Partager via

Tutoriel : Appliquer l'authentification multifacteur pour les utilisateurs invités B2B

S’applique à : cercle vert avec un symbole de coche blanc qui indique que le contenu suivant s’applique aux locataires du personnel. Locataires de main-d’œuvre (en savoir plus)

Lorsque vous collaborez avec des utilisateurs invités B2B externes, protégez vos applications avec des stratégies d’authentification multifacteur. Les utilisateurs externes ont besoin de plus qu’un nom d’utilisateur et un mot de passe pour accéder à vos ressources. Dans Microsoft Entra ID, vous pouvez atteindre cet objectif avec une stratégie d'accès conditionnel exigeant une authentification multifacteur pour l'accès. Vous pouvez appliquer des stratégies DFA au niveau client, application ou utilisateur invité individuel, comme pour les membres de votre propre organisation. Le locataire de ressource est responsable de l’authentification multifacteur Microsoft Entra pour les utilisateurs, même si l’organisation de l’utilisateur invité dispose de fonctionnalités d’authentification multifacteur.

Exemple :

Diagramme montrant un utilisateur invité qui se connecte aux applications d’une entreprise.

  1. Un administrateur ou un employé de la société A invite un utilisateur invité à utiliser une application cloud ou locale qui est configurée pour exiger l’authentification multifacteur pour l’accès.
  2. L’utilisateur invité se connecte avec sa propre identité professionnelle, scolaire ou sociale.
  3. L’utilisateur est invité à effectuer une demande d’authentification multifacteur.
  4. L’utilisateur configure l’authentification multifacteur avec la société A et choisit son option d’authentification multifacteur. L’utilisateur est autorisé à accéder à l’application.

Note

L'authentification multifacteur Microsoft Entra est effectuée au niveau du locataire de la ressource pour garantir la prévisibilité. Lorsque l'utilisateur invité se connecte, il voit la page de connexion du locataire de ressources affichée en arrière-plan, ainsi que sa propre page de connexion et son logo de société au premier plan.

Durant ce tutoriel, vous allez effectuer les opérations suivantes :

  • Testez l’expérience de connexion avant de configurer l’authentification multifacteur.
  • Créer une stratégie d’accès conditionnel qui exige l’authentification multifacteur pour l’accès à une application cloud dans votre environnement. Dans ce tutoriel, nous allons utiliser l’application Azure Resource Manager pour illustrer le processus.
  • Utilisez l’outil What If pour simuler la connexion d’authentification multifacteur.
  • Testez votre stratégie d’accès conditionnel.
  • Supprimez l’utilisateur de test et la stratégie.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit pour commencer.

Prerequisites

Pour suivre le scénario décrit dans ce didacticiel, vous avez besoin de ce qui suit :

  • Accès à l’édition P1 ou P2 d’ID Microsoft Entra, qui inclut des fonctionnalités de stratégie d’accès conditionnel. Pour appliquer l'authentification multifacteur (MFA), créez une stratégie d'accès conditionnel Microsoft Entra. Les stratégies MFA sont toujours appliquées à votre organisation, même si le partenaire n’a pas de fonctionnalités MFA.
  • Un compte de messagerie externe valide que vous pouvez ajouter à votre annuaire client en tant qu’utilisateur invité et utiliser pour vous connecter. Si vous ne savez pas comment créer un compte invité, suivez les étapes décrites dans Ajouter un utilisateur invité B2B dans le Centre d’administration Microsoft Entra.

Créer un utilisateur invité de test dans Microsoft Entra ID

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’utilisateurs au moins.

  2. Accédez à Entra ID>Utilisateurs.

  3. Sélectionnez Nouvel utilisateur , puis Invitez un utilisateur externe.

    Capture d’écran de l’emplacement où sélectionner la nouvelle option d’utilisateur invité.

  4. Sous Identité sous l’onglet Informations de base , entrez l’adresse e-mail de l’utilisateur externe. Vous pouvez éventuellement inclure un nom complet et un message d’accueil.

    Capture d’écran de l’emplacement où entrer l’e-mail invité.

  5. Vous pouvez éventuellement ajouter des détails supplémentaires à l’utilisateur sous les ongletsPropriétés et Affectations.

  6. Sélectionnez Vérifier + inviter pour envoyer automatiquement l’invitation à l’utilisateur invité. Un message Utilisateur invité avec succès s’affiche.

  7. Une fois l’invitation envoyée, le compte d’utilisateur est ajouté au répertoire en tant qu’invité.

Tester l’expérience de connexion avant la configuration de l’authentification multifacteur

  1. Connectez-vous au Centre d’administration Microsoft Entra à l’aide de votre nom d’utilisateur et mot de passe de test.
  2. Accédez au Centre d’administration Microsoft Entra en utilisant uniquement vos informations d’identification de connexion. Aucune autre authentification n’est requise.
  3. Déconnectez-vous du centre d'administration Microsoft Entra.

Créer une stratégie d’accès conditionnel exigeant l’authentification multifacteur

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.

  2. Accédez à Entra ID>Accès conditionnel>Stratégies.

  3. Sélectionnez Nouvelle stratégie.

  4. Nommez votre stratégie, par exemple Exiger l’authentification multifacteur pour l’accès au portail B2B. Créez une norme significative pour les stratégies d’affectation de noms.

  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

    1. Sous Inclure, choisissez Sélectionner des utilisateurs et des groupes, puis sélectionnez Invités ou utilisateurs externes. Vous pouvez affecter la stratégie à différents types d’utilisateurs externes, rôles d’annuaire intégrés ou utilisateurs et groupes.

    Capture d’écran montrant la sélection de tous les utilisateurs invités.

  6. Sous Ressources cibles>(anciennement applications cloud)>Inclure>des ressources Sélectionner des ressources, choisissez Azure Resource Manager, puis sélectionnez la ressource.

    Capture d’écran montrant la page Applications cloud et l’option Sélectionner.

  7. Sous Contrôles d'accès>Accorder, sélectionnez Accorder l’accès, Exiger l’authentification multifacteur, puis Sélectionner.

    Capture d’écran montrant l’option permettant d’exiger l’authentification multifacteur.

  8. Sous Activer une stratégie, sélectionnez Activé.

  9. Sélectionnez Créer.

Utiliser l’option What If pour simuler une connexion

L’outil d’accès conditionnel What If vous aide à comprendre les effets des stratégies d’accès conditionnel dans votre environnement. Au lieu de tester manuellement vos stratégies avec plusieurs connexions, vous pouvez utiliser cet outil pour simuler la connexion d’un utilisateur. La simulation prédit comment cette connexion affectera vos stratégies et génère un rapport. Pour plus d’informations, consultez l’outil What If pour comprendre les stratégies d’accès conditionnel.

Tester votre stratégie d’accès conditionnel

  1. Utilisez votre nom d’utilisateur de test et votre mot de passe pour vous connecter au Centre d’administration Microsoft Entra.

  2. Vous devriez voir une demande pour des méthodes d’authentification supplémentaires. Un certain temps peut être nécessaire pour que la stratégie entre en vigueur.

    Capture d’écran du message « Plus d’informations requises ».

    Note

    Vous pouvez également configurer des paramètres d'accès inter-locataire pour faire confiance à l'authentification MFA du locataire d'accueil Microsoft Entra. Cela permet aux utilisateurs Microsoft Entra externes d'utiliser l'authentification MFA inscrite dans leur propre locataire plutôt que de s'inscrire dans le locataire de la ressource.

  3. Déconnectez-vous.

Nettoyer les ressources

Quand vous n’en avez plus besoin, supprimez l’utilisateur de test et la stratégie d’accès conditionnel de test.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’utilisateurs au moins.

  2. Accédez à Entra ID>Utilisateurs.

  3. Sélectionnez l’utilisateur de test, puis sélectionnez Supprimer l’utilisateur.

  4. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.

  5. Accédez à Entra ID>Accès conditionnel>Stratégies.

  6. Dans la liste Nom de la stratégie, sélectionnez le menu contextuel (...) pour votre stratégie de test, puis sélectionnez Supprimer, puis confirmez en sélectionnant Oui.

Étapes suivantes

Dans ce tutoriel, vous avez créé une stratégie d'accès conditionnel exigeant que les utilisateurs invités utilisent l'authentification multifacteur lors de la connexion à une de vos applications cloud. Pour en savoir plus sur l’ajout d’utilisateurs invités pour la collaboration, accédez à Ajouter des utilisateurs Microsoft Entra B2B Collaboration dans le Centre d’administration Microsoft Entra.

  • Last updated on