Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’authentification multifacteur (MFA) par défaut du système invite les utilisateurs à se connecter en utilisant la méthode la plus sécurisée qu’ils ont inscrite. Il s’agit d’une amélioration importante de la sécurité pour les utilisateurs qui s’authentifient via les transports de télécommunications. Les administrateurs peuvent activer l’authentification multifacteur (MFA) par défaut du système pour améliorer la sécurité de la connexion et décourager les méthodes de connexion moins sécurisées telles que les SMS (Short Message Service).
Par exemple, si un utilisateur a inscrit les notifications Push SMS et Microsoft Authenticator comme méthodes d’authentification multifacteur (MFA), l’authentification multifacteur (MFA) par défaut du système invite l’utilisateur à se connecter en utilisant la méthode de notification Push la plus sécurisée. L’utilisateur peut toujours choisir de se connecter en utilisant une autre méthode, mais il est d’abord invité à essayer la méthode la plus sécurisée qu’il a inscrite.
L’authentification multifacteur (MFA) par défaut du système est un paramètre managé par Microsoft, qui correspond à une stratégie à trois états. La valeur gérée par Microsoft de l’authentification multifacteur préférée par le système est activée. Si vous ne souhaitez pas activer l’authentification multifacteur préférée par le système, changez l’état de géré par Microsoft à Désactivé, ou excluez les utilisateurs et les groupes de la stratégie.
Une fois l’authentification multifacteur (MFA) par défaut du système activée, le système d’authentification effectue tout le travail. Les utilisateurs n’ont pas besoin de définir une méthode d’authentification par défaut car le système détermine et présente toujours la méthode la plus sécurisée qu’ils ont inscrite.
Activer l’authentification multifacteur par défaut du système dans le centre d’administration Microsoft Entra
Par défaut, l’authentification multifacteur par défaut est gérée par Microsoft et activée pour tous les utilisateurs.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
Accédez à Entra ID>méthodes d'authentification>paramètres.
Pour l’authentification multifacteur préférée par le système, choisissez d’activer ou de désactiver explicitement la fonctionnalité, et d’inclure ou d’exclure des utilisateurs. Les groupes exclus sont prioritaires sur les groupes inclus.
Par exemple, la capture d’écran suivante montre comment activer explicitement l’authentification multifacteur par défaut du système pour le groupe Ingénierie uniquement.
Une fois que vous avez terminé d’apporter des modifications, cliquez sur Enregistrer.
Activer l’authentification multifacteur par défaut du système à l’aide des API Graph
Pour activer à l'avance l'authentification multifacteur préférée par le système, vous devez choisir un groupe cible unique pour la configuration du schéma, comme indiqué dans l'exemple de requête.
Propriétés de configuration des fonctionnalités de la méthode d’authentification
Par défaut, l’authentification multifacteur par défaut est gérée par Microsoft et activée.
| Propriété | Type | Descriptif |
|---|---|---|
| excludeTarget | featureTarget | Entité unique exclue de cette fonctionnalité. Vous ne pouvez exclure qu’un seul groupe, dynamique ou imbriqué, de l’authentification multifacteur (MFA) par défaut du système. |
| includeTarget | featureTarget | Entité unique incluse dans cette fonctionnalité. Vous ne pouvez inclure qu’un seul groupe, dynamique ou imbriqué, dans l’authentification multifacteur (MFA) par défaut du système. |
| État | advancedConfigState | Les valeurs possibles sont les suivantes : activé explicitement active la fonctionnalité pour le groupe sélectionné. désactivé explicitement désactive la fonctionnalité pour le groupe sélectionné. la valeur par défaut permet à Microsoft Entra ID de gérer si la fonctionnalité est activée ou non pour le groupe sélectionné. |
Propriétés de ciblage des fonctionnalités
L’authentification multifacteur (MFA) par défaut du système peut être activée pour un seul groupe uniquement, dynamique ou imbriqué.
| Propriété | Type | Descriptif |
|---|---|---|
| id | Chaîne | ID de l’entité ciblée. |
| targetType | featureTargetType | Type d’entité ciblée, comme le groupe, le rôle ou l’unité administrative. Les valeurs possibles sont les suivantes : 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Utilisez le point de terminaison d’API suivant pour activer systemCredentialPreferences et inclure ou exclure des groupes :
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
Dans l’Explorateur Graph, vous devez donner votre consentement à l’autorisation Policy.ReadWrite.AuthenticationMethod .
Requête
L’exemple suivant exclut un groupe cible échantillon et inclut tous les utilisateurs. Pour plus d’informations, consultez Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Questions fréquentes (FAQ)
Comment l’authentification multifacteur (MFA) par défaut du système détermine-t-elle la méthode la plus sécurisée ?
Lorsqu’un utilisateur se connecte, le processus d’authentification vérifie quelles méthodes d’authentification sont inscrites pour cet utilisateur. L’utilisateur est invité à se connecter avec la méthode la plus sécurisée dans l’ordre suivant. L’ordre des méthodes d’authentification est dynamique. Il est mis à jour au fur et à mesure de l’évolution du paysage de la sécurité et de l’émergence de meilleures méthodes d’authentification. En raison de problèmes connus concernant l'authentification basée sur les certificats (CBA) et l’authentification multifacteur par défaut du système, nous avons déplacé l’authentification CBA au bas de la liste. Cliquez sur le lien pour obtenir de plus amples informations sur chaque méthode.
- Passe d’accès temporaire
- Passkey (FIDO2)
- Méthodes d’authentification externe
- Notifications Microsoft Authenticator
- Mot de passe à usage unique (TOTP) basé sur le temps1
- Téléphonie2
- Authentification basée sur un certificat
1Inclut du matériel ou des logiciels TOTP via Microsoft Authenticator, Authenticator Lite ou des applications tierces.
deuxInclut des sms et des appels vocaux.
Comment l’authentification multifacteur (MFA) par défaut du système affecte-t-elle l’extension NPS ?
L’authentification multifacteur par défaut du système n’affecte pas les utilisateurs qui se connectent via l’extension NPS (Network Policy Server). Ces utilisateurs ne voient aucune modification dans leur expérience de connexion.
Que se passe-t-il pour les utilisateurs dont la stratégie des méthodes d’authentification n’est pas spécifiée mais dont la stratégie d’authentification multifacteur (MFA) héritée à l’échelle du locataire est activée ?
L’authentification multifacteur (MFA) par défaut du système s’applique également aux utilisateurs dont la stratégie héritée d’authentification multifacteur (MFA) est activée.
