Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les forces d’authentification sont particulièrement utiles pour restreindre l’accès externe aux applications sensibles de votre organisation. Ils peuvent appliquer des méthodes d’authentification spécifiques, telles que des méthodes résistantes au hameçonnage, pour les utilisateurs externes.
Lorsque vous appliquez une stratégie de force d’authentification par accès conditionnel aux utilisateurs externes de Microsoft Entra, la stratégie fonctionne avec les paramètres d’approbation de l’authentification multifacteur (MFA) dans vos paramètres d’accès interlocataire pour déterminer où et comment l’utilisateur externe doit effectuer l’authentification multifacteur. Un utilisateur Microsoft Entra s’authentifie dans son locataire Microsoft Entra d’origine. Lorsque l’utilisateur accède à votre ressource, Microsoft Entra ID applique la stratégie et vérifie si vous avez activé l’approbation MFA.
Note
L’activation de l’approbation MFA est facultative pour la collaboration business-to-business (B2B), mais elle est requise pour la connexion directe B2B.
Dans les scénarios d’utilisateur externe, les méthodes d’authentification capables de satisfaire les niveaux de force d’authentification varient selon que l’utilisateur effectue l’authentification multifacteur dans le tenant d'origine ou le tenant de ressources. Le tableau suivant indique les méthodes autorisées dans chaque locataire. Si un locataire de ressources choisit d’approuver des revendications provenant d’organisations externes Microsoft Entra, le locataire de ressources pour l’authentification multifacteur accepte uniquement les revendications répertoriées dans la colonne « Locataire d’accueil » du tableau. Si le client de la ressource désactive l'approbation MFA, l'utilisateur externe doit effectuer l'authentification multifacteur dans le client de la ressource en utilisant l'une des méthodes répertoriées dans la colonne "Client de la ressource".
| Méthode d’authentification | Locataire d’origine | Locataire de la ressource |
|---|---|---|
| SMS en tant que deuxième facteur | ✅ | ✅ |
| Appel vocal | ✅ | ✅ |
| Microsoft Authenticator (notification Push) | ✅ | ✅ |
| Connexion par téléphone avec Microsoft Authenticator | ✅ | |
| Jeton logiciel OATH | ✅ | ✅ |
| Jetons matériels OATH | ✅ | |
| Clé de sécurité FIDO2 | ✅ | |
| Windows Hello Entreprise | ✅ | |
| Authentification basée sur un certificat | ✅ |
Pour plus d’informations sur la définition des forces d’authentification pour les utilisateurs externes, consultez Exiger des forces d’authentification multifacteur pour les utilisateurs externes.
Expérience utilisateur pour les utilisateurs externes
Une stratégie de force d’authentification par accès conditionnel fonctionne avec les paramètres d’approbation MFA dans vos paramètres d’accès interlocataire. Tout d’abord, un utilisateur Microsoft Entra s’authentifie avec ses propres informations d'identification dans le client principal. Lorsque l’utilisateur tente d’accéder à votre ressource, Microsoft Entra ID applique la stratégie d’authentification pour l’accès conditionnel afin de vérifier si vous avez activé la confiance MFA.
Si la validation MFA est activée : l’ID Microsoft Entra vérifie la session d’authentification de l’utilisateur pour obtenir une revendication indiquant que l’authentification multifacteur a été remplie dans le tenant d'origine de l'utilisateur. Consultez le tableau précédent pour les méthodes d'authentification acceptables pour la MFA (authentification multifacteur) lorsqu'elles sont effectuées dans le locataire principal d'un utilisateur externe.
Si la session contient une revendication indiquant que les stratégies d’authentification multifacteur sont déjà remplies dans le client d’origine de l’utilisateur et que les méthodes répondent aux exigences de force d’authentification, l’utilisateur est autorisé à accéder. Dans le cas contraire, Microsoft Entra ID soumet l’utilisateur à un défi pour terminer l’authentification multifactorielle dans le locataire d’origine à l’aide d’une méthode d’authentification acceptable.
Si l’approbation MFA est désactivée : l’ID Microsoft Entra présente à l’utilisateur un défi pour terminer l’authentification multifacteur dans le locataire de ressources à l’aide d’une méthode d’authentification acceptable. Consultez le tableau précédent pour connaître les méthodes d’authentification acceptables pour l’authentification multifacteur par un utilisateur externe.