Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : 
Locataires de main-d’œuvre (en savoir plus)
Conseil
Cet article s’applique à la collaboration B2B et à la connexion directe B2B dans les locataires de personnel. Pour plus d’informations sur les locataires externes, consultez Sécurité et gouvernance dans Microsoft Entra External ID.
Lorsqu’un utilisateur externe accède aux ressources de votre organisation, le flux d’authentification est déterminé par la méthode de collaboration (B2B Collaboration ou connexion directe B2B), le fournisseur d’identité de l’utilisateur (un locataire Microsoft Entra externe, le fournisseur d’identité sociale, et ainsi de suite), les stratégies d’accès conditionnel et les paramètres d’accès interlocataire configurés à la fois dans le locataire domestique de l’utilisateur et les ressources d’hébergement du locataire.
Cet article décrit le flux d’authentification des utilisateurs externes qui accèdent aux ressources de votre organisation. Les organisations peuvent appliquer plusieurs stratégies d’accès conditionnel à leurs utilisateurs externes au niveau du locataire, de l’application ou de l’utilisateur, de la même façon qu’elles sont appliquées aux employés à plein temps et aux membres de l’organisation.
Flux d’authentification pour les utilisateurs externes de Microsoft Entra
Le diagramme suivant illustre le flux d’authentification lorsqu’une organisation Microsoft Entra partage des ressources avec des utilisateurs d’autres organisations Microsoft Entra. Ce diagramme montre comment les paramètres d’accès multilocataire fonctionnent avec les stratégies d’accès conditionnel, telles que l’authentification multifacteur, pour déterminer si l’utilisateur peut accéder aux ressources. Ce flux s’applique à la collaboration B2B et à la connexion directe B2B, sauf dans les cas indiqués à l’étape 6.
| Étape | Descriptif |
|---|---|
| 1 | Un utilisateur de Fabrikam ( locataire d’accueil de l’utilisateur) lance la connexion à une ressource dans Contoso (le locataire de ressource). |
| 2 | Lors de la connexion, le service d’émission de jeton de sécurité (STS, security token service) Microsoft Entra évalue les stratégies d’accès conditionnel de Contoso. Il vérifie également si l’utilisateur Fabrikam est autorisé à accéder en évaluant les paramètres d’accès multilocataire (paramètres sortants de Fabrikam et paramètres entrants de Contoso). |
| 3 | Microsoft Entra ID vérifie les paramètres d’approbation entrants de Contoso pour voir si Contoso approuve les revendications MFA et d’appareil (conformité des appareils, état Joint via la jonction Microsoft Entra hybride) de Fabrikam. Si ce n’est pas le cas, passez à l’étape 6. |
| 4 | Si Contoso approuve les revendications MFA et d’appareil provenant de Fabrikam, Microsoft Entra ID recherche dans la session d’authentification de l’utilisateur une indication prouvant que celui-ci a effectué une authentification MFA. Si Contoso approuve les informations d’appareil provenant de Fabrikam, Microsoft Entra ID recherche une revendication dans la session d’authentification indiquant l’état de l’appareil (conforme ou jonction Microsoft Entra hybride). |
| 5 | Si l’authentification MFA est nécessaire mais qu’elle n’a pas été effectuée, ou si aucune revendication d’appareil n’est fournie, Microsoft Entra ID émet des demandes de revendications MFA et d’appareil dans le locataire d’origine de l’utilisateur, selon les besoins. Lorsque les conditions MFA et d’appareil sont remplies dans Fabrikam, l’utilisateur est autorisé à accéder à la ressource dans Contoso. Si les conditions ne sont pas remplies, l’accès est bloqué. |
| 6 | Quand aucun paramètre d’approbation n’est configuré et que l’authentification multifacteur est requise, les utilisateurs de la collaboration B2B sont invités à utiliser l’authentification multifacteur. Ils doivent satisfaire aux exigences de l’authentification multifacteur dans le locataire de la ressource. L’accès est bloqué pour les utilisateurs de la connexion directe B2B. Si la conformité de l’appareil est requise mais ne peut pas être évaluée, l’accès est bloqué pour les utilisateurs de la collaboration B2B et de la connexion directe B2B. |
Pour plus d’informations, consultez la section Accès conditionnel pour les utilisateurs externes .
Flux d’authentification pour les utilisateurs externes non-Microsoft Entra ID
Lorsqu’une organisation Microsoft Entra partage des ressources avec des utilisateurs externes dont le fournisseur d’identité n’est pas Microsoft Entra ID, le flux d’authentification varie selon que l’utilisateur s’authentifie auprès d’un fournisseur d’identité ou avec une authentification par code secret à usage unique envoyé par e-mail. Dans les deux cas, le locataire de la ressource identifie la méthode d’authentification à utiliser, puis redirige l’utilisateur vers son fournisseur d’identité ou émet un code secret à usage unique.
Exemple 1 : Flux d’authentification et jeton pour un utilisateur externe non Microsoft Entra ID
Le diagramme suivant illustre le flux d’authentification lorsqu’un utilisateur externe se connecte avec un compte à partir d’un fournisseur d’identité autre que Microsoft Entra ID, tel que Google, Facebook ou un fournisseur d’identité SAML/WS-Fed fédéré.
| Étape | Descriptif |
|---|---|
| 1 | L’utilisateur invité B2B demande l’accès à une ressource. La ressource redirige l’utilisateur vers son locataire, un IdP approuvé. |
| 2 | Le locataire de la ressource identifie l’utilisateur comme étant externe, puis le redirige vers l’idP de cet utilisateur invité B2B. L’utilisateur procède à l’authentification principale auprès de l’IdP. |
| 3 | Les stratégies d’autorisation sont évaluées dans le fournisseur d’identité de l’utilisateur invité B2B. Si l’utilisateur répond à ces stratégies, le fournisseur d’identité de l’utilisateur invité B2B émet un jeton à l’utilisateur. L’utilisateur est redirigé vers le locataire de la ressource avec le jeton. Le locataire de la ressource valide le jeton, puis évalue l’utilisateur par rapport à ses stratégies d’accès conditionnel. Par exemple, le locataire de la ressource peut exiger que l’utilisateur effectue une authentification multifacteur Microsoft Entra. |
| 4 | Les paramètres d’accès multilocataire entrants et les stratégies d’accès conditionnel sont évalués. Si toutes les stratégies sont satisfaites, le locataire de la ressource émet son propre jeton et redirige l’utilisateur vers sa ressource. |
Exemple 2 : Flux et jeton d’authentification pour un utilisateur avec un code secret à usage unique
Le diagramme suivant montre le flux lorsque l’authentification par code secret à usage unique envoyé par e-mail est activée et que l’utilisateur externe n’est pas authentifié par d’autres moyens, par exemple Microsoft Entra ID, compte Microsoft (MSA) ou fournisseur d’identité sociale.
| Étape | Descriptif |
|---|---|
| 1 | L’utilisateur demande l’accès à une ressource située dans un autre locataire. La ressource redirige l’utilisateur vers son locataire, un IdP approuvé. |
| 2 | Le locataire de la ressource identifie l’utilisateur en tant qu’utilisateur doté d’un mot de passe à usage unique par e-mail externe et envoie un e-mail contenant le mot de passe à usage unique à l’utilisateur. |
| 3 | L’utilisateur récupère le mot de passe à usage unique et soumet le code. Le locataire de la ressource évalue l’utilisateur par rapport à ses stratégies d’accès conditionnel. |
| 4 | Une fois que toutes les stratégies d’accès conditionnel sont satisfaites, le locataire de la ressource émet un jeton et redirige l’utilisateur vers sa ressource. |
Accès conditionnel pour les utilisateurs externes
Les organisations peuvent appliquer des stratégies d’accès conditionnel pour les utilisateurs externes de la collaboration B2B et de la connexion directe B2B, en procédant de la même façon que pour les salariés à temps plein et les membres de l’organisation. Avec l’introduction des paramètres d’accès interlocataire, vous pouvez également approuver les revendications MFA et d’appareil des organisations Microsoft Entra externes. Cette section décrit des points importants à prendre en compte pour appliquer un accès conditionnel aux utilisateurs externes à votre organisation.
Note
Les contrôles personnalisés avec accès conditionnel ne sont pas pris en charge pour les approbations entre locataires.
Affectation de stratégies d’accès conditionnel aux types d’utilisateurs externes
Lors de la configuration d’une stratégie d’accès conditionnel, vous avez un contrôle précis sur les types d’utilisateurs externes auxquels vous souhaitez appliquer la stratégie. Les utilisateurs externes sont catégorisés en fonction de la façon dont ils s’authentifient (en interne ou en externe) et de leur relation avec votre organisation (invité ou membre).
- Utilisateurs invités B2B Collaboration : la plupart des utilisateurs qui sont généralement considérés comme des invités appartiennent à cette catégorie. Cet utilisateur B2B Collaboration dispose d’un compte dans une organisation Microsoft Entra externe ou un fournisseur d’identité externe (par exemple une identité sociale) et possède des autorisations au niveau de l’invité dans votre organisation. L’objet utilisateur créé dans votre répertoire Microsoft Entra a pour UserType Invité. Cette catégorie inclut les utilisateurs de la collaboration B2B qui ont été invités et qui ont utilisé l’inscription en libre-service.
- Utilisateurs membres de collaboration B2B - cet utilisateur B2B a un compte dans une organisation Microsoft Entra externe ou un fournisseur d’identité externe (par exemple, identité sociale) et un accès au niveau membre aux ressources de votre organisation. Ce scénario est courant dans les organisations qui se composent de plusieurs locataires, où les utilisateurs sont considérés comme faisant partie de l’organisation au sens large et ont besoin d’un accès au niveau du membre aux ressources des autres locataires de l’organisation. L’objet utilisateur créé dans le répertoire de ressources Microsoft Entra a pour UserType Membre.
- Utilisateurs de connexion directe B2B - Utilisateurs externes qui sont en mesure d’accéder à vos ressources via la connexion directe B2B, qui est une connexion mutuelle bidirectionnelle établie avec une autre organisation Microsoft Entra et permettant une connexion unique à certaines applications Microsoft (actuellement, canaux partagés de Microsoft Teams Connect). Les utilisateurs de connexion directe B2B n’ont pas de présence dans votre organisation Microsoft Entra, mais sont plutôt gérés à partir de l’application (par exemple, par le propriétaire du canal partagé Teams).
- Utilisateurs invités locaux : les utilisateurs invités locaux ont des informations d’identification gérées dans votre annuaire. Avant que la collaboration B2B Microsoft Entra ne soit disponible, il était courant, dans le but de collaborer avec des distributeurs, fournisseurs, prestataires et autres, de configurer pour eux des informations d’identification internes et de les désigner comme invités en définissant l’objet utilisateur UserType sur Invité.
- Utilisateurs du fournisseur de services : les organisations qui servent de fournisseurs de services cloud pour votre organisation (la propriété isServiceProvider dans la configuration propre au partenaire Microsoft Graph est vraie).
- Autres utilisateurs externes : s’applique aux utilisateurs qui ne se trouvent pas dans ces catégories, mais qui ne sont pas considérés comme des membres internes de votre organisation, ce qui signifie qu’ils ne s’authentifient pas en interne via l’ID Microsoft Entra, et l’objet utilisateur créé dans l’annuaire Microsoft Entra de ressource n’a pas de UserType de membre.
Note
La sélection « Tous les utilisateurs invités et externes » a été remplacée par « Utilisateurs invités et externes » et tous ses sous-types. Pour les clients qui avaient auparavant une stratégie d’accès conditionnel avec « Tous les utilisateurs invités et externes » sélectionnée, l’option « Utilisateurs invités et externes » s’affiche désormais avec tous les sous-types sélectionnés. Cette modification de l’expérience utilisateur n’a aucun impact fonctionnel sur la façon dont la stratégie est évaluée par le back-end d’accès conditionnel. La nouvelle sélection fournit aux clients la précision nécessaire pour choisir des types spécifiques d’utilisateurs invités et externes à inclure/exclure de l’étendue de l’utilisateur lors de la création de leur stratégie d’accès conditionnel.
En savoir plus sur les attributions d’utilisateurs d’accès conditionnel.
Comparaison des stratégies d’accès conditionnel External ID
Le tableau suivant fournit une comparaison détaillée de la stratégie de sécurité et des options de conformité dans Microsoft Entra External ID. La stratégie de sécurité et la conformité sont gérées par l’organisation hôte/qui invite dans le cadre de stratégies d’accès conditionnel.
| Politique | Utilisateurs de collaboration B2B | Utilisateurs de connexion directe B2B |
|---|---|---|
| Contrôles d’octroi — Bloquer l’accès | Pris en charge | Pris en charge |
| Contrôles d’octroi - Exiger une authentification multifacteur | Pris en charge | Pris en charge, nécessite la configuration de vos paramètres de confiance entrants pour accepter les revendications MFA de l'organisation externe |
| Contrôles d’octroi — Exiger un appareil conforme | Pris en charge, configuration obligatoire de vos paramètres d’approbation entrante pour accepter les revendications d’appareil conforme de l’organisation externe. | Pris en charge, configuration obligatoire de vos paramètres d’approbation entrante pour accepter les revendications d’appareil conforme de l’organisation externe. |
| Contrôles d’octroi — Exiger un appareil à jonction Microsoft Entra hybride | Pris en charge, configuration obligatoire de vos paramètres d’approbation entrante pour accepter les revendications d’appareil à jonction Microsoft Entra hybride de l’organisation externe. | Pris en charge, configuration obligatoire de vos paramètres d’approbation entrante pour accepter les revendications d’appareil à jonction Microsoft Entra hybride de l’organisation externe. |
| Contrôles d’octroi - Exiger une application cliente approuvée | Non pris en charge | Non pris en charge |
| Contrôles d’octroi - Exiger une stratégie de protection des applications | Non pris en charge | Non pris en charge |
| Contrôles d’octroi - Exiger une modification du mot de passe | Non pris en charge | Non pris en charge |
| Contrôles d’octroi - Conditions d’utilisation | Pris en charge | Non pris en charge |
| Contrôles de session - Utiliser les restrictions appliquées à l’application | Pris en charge | Non pris en charge |
| Contrôles de session - Utiliser le contrôle d’application d’accès conditionnel | Pris en charge | Non pris en charge |
| Contrôles de session - Fréquence de connexion | Pris en charge | Non pris en charge |
| Contrôles de session - Session de navigateur persistant | Pris en charge | Non pris en charge |
Authentification MFA pour les utilisateurs externes de Microsoft Entra
Dans un scénario Microsoft Entra multilocataire, l’organisation des ressources peut créer des stratégies d’accès conditionnel qui exigent une authentification MFA ou une conformité d’appareil pour tous les utilisateurs invités et externes. En règle générale, un utilisateur de la collaboration B2B qui accède à une ressource doit ensuite configurer son authentification multifacteur Microsoft Entra auprès du locataire de la ressource. Toutefois, Microsoft Entra ID offre désormais la possibilité d’approuver les revendications MFA d’autres locataires Microsoft Entra. L’activation de l’approbation MFA auprès d’un autre locataire simplifie le processus de connexion pour les utilisateurs de la collaboration B2B, et permet l’accès aux utilisateurs de la connexion directe B2B.
Si vous avez configuré vos paramètres d’approbation entrante pour accepter les revendications MFA du locataire d’origine d’un utilisateur de la collaboration B2B ou de la connexion directe B2B, Microsoft Entra ID vérifie la session d’authentification de l’utilisateur. Si la session contient une revendication indiquant que les stratégies MFA ont déjà été respectées dans le locataire d’origine de l’utilisateur, ce dernier se voit octroyer une authentification transparente pour l’accès à votre ressource partagée.
Si l’approbation MFA n’est pas activée, l’expérience utilisateur diffère pour les utilisateurs de la collaboration B2B et les utilisateurs de la connexion directe B2B :
Utilisateurs de la collaboration B2B : si l’organisation détentrice de la ressource n'active pas l’approbation MFA auprès du locataire d’origine de l’utilisateur, une demande d’authentification MFA provenant de l’organisation est présentée à l’utilisateur. (Le flux est identique au flux MFA pour les utilisateurs externes non Microsoft Entra ID.)
Utilisateurs de la connexion directe B2B : si l’organisation détentrice de la ressource n'active pas l’approbation MFA auprès du locataire d’origine de l’utilisateur, l’accès aux ressources est bloqué pour l’utilisateur. Si vous souhaitez autoriser la connexion directe B2B à une organisation externe et que vos stratégies d’accès conditionnel nécessitent une authentification multifacteur, vous devez configurer vos paramètres d’approbation entrants pour accepter les déclarations d'authentification multifacteur de l’organisation.
Découvrez comment configurer les paramètres d’approbation entrants pour l’authentification multifacteur.
Authentification MFA pour les utilisateurs externes non-Microsoft Entra ID
Pour les utilisateurs externes qui ne sont pas Microsoft Entra ID, le tenant de ressources est toujours responsable de l’authentification multifacteur. L’exemple suivant montre un flux MFA type. Ce scénario fonctionne pour n’importe quelle identité, y compris un compte Microsoft (MSA) ou un ID de réseau social. Ce flux s’applique également aux utilisateurs externes de Microsoft Entra lorsque vous ne configurez pas les paramètres d’approbation avec leur organisation Microsoft Entra d'origine.
Un administrateur ou un professionnel de l’information d’une société appelée Fabrikam invite un utilisateur d’une autre société appelée Contoso à utiliser l’application de Fabrikam.
L’application Fabrikam est configurée pour exiger une authentification multifacteur Microsoft Entra lors de l’accès.
Lorsque l’utilisateur de la collaboration B2B de Contoso tente d’accéder à l’application Fabrikam, il est invité à répondre à la demande Microsoft Entra d’authentification multifacteur.
L’utilisateur invité peut alors configurer son authentification multifacteur Microsoft Entra auprès de Fabrikam et sélectionner les options.
Fabrikam doit disposer de suffisamment de licences Microsoft Entra ID Premium qui prennent en charge l'authentification multifacteur Microsoft Entra. L’utilisateur de Contoso consomme alors cette licence de Fabrikam. Pour plus d’informations sur les licences B2B, consultez le modèle de facturation de Microsoft Entra External ID .
Note
L’authentification MFA est effectuée dans la location de la ressource pour garantir la prédictibilité. Lorsque l’utilisateur invité se connecte, il voit la page de connexion du locataire de ressources affichée en arrière-plan, ainsi que sa propre page de connexion et son logo de société au premier plan.
Réinitialisation de l’authentification multifacteur (vérification) Microsoft Entra pour les utilisateurs de la collaboration B2B
Les applets de commande PowerShell suivantes sont disponibles pour la vérification ou demandent une inscription MFA auprès des utilisateurs B2B Collaboration.
Se connecter à Microsoft Entra ID :
Connect-Entra -Scopes 'User.Read.All'Donnez à tous les utilisateurs des méthodes de vérification :
Get-EntraUser | where { $_.StrongAuthenticationMethods} | select userPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}Réinitialiser la méthode d’authentification multifacteur Microsoft Entra pour un utilisateur spécifique afin de l'obliger à redéfinir les méthodes de vérification, par exemple :
Connect-Entra -Scopes 'UserAuthenticationMethod.ReadWrite.All' Reset-EntraStrongAuthenticationMethodByUpn -UserPrincipalName jmorgan_fabrikam.com#EXT#@woodgrovebank.onmicrosoft.com
Stratégies de force d’authentification pour les utilisateurs externes
La force d’authentification est un contrôle d’accès conditionnel qui vous permet de définir une combinaison spécifique de méthodes d’authentification multifacteur qu’un utilisateur externe doit suivre pour accéder à vos ressources. Ce contrôle est particulièrement utile pour restreindre l’accès externe aux applications sensibles de votre organisation, car vous pouvez appliquer des méthodes d’authentification spécifiques, telles que des méthodes résistantes au hameçonnage, pour les utilisateurs externes.
Vous avez également la possibilité d’appliquer la force d’authentification aux différents types d’utilisateurs invités ou externes avec lesquels vous collaborez ou vous connectez. Cela signifie que vous pouvez appliquer des exigences de force d’authentification propres à votre collaboration B2B, à votre connexion directe B2B et à d’autres scénarios d’accès externe.
Microsoft Entra ID fournit trois points forts d’authentification intégrés :
- Force de l’authentification multifacteur
- Force d’authentification multifacteur sans mot de passe
- Force de l’authentification multifacteur résistante au hameçonnage
Vous pouvez utiliser l’une des forces intégrées ou créer une force d’authentification personnalisée basée sur les méthodes d’authentification que vous souhaitez exiger.
Note
Actuellement, vous pouvez uniquement appliquer des stratégies de force d’authentification aux utilisateurs externes qui s’authentifient auprès de Microsoft Entra ID. Pour les utilisateurs du code secret à usage unique par e-mail, de SAML/WS-Fed et de la fédération Google, utilisez le contrôle d’octroi d’authentification multifacteur pour exiger l’authentification multifacteur.
Lorsque vous appliquez une stratégie de force d’authentification aux utilisateurs externes de Microsoft Entra, la stratégie fonctionne avec les paramètres d’approbation MFA dans vos paramètres d’accès interlocataire pour déterminer où et comment l’utilisateur externe doit effectuer l’authentification multifacteur. Un utilisateur Microsoft Entra s’authentifie d’abord à l’aide de son propre compte dans son locataire Microsoft Entra d’origine. Ensuite, lorsque cet utilisateur tente d’accéder à votre ressource, Microsoft Entra ID applique la stratégie d’accès conditionnel de force d’authentification et vérifie si vous avez activé l’approbation d’authentification multifacteur.
Dans les scénarios d'utilisateurs externes, les méthodes d'authentification acceptables pour l’exécution de la force d'authentification varient, selon que l'utilisateur effectue l’authentification multifacteur dans son locataire d'origine ou dans le locataire de ressources. Le tableau suivant indique les méthodes acceptables dans chaque locataire. Si un locataire de ressources choisit d’approuver des revendications provenant d’organisations Microsoft Entra externes, seules les revendications répertoriées dans la colonne « Locataire d’origine » ci-dessous sont acceptées par le locataire de ressources pour l’exécution de l’authentification multifacteur. Si le locataire de ressources a désactivé l’approbation de l’authentification multifacteur, l’utilisateur externe doit effectuer l’authentification multifacteur dans le locataire de ressources à l’aide de l’une des méthodes répertoriées dans la colonne « Locataire de ressources ».
Tableau 1. Méthodes d’authentification multifacteur de force d’authentification pour les utilisateurs externes
| Méthode d'authentification | Locataire d’origine | Locataire de la ressource |
|---|---|---|
| SMS comme second facteur | ✅ | ✅ |
| Appel vocal | ✅ | ✅ |
| Microsoft Authenticator (notification Push) | ✅ | ✅ |
| Connexion par téléphone avec Microsoft Authenticator | ✅ | |
| Jeton logiciel OATH | ✅ | ✅ |
| Jetons matériels OATH | ✅ | |
| Clé de sécurité FIDO2 | ✅ | |
| Windows Hello Entreprise | ✅ | |
| Authentification par certificat | ✅ |
Pour configurer une stratégie d’accès conditionnel qui applique les exigences de force d’authentification aux utilisateurs externes ou aux invités, consultez l’accès conditionnel : Exiger une force d’authentification pour les utilisateurs externes.
Expérience utilisateur pour les utilisateurs externes de Microsoft Entra
Les stratégies de robustesse de l'authentification fonctionnent avec les paramètres d’approbation MFA dans vos paramètres d’accès inter-locataire pour déterminer où et comment l’utilisateur externe doit effectuer la MFA.
Tout d’abord, un utilisateur Microsoft Entra s’authentifie avec son propre compte dans son locataire d’origine. Ensuite, lorsque cet utilisateur tente d’accéder à votre ressource, Microsoft Entra ID applique la stratégie d’accès conditionnel de force d’authentification et vérifie si vous avez activé l’approbation d’authentification multifacteur.
- Si l’approbation MFA est activée, Microsoft Entra ID vérifie que la session d’authentification de l’utilisateur ne contient pas de réclamation indiquant que l’authentification multifacteur a été réalisée dans le locataire d’origine de l’utilisateur. (Consultez le tableau 1 pour connaître les méthodes d’authentification acceptables pour l’exécution de l’authentification multifacteur lorsqu’elles sont terminées dans le locataire d’un utilisateur externe.) Si la session contient une revendication indiquant que les stratégies MFA ont déjà été remplies dans le locataire domestique de l’utilisateur et que les méthodes répondent aux exigences de force d’authentification, l’utilisateur est autorisé à accéder. Dans le cas contraire, Microsoft Entra ID présente à l’utilisateur un défi pour effectuer l’authentification multifacteur dans le locataire d’origine à l’aide d’une méthode d’authentification acceptable. La méthode MFA doit être activée dans le locataire d’origine et l’utilisateur doit être en mesure de l’inscrire.
- Si l’approbation MFA est désactivée, Microsoft Entra ID présente à l’utilisateur un défi pour effectuer l’authentification multifacteur dans le locataire de ressources à l’aide d’une méthode d’authentification acceptable. (Consultez le tableau 1 pour connaître les méthodes d’authentification acceptables pour l’exécution de l’authentification multifacteur par un utilisateur externe.)
Si l’utilisateur ne parvient pas à terminer l’authentification multifacteur ou si une stratégie d’accès conditionnel (telle qu’une stratégie d’appareil conforme) les empêche de s’inscrire, l’accès est bloqué.
Stratégies relatives à la conformité des appareils et à la jonction Microsoft Entra hybride
Les organisations peuvent utiliser des stratégies d’accès conditionnel pour imposer aux utilisateurs que leurs appareils soient managés par Microsoft Intune. De telles stratégies peuvent bloquer l’accès des utilisateurs externes, car un utilisateur externe ne peut pas inscrire son appareil non géré auprès de l’organisation détentrice de la ressource. Les appareils peuvent uniquement être managés par le locataire d’origine d’un utilisateur.
Toutefois, vous pouvez utiliser les paramètres d’approbation des appareils pour débloquer les utilisateurs externes tout en imposant l'utilisation d'appareils gérés. Dans vos paramètres d’accès interlocataire, vous pouvez choisir d’approuver les revendications du locataire d’origine d’un utilisateur externe pour déterminer si l’appareil de l’utilisateur répond aux stratégies de conformité des appareils ou de jonction Microsoft Entra hybride. Vous pouvez définir les paramètres d’approbation des appareils pour toutes les organisations Microsoft Entra ou pour des organisations spécifiques.
Quand les paramètres d’approbation des appareils sont activés, Microsoft Entra ID recherche une revendication d’appareil dans la session d’authentification de l'utilisateur. Si la session contient une revendication d’appareil indiquant que les stratégies ont déjà été respectées dans le locataire d’origine de l’utilisateur, l’utilisateur externe se voit octroyer une authentification transparente pour l’accès à votre ressource partagée.
Importante
- À moins que vous ne souhaitiez approuver les revendications relatives à l’état de conformité ou à l’état de jonction Microsoft Entra hybride des appareils dans le locataire d’origine d’un utilisateur externe, nous vous déconseillons d’appliquer des stratégies d’accès conditionnel qui obligent les utilisateurs externes à utiliser des appareils gérés.
Filtres pour appareils mobiles
Quand vous créez des stratégies d’accès conditionnel pour des utilisateurs externes, vous pouvez évaluer une stratégie en fonction des attributs d’appareil d’un appareil inscrit dans Microsoft Entra ID. En utilisant le filtre pour la condition des appareils , vous pouvez cibler des appareils spécifiques à l’aide des opérateurs et propriétés pris en charge et des autres conditions d’affectation disponibles dans vos stratégies d’accès conditionnel.
Vous pouvez utiliser les filtres pour appareils mobiles avec des paramètres d’accès interlocataire afin de baser des stratégies sur des appareils managés dans d’autres organisations. Par exemple, supposons que vous souhaitiez bloquer les appareils d’un locataire Microsoft Entra externe en fonction d’un attribut d’appareil spécifique. Vous pouvez effectuer les étapes suivantes pour configurer une stratégie basée sur un attribut d’appareil :
- Configurez vos paramètres d’accès interlocataire pour approuver les revendications d’appareil provenant de cette organisation.
- Assignez l’attribut d’appareil que vous souhaitez utiliser pour filtrer à l’un des attributs d’extension d’appareil pris en charge.
- Créez une stratégie d’accès conditionnel avec un filtre pour appareil mobile qui bloque l’accès aux appareils contenant cet attribut.
En savoir plus sur le filtrage des appareils avec l’accès conditionnel.
Stratégies de gestion des applications mobiles
Nous vous déconseillons d’exiger une stratégie de protection d’applications pour les utilisateurs externes. Les contrôles d’octroi d’accès conditionnel, tels que Exiger des applications clientes approuvées et Exiger des stratégies de protection des applications, exigent que l’appareil soit inscrit dans le locataire de ressource. Ces contrôles ne peuvent être appliqués qu’aux appareils iOS et Android. Dans la mesure où l’appareil d’un utilisateur peut uniquement être managé par son locataire d’origine, ces contrôles ne peuvent pas être appliqués aux utilisateurs invités externes.
Accès conditionnel en fonction des emplacements
La stratégie basée sur l’emplacement basée sur des plages d’adresses IP peut être appliquée si l’organisation invitante peut créer une plage d’adresses IP approuvée qui définit ses organisations partenaires.
Les stratégies peuvent également être appliquées en fonction des emplacements géographiques.
Accès conditionnel en fonction du risque
La stratégie de risque de connexion est appliquée si l’utilisateur invité externe satisfait au contrôle d’octroi. Par exemple, une organisation peut exiger une authentification multifacteur Microsoft Entra pour une connexion à risque moyen ou élevé. En revanche, si un utilisateur ne s’est pas préalablement inscrit à l’authentification multifacteur Microsoft Entra auprès du locataire de la ressource, il est bloqué. Cela permet d’empêcher les utilisateurs malveillants d’inscrire leurs propres informations d’identification pour une authentification multifacteur Microsoft Entra s’ils parviennent à compromettre le mot de passe d’un utilisateur légitime.
La stratégie d’utilisateur à risque ne peut pas être résolue dans le locataire de la ressource. Par exemple, si vous imposez un changement de mot de passe aux utilisateurs invités externes à haut risque, ces utilisateurs seront bloqués, car il est impossible de réinitialiser les mots de passe dans l’annuaire de ressources.
Conditions des applications clientes d’accès conditionnel
Les conditions des applications clientes se comportent de la même façon pour les utilisateurs invités B2B que pour tout autre type d’utilisateur. Par exemple, vous pouvez empêcher des utilisateurs invités d’utiliser des protocoles d’authentification hérités.
Contrôles de session d’accès conditionnel
Les contrôles de session se comportent de la même façon pour les utilisateurs invités B2B que pour tout autre type d’utilisateur.
Microsoft Entra ID Protection et stratégies de gestion des risques utilisateur
Microsoft Entra ID Protection détecte les informations d’identification compromises des utilisateurs Microsoft Entra, et marque les comptes d’utilisateur susceptibles d’être compromis comme étant « à risque. » En tant que locataire de ressources, vous pouvez appliquer des stratégies de gestion des risques utilisateur aux utilisateurs externes pour bloquer les connexions risquées. Pour un utilisateur externe, le risque utilisateur est évalué dans son répertoire de base. Le risque de connexion en temps réel pour ces utilisateurs est évalué dans le répertoire de ressources lorsqu’ils essaient d’accéder à la ressource. Toutefois, dans la mesure où l’identité d’un utilisateur externe existe dans son répertoire de base, les limitations suivantes s’appliquent :
- Si un utilisateur externe déclenche la stratégie de gestion des risques utilisateur d’ID Protection en forçant la réinitialisation de mot de passe, il est bloqué, car il ne peut pas réinitialiser son mot de passe dans l’organisation détentrice de la ressource.
- Le rapport sur les utilisateurs à risque de l’organisation détentrice de la ressource ne montre pas les utilisateurs externes, car l’évaluation des risques a lieu dans le répertoire de base de l’utilisateur externe.
- Les administrateurs de l’organisation détentrice de la ressource ne peuvent pas ignorer ou corriger le problème posé par un utilisateur externe à risque, car ils n’ont pas accès au répertoire de base de l’utilisateur B2B.
Vous pouvez empêcher les stratégies basées sur les risques d'impacter les utilisateurs externes en créant un groupe dans Microsoft Entra ID contenant tous les utilisateurs externes de votre organisation. Ajoutez ensuite ce groupe en tant qu’exclusion à vos stratégies d’accès conditionnel basées sur les risques liés aux utilisateurs et aux connexions.
Pour plus d’informations, consultez Microsoft Entra ID Protection et utilisateurs B2B.
Étapes suivantes
Si vous souhaitez en savoir plus, consultez les articles suivants :