Partager via

Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?

Microsoft Entra réinitialisation de mot de passe en auto-assistance (SSPR) permet aux utilisateurs de réinitialiser leurs mots de passe dans le cloud, mais la plupart des entreprises disposent également d'un environnement local d'Active Directory Domain Services (AD DS) pour les utilisateurs. La réécriture du mot de passe permet de réécrire les modifications de mot de passe dans un répertoire local en temps réel à l’aide de Microsoft Entra Connect ou de la synchronisation cloud Microsoft Entra Connect. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe à l’aide de SSPR dans le cloud, les mots de passe mis à jour sont également réécrits dans l’environnement AD DS local.

Importante

Cet article conceptuel explique à un administrateur le fonctionnement de la réécriture de la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

L’écriture différée de mot de passe est prise en charge dans les environnements qui utilisent les modèles d’identité hybride suivants :

Remarque

Le SSPR avec réécriture vers un domaine local n’est pas pris en charge lorsque le déploiement progressif est activé pour un groupe de sécurité. Bien qu’elle fonctionne dans certains cas, la SSPR ne peut pas être garantie de fonctionner de manière cohérente lorsque le déploiement intermédiaire est activé.

La réécriture du mot de passe fournit les fonctionnalités suivantes :

  • Application des stratégies de mot de passe ad DS (Active Directory Domain Services) locales : lorsqu’un utilisateur réinitialise son mot de passe, il est vérifié pour s’assurer qu’il répond à votre stratégie AD DS locale avant de la valider dans ce répertoire. Cette révision inclut la vérification de l’historique, de la complexité, de l’âge, des filtres de mot de passe et des autres restrictions de mot de passe que vous définissez dans AD DS.
  • Retour sans délai : la réécriture du mot de passe est une opération synchrone. Les utilisateurs sont avertis immédiatement si leur mot de passe ne répond pas à la stratégie ou ne peut pas être réinitialisé ou modifié pour une raison quelconque.
  • Prend en charge les modifications de mot de passe à partir du volet d’accès et de Microsoft 365 : lorsque les utilisateurs fédérés ou synchronisés par hachage de mot de passe viennent modifier leurs mots de passe expirés ou non expirés, ces mots de passe sont réécrits dans AD DS.
  • Prend en charge l’écriture différée de mot de passe lorsqu’un administrateur les réinitialise à partir du Centre d’administration Microsoft Entra : lorsqu’un administrateur réinitialise le mot de passe d’un utilisateur dans le centre d’administration Microsoft Entra, si cet utilisateur est fédéré ou synchronisé, le mot de passe est réécrit en local. Cette fonctionnalité n’est actuellement pas prise en charge dans le portail d’administration Office.
  • Ne nécessite aucune règle de pare-feu entrante : la réécriture du mot de passe utilise un relais Azure Service Bus en tant que canal de communication sous-jacent. Toutes les communications sont sortantes sur le port 443.
  • Prend en charge le déploiement au niveau du domaine côte à côte à l’aide de Microsoft Entra Connect ou de la synchronisation cloud pour cibler différents ensembles d’utilisateurs en fonction de leurs besoins, y compris les utilisateurs qui se trouvent dans des domaines déconnectés.

Remarque

Le compte de service local qui gère les demandes d’écriture différée de mot de passe ne peut pas modifier les mots de passe des utilisateurs appartenant à des groupes protégés. Les administrateurs peuvent modifier leur mot de passe dans le cloud, mais ils ne peuvent pas utiliser la réécriture du mot de passe pour réinitialiser un mot de passe oublié pour leur utilisateur local. Pour plus d’informations sur les groupes protégés, consultez Comptes et groupes protégés dans AD DS.

Pour bien démarrer avec la rétroécriture SSPR, suivez un ou les deux didacticiels suivants :

Déploiement côte à côte de Microsoft Entra Connect et de la synchronisation cloud

Vous pouvez déployer Microsoft Entra Connect et la synchronisation cloud côte à côte dans différents domaines pour cibler différents ensembles d’utilisateurs. Cela permet aux utilisateurs existants de continuer à réécrire les modifications de mot de passe tout en ajoutant l’option dans les cas où les utilisateurs se trouvent dans des domaines déconnectés en raison d’une fusion ou d’un fractionnement d’entreprise. Microsoft Entra Connect et la synchronisation cloud peuvent être configurées dans différents domaines afin que les utilisateurs d’un domaine puissent utiliser Microsoft Entra Connect, tandis que les utilisateurs d’un autre domaine utilisent la synchronisation cloud. La synchronisation cloud peut également fournir une disponibilité plus élevée, car elle ne s’appuie pas sur une seule instance de Microsoft Entra Connect. Pour obtenir une comparaison des fonctionnalités fournies par ces deux options de déploiement, consultez Comparaison entre Microsoft Entra Connect et la synchronisation cloud.

Fonctionnement de la réécriture du mot de passe

Lorsqu’un compte d’utilisateur configuré pour la fédération, la synchronisation de hachage de mot de passe (ou, dans le cas d’un déploiement Microsoft Entra Connect, l’authentification directe) tente de réinitialiser ou de modifier un mot de passe dans le cloud, les actions suivantes se produisent :

  1. Une vérification est effectuée pour voir quel type de mot de passe l’utilisateur a. Si le mot de passe est géré localement :

    • Vérification du bon fonctionnement du service de réécriture. Si c’est le cas, l’utilisateur peut continuer.
    • Si le service de réinitialisation est arrêté, l’utilisateur est informé que son mot de passe ne peut pas être réinitialisé pour le moment.

  2. Ensuite, l'utilisateur passe les portes d'authentification appropriées et atteint la page Réinitialiser le mot de passe.

  3. L’utilisateur sélectionne un nouveau mot de passe et le confirme.

  4. Lorsque l’utilisateur sélectionne Envoyer, le mot de passe en texte clair est chiffré avec une clé publique créée pendant le processus d’installation de la réécriture.

  5. Le mot de passe chiffré est inclus dans une charge utile qui est envoyée via un canal HTTPS à votre relais Service Bus spécifique à l’abonné (configuré pour vous lors du processus d’installation de la réécriture). Ce relais est protégé par un mot de passe généré de manière aléatoire que seule votre installation locale connaît.

  6. Une fois que le message atteint le bus de service, le point de terminaison de réinitialisation de mot de passe se réactive automatiquement et constate qu'il y a une demande de réinitialisation en attente.

  7. Le service recherche ensuite l’utilisateur à l’aide de l’attribut d’ancre cloud. Pour que cette recherche réussisse, les conditions suivantes doivent être remplies :

    • L’objet utilisateur doit exister dans l’espace du connecteur AD DS.
    • L’objet utilisateur doit être lié à l’objet métaverse (MV) correspondant.
    • L’objet utilisateur doit être lié à l’objet connecteur Microsoft Entra correspondant.
    • Le lien de l’objet connecteur AD DS vers la MV doit avoir la règle Microsoft.InformADUserAccountEnabled.xxx de synchronisation sur le lien.

    Lorsque l’appel provient du cloud, le moteur de synchronisation utilise l’attribut cloudAnchor pour rechercher l’objet d’espace du connecteur Microsoft Entra. Il suit ensuite le lien vers l’objet MV, puis le lien vers l’objet AD DS. Étant donné qu’il peut y avoir plusieurs objets AD DS (forêts multiples) pour le même utilisateur, le moteur de synchronisation s’appuie sur le Microsoft.InformADUserAccountEnabled.xxx lien pour choisir celui qui convient.

  8. Une fois le compte d’utilisateur trouvé, une tentative de réinitialisation du mot de passe directement dans la forêt AD DS appropriée est effectuée.

  9. Si l’opération de définition du mot de passe réussit, l’utilisateur est informé que son mot de passe a été modifié.

    Remarque

    Si le hachage de mot de passe de l’utilisateur est synchronisé avec l’ID Microsoft Entra à l’aide de la synchronisation de hachage de mot de passe, il est possible que la stratégie de mot de passe locale soit plus faible que la stratégie de mot de passe cloud. Dans ce cas, la stratégie locale est appliquée. Cette stratégie garantit que votre stratégie locale est appliquée dans le cloud, peu importe si vous utilisez la synchronisation de hachage de mot de passe ou la fédération pour fournir l’authentification unique.

  10. Si l’opération de définition de mot de passe échoue, une erreur invite l’utilisateur à réessayer. L’opération peut échouer en raison des raisons suivantes :

    • Le service a été arrêté.
    • Le mot de passe sélectionné ne répond pas aux stratégies de l’organisation.
    • Impossible de trouver l’utilisateur dans l’environnement AD DS local.

    Les messages d’erreur fournissent des conseils aux utilisateurs afin qu’ils puissent tenter de résoudre sans intervention de l’administrateur.

Sécurité de la réécriture du mot de passe

La réécriture du mot de passe est un service hautement sécurisé. Pour vous assurer que vos informations sont protégées, un modèle de sécurité à quatre niveaux est activé comme suit :

  • Relais de Service Bus propre au client
    • Lorsque vous configurez le service, un relais Service Bus spécifique au locataire est configuré, protégé par un mot de passe fort généré de manière aléatoire auquel Microsoft n’a jamais accès.
  • Clé de cryptage de mot de passe fortement cryptographique et verrouillée
    • Une fois le relais Service Bus créé, une clé symétrique forte est créée qui est utilisée pour chiffrer le mot de passe lorsqu’il se trouve sur le réseau. Cette clé réside uniquement dans le magasin secret de votre entreprise dans le cloud, qui est fortement verrouillée et auditée, tout comme n’importe quel autre mot de passe dans l’annuaire.
  • Sécurité de la couche de transport (TLS) standard du secteur
    1. Lorsqu’une opération de réinitialisation ou de modification de mot de passe se produit dans le cloud, le mot de passe en texte clair est chiffré avec votre clé publique.
    2. Le mot de passe chiffré est placé dans un message HTTPS envoyé via un canal chiffré à l’aide de certificats Microsoft TLS/SSL à votre relais Service Bus.
    3. Une fois le message arrivé dans le service bus, votre agent local se réveille et s’authentifie auprès du service bus à l’aide du mot de passe fort généré précédemment.
    4. L’agent local récupère le message chiffré et le déchiffre à l’aide de la clé privée.
    5. L’agent local tente de définir le mot de passe via l’API SetPassword AD DS. Cette étape permet l’application de votre stratégie de mot de passe locale AD DS (telle que la complexité, l’âge, l’historique et les filtres) dans le cloud.
  • Stratégies d’expiration des messages
    • Si le message se trouve dans le Service Bus, car votre service sur site est indisponible, il atteint son délai d'expiration et est supprimé après plusieurs minutes. Le délai d’attente et la suppression du message augmentent encore davantage la sécurité.

Détails du chiffrement de réécriture du mot de passe

Une fois qu’un utilisateur a envoyé une réinitialisation de mot de passe, la demande de réinitialisation passe par plusieurs étapes de chiffrement avant qu’elle arrive dans votre environnement local. Ces étapes de chiffrement garantissent la fiabilité et la sécurité maximales du service. Elles sont décrites comme suit :

  1. Chiffrement de mot de passe avec une clé RSA 2048 bits : une fois qu’un utilisateur a envoyé un mot de passe pour être réécrit en local, le mot de passe envoyé lui-même est chiffré avec une clé RSA 2048 bits.
  2. Chiffrement au niveau du package avec AES-GCM 256 bits : l’ensemble du package, le mot de passe et les métadonnées requises, est chiffré à l’aide de AES-GCM (avec une taille de clé de 256 bits). Ce chiffrement empêche toute personne disposant d’un accès direct au canal Service Bus sous-jacent d’afficher ou de falsifier le contenu.
  3. Toutes les communications se produisent via TLS/SSL : toutes les communications avec Service Bus se produisent dans un canal SSL/TLS. Ce chiffrement sécurise le contenu des tiers non autorisés.
  4. Substitution automatique des clés toutes les six mois : toutes les clés sont déployées tous les six mois, ou chaque fois que la réécriture du mot de passe est désactivée, puis réactivée sur Microsoft Entra Connect, pour garantir la sécurité et la sécurité maximales du service.

Utilisation de la bande passante d’écriture différée du mot de passe

La réécriture du mot de passe est un service à faible bande passante qui renvoie uniquement les requêtes à l’agent local dans les circonstances suivantes :

  • Deux messages sont envoyés lorsque la fonctionnalité est activée ou désactivée via Microsoft Entra Connect.
  • Un message est envoyé une fois toutes les cinq minutes comme battement de service, tant que le service fonctionne.
  • Deux messages sont envoyés chaque fois qu’un nouveau mot de passe est envoyé :
    • Le premier message est une demande d’exécution de l’opération.
    • Le deuxième message contient le résultat de l’opération et est envoyé dans les circonstances suivantes :
      • Chaque fois qu’un nouveau mot de passe est envoyé lors d’une réinitialisation de mot de passe en libre-service de l’utilisateur.
      • Chaque fois qu’un nouveau mot de passe est envoyé pendant une opération de modification de mot de passe utilisateur.
      • Chaque fois qu’un nouveau mot de passe est envoyé lors d’une réinitialisation de mot de passe de l’utilisateur initiée par l’administrateur (uniquement à partir des portails d’administration Entra).

Considérations relatives à la taille et à la bande passante des messages

La taille de chacun des messages décrits précédemment est généralement inférieure à 1 Ko. Même sous des charges extrêmes, le service d’écriture différée de mot de passe lui-même consomme quelques kilobits par seconde de bande passante. Étant donné que chaque message est envoyé en temps réel, uniquement lorsqu’il est requis par une opération de mise à jour de mot de passe et que la taille du message est si petite, l’utilisation de la bande passante de la fonctionnalité d’écriture différée est trop petite pour avoir un impact mesurable.

Opérations de réécriture prises en charge

Les mots de passe sont réécrits dans toutes les situations suivantes :

  • Opérations de l’utilisateur final prises en charge

    • Tout changement volontaire de mot de passe en libre-service de l’utilisateur final
    • Tout changement forcé de mot de passe en libre-service de l’utilisateur final (par exemple, expiration du mot de passe)
    • Toute réinitialisation de mot de passe en libre-service de l’utilisateur final provenant du portail de réinitialisation de mot de passe.

  • Opérations d’administrateur prises en charge

    • Tout changement volontaire de mot de passe en libre-service de l’administrateur
    • Tout changement forcé de mot de passe en libre-service de l’administrateur (par exemple, expiration du mot de passe)
    • Toute réinitialisation de mot de passe en libre-service de l’administrateur provenant du portail de réinitialisation de mot de passe.
    • Toute réinitialisation de mot de passe de l'utilisateur final lancée par l'administrateur à partir du Centre d'administration Microsoft Entra.
    • Toute réinitialisation de mot de passe de l’utilisateur final initiée par l’administrateur à partir de l’API Microsoft Graph.

Opérations de rétroécriture non prises en charge

Les mots de passe ne sont pas réécrits dans l’une des situations suivantes :

  • Opérations d’utilisateur final non prises en charge

    • Toute réinitialisation de mot de passe de l’utilisateur final lancée par ce dernier à l’aide de PowerShell (version 1 ou version 2) ou l’API Microsoft Graph

  • Opérations d’administrateur non prises en charge

    • Toute réinitialisation de mot de passe de l’utilisateur final initiée par l’administrateur à partir de PowerShell version 1 ou de la version 2.
    • Toute réinitialisation de mot de passe de l’utilisateur final initiée par l’administrateur à partir du Centre d’administration Microsoft 365.
    • N’importe quel administrateur ne peut pas utiliser l’outil de réinitialisation de mot de passe en vue de réinitialiser son propre mot de passe pour la réécriture du mot de passe.

Remarque

Si un utilisateur a l’option « Mot de passe n’expire jamais » définie dans Active Directory (AD), l’indicateur de modification de mot de passe forcé ne sera pas défini dans Active Directory (AD), de sorte que l’utilisateur ne sera pas invité à modifier le mot de passe pendant la prochaine connexion même si l’option forcer l’utilisateur à modifier son mot de passe lors de la prochaine option d’ouverture de session est sélectionnée lors d’une réinitialisation de mot de passe de l’utilisateur final initiée par l’administrateur.

Étapes suivantes

Pour bien démarrer avec SSPR writeback, suivez le tutoriel suivant :

Tutoriel : Activer la réécriture SSPR (réinitialisation de mot de passe en libre-service)

  • Last updated on