Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID dispose de plusieurs paramètres qui déterminent la fréquence à laquelle les utilisateurs doivent se réauthentifier. Cette réauthentification peut impliquer uniquement un premier facteur, tel qu’un mot de passe, Fast IDentity Online (FIDO) ou Microsoft Authenticator sans mot de passe. Elle peut également nécessiter une authentification multifacteur (MFA). Vous pouvez configurer ces paramètres de réauthentification en fonction de votre environnement et de l’expérience utilisateur souhaitée.
La configuration par défaut de Microsoft Entra ID pour la fréquence de connexion utilisateur est une fenêtre dynamique de 90 jours. Demander aux utilisateurs d’entrer des informations d’identification semble souvent être une chose à faire, mais cela peut avoir l’effet inverse. Si les utilisateurs sont formés pour entrer leurs informations d’identification sans les penser, ils peuvent les fournir involontairement à une invite d’informations d’identification malveillante.
Il peut sembler alarmant de ne pas demander à un utilisateur de se reconnecter. Cependant, toute violation des stratégies informatiques entraîne la révocation de la session. Par exemple, un changement de mot de passe, un appareil non conforme ou une opération visant à désactiver un compte. Vous pouvez également révoquer explicitement les sessions des utilisateurs à l’aide de Microsoft Graph PowerShell.
Cet article détaille les configurations recommandées et explique comment les différents paramètres fonctionnent et interagissent entre eux.
Paramètres recommandés
Pour offrir à vos utilisateurs le meilleur compromis entre sécurité et simplicité d’utilisation en leur demandant de s’authentifier à une fréquence adaptée, nous vous recommandons les configurations suivantes :
- Si vous disposez de Microsoft Entra ID P1 ou P2 :
- Activez l’authentification unique (SSO) entre les applications à l’aide d’appareils gérés ou d’une authentification unique transparente.
- Si une réauthentification est requise, utilisez une stratégie de fréquence de connexion d’accès conditionnel Microsoft Entra.
- Pour les utilisateurs qui se connectent à partir d’appareils non gérés ou dans le cas d’appareils mobiles, les sessions de navigateur persistantes peuvent ne pas être préférables. Vous pouvez également utiliser l’accès conditionnel pour activer les sessions de navigateur persistantes avec la stratégie de fréquence de connexion. Limitez la durée à une valeur appropriée en fonction du risque de connexion, où un utilisateur présentant moins de risques a une durée de session plus longue.
- Si vous disposez d’une licence Microsoft 365 Apps ou d’une licence Microsoft Entra ID Gratuit :
- Activez l’authentification unique entre les applications à l’aide d’appareils gérés ou d’authentification unique transparente.
- Conservez l’option Afficher pour rester connecté activée et guidez vos utilisateurs à accepter Rester connecté ? lors de la connexion.
- Pour les scénarios impliquant des appareils mobiles, assurez-vous que vos utilisateurs utilisent l’application Microsoft Authenticator. Cette application sert d’intermédiaire pour d’autres applications fédérées Microsoft Entra ID et réduit les requêtes d’authentification sur l’appareil.
Les études que nous avons menées montrent que ces paramètres conviennent pour la plupart des locataires. Certaines combinaisons de ces paramètres, telles que l’authentification multifacteur et l’option Afficher pour rester connectés, peuvent entraîner des invites pour que vos utilisateurs s’authentifient trop souvent. Les requêtes de réauthentification régulières nuisent à la productivité des utilisateurs et peuvent les rendre plus vulnérables aux attaques.
Configurer les paramètres de durée de vie des sessions Microsoft Entra
Pour optimiser la fréquence des requêtes d’authentification pour vos utilisateurs, vous pouvez configurer les paramètres de durée de vie des sessions Microsoft Entra. Déterminez les besoins de votre entreprise et de vos utilisateurs, et configurez les paramètres qui offrent le meilleur compromis pour votre environnement.
Stratégies de durée de vie des sessions
Sans paramètres de durée de vie des sessions, la session du navigateur ne contient aucun cookie persistant. Chaque fois que les utilisateurs ferment et ouvrent le navigateur, ils reçoivent une requête de réauthentification. Dans les clients Office, la période par défaut est de 90 jours consécutifs. Avec cette configuration Office par défaut, si l’utilisateur réinitialise le mot de passe ou si la session est inactive pendant plus de 90 jours, il doit se réauthentifier à l’aide des premier et deuxième facteurs requis.
Un utilisateur peut voir plusieurs requêtes MFA sur un appareil qui ne dispose pas d’une identité dans Microsoft Entra ID. Des invites multiples se produisent quand chaque application a son propre jeton d’actualisation OAuth qui n’est pas partagé avec d’autres applications clientes. Dans ce scénario, l’authentification multifacteur plusieurs invites, car chaque application demande un jeton d’actualisation OAuth à valider avec l’authentification multifacteur.
Dans Microsoft Entra ID, la stratégie la plus restrictive pour la durée de vie de la session détermine quand l’utilisateur doit se réauthentifier. Considérons un scénario dans lequel vous activez ces deux paramètres :
- Option Afficher pour rester connecté, qui utilise un cookie de navigateur persistant
- Mémoriser l’authentification multifacteur avec une valeur de 14 jours
Dans cet exemple, l’utilisateur doit se réauthentifier tous les 14 jours. Ce comportement suit la stratégie la plus restrictive, même si l’option Afficher pour rester connecté par lui-même ne nécessiterait pas que l’utilisateur se réauthentique sur le navigateur.
Appareils gérés
Les appareils joints à Microsoft Entra ID via Microsoft Entra join ou Microsoft Entra hybrid join reçoivent un jeton d’actualisation principal (PRT) pour utiliser l’authentification unique (SSO) dans toutes les applications.
Ce PRT permet à un utilisateur de se connecter une seule fois sur l’appareil et au personnel informatique de s’assurer que l’appareil respecte les normes de sécurité et de conformité. Si vous devez demander à un utilisateur de se connecter plus fréquemment sur un appareil joint pour certaines applications ou scénarios, vous pouvez utiliser la stratégie de fréquence de connexion à l’accès conditionnel.
Option pour rester connecté
Lorsqu’un utilisateur sélectionne Oui sur l’option Rester connecté ? lors de la connexion, la sélection définit un cookie persistant sur le navigateur. Ce cookie persistant mémorise les premier et deuxième facteurs et s’applique uniquement aux requêtes d’authentification dans le navigateur.
Si vous disposez d’une licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’utiliser une stratégie d’accès conditionnel pour la session de navigateur persistant. Cette stratégie remplace l’option Afficher pour rester connecté et offre une expérience utilisateur améliorée. Si vous n’avez pas de licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’activer l’option Show pour rester connecté pour vos utilisateurs.
Pour plus d’informations sur la configuration de l’option permettant aux utilisateurs de rester connectés, consultez Gérer l’invite « Rester connecté ? ».
Option pour mémoriser l’authentification multifacteur
Le paramètre Mémoriser l’authentification multifacteur vous permet de configurer une valeur de 1 à 365 jours. Il définit un cookie persistant sur le navigateur lorsqu’un utilisateur sélectionne l’option Ne pas demander de nouveau pour x jours lors de la connexion.
Bien que ce paramètre réduise le nombre d’authentifications sur les applications Web, il augmente le nombre d’authentifications pour les clients d’authentification moderne, tels que les clients Office. Normalement, ces clients envoient une invite uniquement après la réinitialisation du mot de passe ou après 90 jours d’inactivité. Toutefois, définir cette valeur sur moins de 90 jours raccourcit les requêtes MFA par défaut pour les clients Office et augmente la fréquence de réauthentification. Lorsque vous utilisez ce paramètre en combinaison avec l’option Afficher pour rester connecté ou les stratégies d’accès conditionnel, il peut augmenter le nombre de demandes d’authentification.
Si vous utilisez Mémoriser l’authentification multifacteur et que vous disposez d’une licence Microsoft Entra ID P1 ou P2, envisagez de migrer ces paramètres vers la fréquence de connexion à l’accès conditionnel. Sinon, envisagez d'utiliser l'option "Show" pour rester connecté plutôt.
Pour plus d’informations, consultez Mémoriser l’authentification multifacteur.
Gestion de session d’authentification avec l’accès conditionnel
L’administrateur peut utiliser la stratégie de fréquence de connexion pour choisir une fréquence de connexion qui s’applique à la fois au premier et au deuxième facteur dans le client et le navigateur. Nous vous recommandons d’utiliser ces paramètres, ainsi que des appareils gérés, dans les scénarios où vous devez restreindre les sessions d’authentification. Par exemple, vous pouvez avoir besoin de restreindre une session d’authentification pour des applications métier critiques.
La session de navigateur persistant permet aux utilisateurs de rester connectés après la fermeture et la réouverture de leur fenêtre de navigateur. Comme l’option Afficher pour rester connecté, elle définit un cookie persistant sur le navigateur. Toutefois, étant donné que l’administrateur le configure, il ne nécessite pas que l’utilisateur sélectionne Oui dans l’option Rester connecté ? De cette manière, vous offrez une meilleure expérience utilisateur. Si vous utilisez l’option Afficher pour rester connecté , nous vous recommandons d’activer la stratégie de session de navigateur persistant à la place.
Pour plus d’informations, consultez Configurer des stratégies de durée de vie de session adaptative.
Durées de vie des jetons configurables
Le paramètre de durées de vie des jetons configurables autorise la configuration d’une durée de vie pour un jeton que Microsoft Entra ID émet. La gestion des sessions d’authentification avec l’accès conditionnel remplace cette stratégie. Si vous utilisez des durées de vie de jeton configurables maintenant, nous vous recommandons de commencer la migration vers les stratégies d’accès conditionnel.
Vérifier la configuration de vos locataires
Maintenant que vous comprenez le fonctionnement des différents paramètres et la configuration recommandée, il est temps de vérifier vos locataires. Vous pouvez commencer par examiner les journaux de connexion pour comprendre quelles stratégies de durée de vie de session ont été appliquées pendant la connexion.
Sous chaque journal de connexion, accédez à l’onglet Détails de l’authentification et explorez les stratégies de durée de vie de session appliquées. Pour plus d’informations, consultez En savoir plus sur les détails de l’activité du journal de connexion.
Pour configurer ou passer en revue l’option Afficher pour rester connecté :
Importante
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cette pratique permet d’améliorer la sécurité de votre organisation. L’administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence ou lorsque vous ne pouvez pas utiliser de rôle existant.
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
- Parcourez Entra ID>Personnalisation de la marque. Ensuite, pour chaque paramètre régional, sélectionnez l’option Afficher pour rester connecté.
- Sélectionnez Oui, puis sélectionnez Enregistrer.
Pour mémoriser les paramètres d’authentification multifacteur sur les appareils approuvés :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
- Accédez à Entra ID>Authentification multifacteur.
- Sous Configurer, sélectionnez Paramètres MFA basés sur le cloud supplémentaires.
- Dans le volet Paramètres du service d’authentification multifacteur , faites défiler jusqu’à mémoriser les paramètres d’authentification multifacteur et cochez la case.
Pour configurer des stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
- Accédez à Entra ID>Accès conditionnel.
- Configurez une stratégie à l’aide des options de gestion des sessions recommandées dans cet article.
Pour passer en revue les durées de vie des jetons, utilisez Microsoft Graph PowerShell pour interroger les stratégies Microsoft Entra. Désactivez les stratégies qui sont appliquées.
Si plusieurs paramètres sont activés dans votre locataire, nous vous recommandons de mettre à jour vos paramètres en fonction des licences dont vous disposez. Par exemple, si vous disposez d’une licence Microsoft Entra ID P1 ou P2, vous devez utiliser uniquement les stratégies d’accès conditionnel de la fréquence de connexion et de la session de navigateur persistant. Si vous disposez d’une licence Microsoft 365 Apps ou d’une licence Microsoft Entra ID Free, vous devez utiliser l'option 'Rester connecté' dans la configuration.
Si vous avez activé la durée de vie configurable des jetons, n’oubliez pas que cette fonctionnalité sera bientôt supprimée. Prévoyez une migration vers une stratégie d’accès conditionnel.
Le tableau suivant récapitule les recommandations par licence :
| Category | Applications Microsoft 365 ou Microsoft Entra ID Gratuit | Microsoft Entra ID P1 ou P2 |
|---|---|---|
| Authentification unique (SSO) | Microsoft Entra join ou Microsoft Entra hybrid join, ou SSO transparent pour les appareils non gérés | Rejoindre Microsoft Entra ou Microsoft Entra hybrid join |
| Paramètres de réauthentification | Afficher l'option pour rester connecté | Stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes |