Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une force d’authentification est un contrôle d’accès conditionnel Microsoft Entra qui spécifie quelles combinaisons de méthodes d’authentification les utilisateurs peuvent utiliser pour accéder à une ressource. Les utilisateurs peuvent satisfaire aux exigences de force en s’authentifiant avec l’une des combinaisons autorisées.
Par exemple, une force d’authentification peut obliger les utilisateurs à utiliser uniquement des méthodes d’authentification résistantes au hameçonnage pour accéder à une ressource sensible. Pour accéder à une ressource non sensible, les administrateurs peuvent créer une autre force d’authentification qui permet des combinaisons d’authentification multifacteur (MFA) moins sécurisées, telles qu’un mot de passe et un sms.
Une force d’authentification est basée sur la stratégie des méthodes d’authentification. Autrement dit, les administrateurs peuvent étendre les méthodes d’authentification pour des utilisateurs et des groupes spécifiques à utiliser dans les applications fédérées Microsoft Entra ID. Une force d’authentification permet de contrôler davantage l’utilisation de ces méthodes, en fonction de scénarios spécifiques tels que l’accès aux ressources sensibles, le risque utilisateur et l’emplacement.
Prérequis
- Pour utiliser l’accès conditionnel, votre locataire doit disposer d’une licence Microsoft Entra ID P1. Si vous n’avez pas cette licence, vous pouvez commencer un essai gratuit.
Scénarios pour les forces d’authentification
Les forces d’authentification peuvent aider les clients à résoudre les scénarios suivants :
- Exiger des méthodes d’authentification spécifiques pour accéder à une ressource sensible.
- Exiger une méthode d’authentification spécifique lorsqu’un utilisateur effectue une action sensible au sein d’une application (en combinaison avec le contexte d’authentification de l’accès conditionnel).
- Exiger que les utilisateurs utilisent une méthode d’authentification spécifique lorsqu’ils accèdent à des applications sensibles en dehors du réseau d’entreprise.
- Exiger des méthodes d’authentification plus sécurisées pour les utilisateurs à haut risque.
- Exiger des méthodes d’authentification spécifiques des utilisateurs invités qui accèdent à un locataire de ressource (en combinaison avec les paramètres interlocataires).
Forces d’authentification intégrées et personnalisées
Les administrateurs peuvent spécifier une force d’authentification pour accéder à une ressource en créant une stratégie d’accès conditionnel avec le contrôle Exiger la force d’authentification . Ils peuvent choisir parmi trois forces d’authentification intégrées : Force d’authentification multifacteur, Force MFA sans mot de passe et Force MFA résistante au hameçonnage. Ils peuvent également créer une force d’authentification personnalisée en fonction des combinaisons de méthodes d’authentification qu’ils souhaitent autoriser.
Forces d’authentification intégrées
Les forces d’authentification intégrées sont des combinaisons de méthodes d’authentification prédéfinies par Microsoft. Les forces d’authentification intégrées sont toujours disponibles et ne peuvent pas être modifiées. Microsoft met à jour les forces d’authentification intégrées lorsque de nouvelles méthodes deviennent disponibles.
Par exemple, la force d’authentification multifacteur intégrée résistante à l’hameçonnage permet de combiner les éléments suivants :
- Informations d’identification de la plateforme ou Windows Hello Entreprise
- Clé de sécurité FIDO2
- Authentification basée sur des certificats Microsoft Entra (multifacteur)
Le tableau suivant répertorie les combinaisons de méthodes d’authentification pour chaque force d’authentification intégrée. Ces combinaisons incluent des méthodes que les utilisateurs doivent inscrire et que les administrateurs doivent activer dans la stratégie pour les méthodes d’authentification ou la stratégie pour les paramètres MFA hérités :
- Force de l’authentification multifacteur : même ensemble de combinaisons qui peuvent être utilisées pour satisfaire le paramètre Exiger l’authentification multifacteur .
- Force de l’authentification multifacteur sans mot de passe : inclut des méthodes d’authentification qui répondent à l’authentification multifacteur, mais qui ne nécessitent pas de mot de passe.
- Solidité MFA résistante au hameçonnage : inclut des méthodes qui nécessitent une interaction entre la méthode d’authentification et l’interface de connexion.
| Combinaison de méthodes d’authentification | Force d’authentification multifacteur | Force d’authentification multifacteur sans mot de passe | Force d’authentification multifacteur résistante au hameçonnage |
|---|---|---|---|
| Clé de sécurité FIDO2 | ✅ | ✅ | ✅ |
| Informations d’identification Windows Hello Entreprise ou de la plateforme | ✅ | ✅ | ✅ |
| Authentification basée sur des certificats (multifacteur) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (connexion par téléphone) | ✅ | ✅ | |
| Passe d’accès temporaire (utilisation unique et utilisation multiple) | ✅ | ||
| Mot de passe plus quelque chose en possession de l'utilisateur1 | ✅ | ||
| Authentification à facteur unique fédérée plus un élément détenu par l'utilisateur1 | ✅ | ||
| Multifacteur fédéré | ✅ | ||
| Authentification par certificat (facteur unique) | |||
| Connexion par SMS | |||
| Mot de passe | |||
| Facteur unique fédéré |
1Quelque chose que l’utilisateur a fait référence à l’une des méthodes suivantes : SMS, voix, notification push, jeton OATH logiciel ou jeton OATH matériel.
Vous pouvez utiliser l’appel d’API suivant pour répertorier les définitions de toutes les forces d’authentification intégrées :
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Forces d’authentification personnalisées
Les administrateurs d’accès conditionnel peuvent également créer des forces d’authentification personnalisées pour répondre exactement à leurs besoins d’accès. Pour plus d’informations, consultez Créer et gérer des points forts d’authentification d’accès conditionnel personnalisés.
Limites
Effet d’une force d’authentification sur l’authentification : les stratégies d’accès conditionnel sont évaluées uniquement après l’authentification initiale. Par conséquent, une force d’authentification ne limite pas l’authentification initiale d’un utilisateur.
Supposons que vous utilisez le niveau d’authentification intégré résistant à l’hameçonnage de type multifacteur. Un utilisateur peut toujours entrer un mot de passe, mais doit se connecter à l’aide d’une méthode résistante au hameçonnage, telle qu’une clé de sécurité FIDO2, avant de pouvoir continuer.
Combinaison non prise en charge des contrôles d’octroi : vous ne pouvez pas utiliser l’exigence d’authentification multifacteur et l’exigence de force d’authentification ensemble dans la même stratégie d’accès conditionnel. La raison est que la force de l’authentification multifacteur intégrée est équivalente à la commande Exiger l’authentification multifacteur.
Méthode d’authentification non prise en charge : la méthode d’authentification par e-mail unique (invité) n’est actuellement pas prise en charge dans les combinaisons disponibles.
Windows Hello Entreprise : si l’utilisateur se connecte avec Windows Hello Entreprise comme méthode d’authentification principale, il peut être utilisé pour satisfaire à une exigence de force d’authentification qui inclut Windows Hello Entreprise. Toutefois, si l’utilisateur se connecte avec une autre méthode (comme un mot de passe) comme méthode d’authentification principale et que la force d’authentification requiert Windows Hello Entreprise, l’utilisateur n’est pas invité à se connecter avec Windows Hello Entreprise. L’utilisateur doit redémarrer la session, sélectionner les options de connexion et sélectionner une méthode dont la force d’authentification a besoin.
Problèmes connus
Force d’authentification et fréquence de connexion : lorsqu’une ressource nécessite une force d’authentification et une fréquence de connexion, les utilisateurs peuvent satisfaire les deux exigences à deux moments différents.
Par exemple, supposons qu’une ressource nécessite une clé secrète (FIDO2) pour la force d’authentification, ainsi qu’une fréquence de connexion de 1 heure. Un utilisateur s’est connecté avec une clé de passe (FIDO2) pour accéder à la ressource il y a 24 heures.
Lorsque l’utilisateur déverrouille son appareil Windows à l’aide de Windows Hello Entreprise, il peut accéder à nouveau à la ressource. La connexion d’hier répond à l’exigence de force d’authentification, et le déverrouillage de l’appareil d’aujourd’hui satisfait à l’exigence de fréquence de connexion.
Questions fréquentes (FAQ)
Dois-je utiliser une force d’authentification ou la stratégie pour les méthodes d’authentification ?
Une force d’authentification est basée sur la stratégie des méthodes d’authentification . La stratégie de méthodes d’authentification permet d’étendre et de configurer les méthodes d’authentification que les utilisateurs et les groupes peuvent utiliser sur l’ID Microsoft Entra. Une force d’authentification permet une autre restriction des méthodes pour des scénarios spécifiques, tels que l’accès aux ressources sensibles, le risque utilisateur et l’emplacement.
Par exemple, supposons que l’administrateur d’une organisation nommée Contoso souhaite autoriser les utilisateurs à utiliser Microsoft Authenticator avec des notifications Push ou un mode d’authentification sans mot de passe. L’administrateur accède aux paramètres d’authentificateur dans la stratégie de méthodes d’authentification , étend la stratégie pour les utilisateurs concernés et définit le mode d’authentificationsur Any.
Pour la ressource la plus sensible de Contoso, l’administrateur souhaite restreindre l’accès aux seules méthodes d’authentification sans mot de passe. L’administrateur crée une stratégie d’accès conditionnel à l’aide de la force d’authentification multifacteur sans mot de passe intégrée.
Par conséquent, les utilisateurs de Contoso peuvent accéder à la plupart des ressources du locataire à l’aide d’un mot de passe et d’une notification Push d’Authenticator, ou en utilisant uniquement Authenticator (connexion par téléphone). Toutefois, lorsque les utilisateurs du locataire accèdent à l’application sensible, ils doivent utiliser Authenticator (connexion par téléphone).