- Appel vocal
- Email otP
Les utilisateurs peuvent réinitialiser leur mot de passe uniquement s’ils inscrivent une méthode d’authentification activée par l’administrateur.
Avertissement
Les comptes auxquels des rôles d’administrateur Azure sont attribués sont tenus d’utiliser des méthodes définies dans la section Différences de stratégie de réinitialisation de l’administrateur.
Nombre de méthodes d’authentification requises
Vous pouvez configurer le nombre de méthodes d’authentification disponibles qu’un utilisateur doit fournir pour réinitialiser ou déverrouiller son mot de passe. Cette valeur peut être définie sur une ou deux.
Les utilisateurs doivent inscrire plusieurs méthodes d’authentification afin qu’ils puissent se connecter d’une autre façon s’ils ne peuvent pas accéder à une méthode.
Si un utilisateur n’inscrit pas le nombre minimal de méthodes requises, il voit une page d’erreur lorsqu’il tente d’utiliser SSPR. Ils doivent demander à un administrateur de réinitialiser son mot de passe. Pour plus d’informations, consultez Modifier les méthodes d’authentification.
Application mobile et SSPR
Lorsque vous utilisez une application mobile comme méthode de réinitialisation de mot de passe, comme Microsoft Authenticator, les considérations suivantes s’appliquent si une organisation n’a pas migré vers la stratégie de méthodes d’authentification centralisées :
- Lorsque les administrateurs nécessitent qu’une méthode soit utilisée pour réinitialiser un mot de passe, le code de vérification est la seule option disponible.
- Lorsque les administrateurs nécessitent deux méthodes pour réinitialiser un mot de passe, les utilisateurs peuvent utiliser le code de vérification OR de notification en plus des autres méthodes activées.
| Nombre de méthodes requises pour réinitialiser | Une | Deux |
|---|---|---|
| Fonctionnalités d’application mobile disponibles | Code | Code ou notification |
Les utilisateurs peuvent inscrire leur application mobile à l’adresse https://aka.ms/mfasetup, ou dans l’inscription combinée des informations de sécurité à l’adresse https://aka.ms/setupsecurityinfo.
Importante
L’authentificateur ne peut pas être sélectionné comme seule méthode d’authentification quand une seule méthode est requise. De même, Authenticator et une seule méthode supplémentaire ne peuvent pas être sélectionnées si vous avez besoin de deux méthodes.
Lors de la configuration des stratégies SSPR qui incluent l’application Authenticator en tant que méthode, au moins une méthode supplémentaire doit être sélectionnée quand une méthode est requise et au moins deux méthodes supplémentaires doivent être sélectionnées lors de la configuration de deux méthodes.
Changer les méthodes d’authentification
Si vous commencez par une stratégie qui n’a qu’une seule méthode d’authentification requise pour la réinitialisation ou le déverrouillage enregistré et que vous changez cela en deux méthodes, que se passe-t-il ?
| Nombre de méthodes inscrites | Nombre de méthodes requises | Résultat |
|---|---|---|
| 1 ou plus | 1 | Possibilité de réinitialiser ou de déverrouiller |
| 1 | 2 | Impossible de réinitialiser ou de déverrouiller |
| 2 ou plus | 2 | Possibilité de réinitialiser ou de déverrouiller |
La modification des méthodes d’authentification disponibles peut également entraîner des problèmes pour les utilisateurs. Si vous modifiez les méthodes d’authentification disponibles, les utilisateurs sans la quantité minimale de données disponibles ne peuvent pas utiliser SSPR.
Examinez l’exemple de scénario suivant :
- La stratégie d’origine est configurée avec deux méthodes d’authentification requises. Il se sert uniquement du numéro de téléphone du bureau et des questions de sécurité.
- L’administrateur modifie la stratégie pour ne plus utiliser les questions de sécurité, mais autorise l’utilisation d’un téléphone mobile et d’un autre e-mail.
- Les utilisateurs sans téléphone mobile ou champs de messagerie alternatifs renseignés ne peuvent pas réinitialiser leurs mots de passe.
Avis
Pour améliorer la sensibilisation aux événements de mot de passe, SSPR vous permet de configurer des notifications pour les utilisateurs et les administrateurs d’identité.
Notifier les utilisateurs lors des réinitialisations de mot de passe ?
Si cette option est définie sur Oui, les utilisateurs réinitialisant leur mot de passe reçoivent un e-mail leur informant que leur mot de passe a été modifié. L’e-mail est envoyé via le portail SSPR à leurs adresses e-mail principales et alternatives stockées dans l’ID Microsoft Entra. Si aucune adresse e-mail principale ou autre n’est définie, SSPR tente une notification par e-mail via le nom d’utilisateur principal des utilisateurs (UPN). Personne d’autre n’est averti de l’événement de réinitialisation.
Avertir tous les administrateurs lorsque d’autres administrateurs réinitialisent leurs mots de passe
Si cette option est définie sur Oui, les administrateurs généraux reçoivent un e-mail à leur adresse e-mail principale stockée dans l’ID Microsoft Entra. L’e-mail les informe qu’un autre administrateur a modifié son mot de passe à l’aide de SSPR.
Remarque
Les notifications par e-mail du service SSPR sont envoyées à partir des adresses suivantes en fonction du cloud Azure avec lequel vous travaillez :
- Public : msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure géré par 21Vianet (Azure en Chine) : msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure pour le gouvernement des États-Unis : msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Si vous observez des problèmes lors de la réception des notifications, vérifiez vos paramètres de courrier indésirable.
Si vous souhaitez que les administrateurs personnalisés reçoivent les e-mails de notification, utilisez des personnalisations SSPR et configurez un lien de support technique personnalisé ou un e-mail.
Intégration locale
Dans un environnement hybride, vous pouvez configurer la synchronisation cloud Microsoft Entra Connect pour réécrire les événements de modification de mot de passe de Microsoft Entra ID dans un répertoire local.
Microsoft Entra ID vérifie votre connectivité hybride actuelle et fournit des messages dans le Centre d’administration Microsoft Entra. Pour obtenir de l’aide sur la résolution des erreurs possibles, consultez Résoudre les problèmes liés à Microsoft Entra Connect.
Pour bien démarrer avec SSPR writeback, suivez le tutoriel suivant :
Réécrire les mots de passe dans votre répertoire local
Vous pouvez activer l’écriture différée du mot de passe à l’aide du Centre d’administration Microsoft Entra. Vous pouvez également désactiver temporairement la réécriture du mot de passe sans avoir à reconfigurer Microsoft Entra Connect.
- Si l’option est définie sur Oui, l’écriture différée est activée. Les utilisateurs fédérés, ceux utilisant l'authentification de type pass-through ou synchronisation de hachage de mot de passe peuvent réinitialiser leurs mots de passe.
- Si l’option est définie sur Non, l’écriture différée est désactivée. Les utilisateurs fédérés, pass-through authentication ou password hash synchronisés ne sont pas en mesure de réinitialiser leurs mots de passe.
Autoriser les utilisateurs à déverrouiller des comptes sans réinitialiser leur mot de passe
Par défaut, Microsoft Entra ID déverrouille les comptes quand il effectue une réinitialisation de mot de passe. Pour offrir une flexibilité, vous pouvez choisir d’autoriser les utilisateurs à déverrouiller leurs comptes locaux sans avoir à réinitialiser leur mot de passe. Utilisez ce paramètre pour séparer ces deux opérations.
- Si la valeur est Oui, les utilisateurs ont la possibilité de réinitialiser leur mot de passe et de déverrouiller le compte, ou de déverrouiller leur compte sans avoir à réinitialiser le mot de passe.
- S’il est défini sur Non, les utilisateurs ne peuvent effectuer qu’une opération combinée de réinitialisation de mot de passe et de déverrouillage de compte.
Filtres de mot de passe Active Directory locaux
SSPR effectue l’équivalent d’une réinitialisation de mot de passe initiée par l’administrateur dans Active Directory. Si vous utilisez un filtre de mot de passe tiers pour appliquer des règles de mot de passe personnalisées et que vous avez besoin que ce filtre de mot de passe soit vérifié lors de la réinitialisation du mot de passe libre-service de Microsoft Entra, vérifiez que la solution de filtre de mot de passe tierce est configurée pour s’appliquer dans le scénario de réinitialisation de mot de passe administrateur. La protection par mot de passe Microsoft Entra pour les services de domaine Active Directory est prise en charge par défaut.
Réinitialisation de mot de passe pour les utilisateurs B2B
La réinitialisation et la modification du mot de passe sont entièrement prises en charge sur toutes les configurations business-to-business (B2B). La réinitialisation du mot de passe utilisateur B2B est prise en charge dans les trois cas suivants :
- Utilisateurs d’une organisation partenaire avec un locataire Microsoft Entra existant : si votre partenaire dispose d’un locataire Microsoft Entra, nous respectons les stratégies de réinitialisation de mot de passe activées sur ce locataire. Pour que la réinitialisation de mot de passe fonctionne, l’organisation partenaire doit simplement s’assurer que Microsoft Entra SSPR est activé. Il n’y a pas d’autres frais pour les clients Microsoft 365.
- Utilisateurs qui s’inscrivent via l’inscription en libre-service : si votre partenaire a utilisé la fonctionnalité d’inscription en libre-service pour accéder à un locataire, nous leur permettant de réinitialiser le mot de passe avec l’e-mail qu’ils ont inscrit.
- Utilisateurs B2B : tous les nouveaux utilisateurs B2B créés à l’aide des nouvelles fonctionnalités Microsoft Entra B2B peuvent également réinitialiser leurs mots de passe avec l’e-mail qu’ils ont inscrit pendant le processus d’invitation.
Pour tester ce scénario, allez à https://passwordreset.microsoftonline.com avec l’un de ces utilisateurs partenaires. Si l’utilisateur a défini un autre e-mail ou e-mail d’authentification, la réinitialisation du mot de passe fonctionne comme prévu.
Remarque
Les comptes Microsoft disposant d’un accès invité à votre locataire Microsoft Entra, tels que ceux de Hotmail.com, de Outlook.com ou d’autres adresses de messagerie personnelles, ne peuvent pas utiliser Microsoft Entra SSPR. Pour plus d’informations, consultez Quand vous ne pouvez pas vous connecter à votre compte Microsoft.
Étapes suivantes
Pour bien démarrer avec SSPR, suivez le tutoriel suivant :