Comment fonctionne l’authentification multifacteur Microsoft Entra

L’authentification multifacteur est un processus où les utilisateurs sont invités pendant le processus de connexion à fournir une forme d’identification supplémentaire, comme un code sur leur téléphone portable ou un scan de leur empreinte digitale.

L’utilisation d’un mot de passe uniquement ne protège pas complètement des attaques. Si le mot de passe est faible ou s’il a été exposé ailleurs, un attaquant peut l’utiliser pour y accéder. Quand vous exigez une deuxième forme d’authentification, la sécurité est renforcée parce que ce facteur supplémentaire n’est pas un élément qu’un attaquant peut facilement obtenir ou dupliquer.

Image conceptuelle des différentes formes d’authentification multifacteur.

L’authentification multifacteur Microsoft Entra impose au minimum deux des méthodes d’authentification suivantes :

  • Un élément que vous connaissez, généralement un mot de passe.
  • Un élément que vous avez, tel qu’un appareil de confiance qui n’est pas facilement dupliqué, comme un téléphone ou une clé matérielle.
  • Un élément biométrique identifiant votre personne, tel qu’une empreinte digitale ou un scan du visage.

L’authentification multifacteur Microsoft Entra peut également sécuriser davantage la réinitialisation de mot de passe. Quand les utilisateurs s’inscrivent à l’authentification multifacteur Microsoft Entra, ils peuvent également s’inscrire à la réinitialisation de mot de passe en libre-service en une seule étape. Les administrateurs peuvent choisir des formes d’authentification secondaire et configurer des défis pour l’authentification multifacteur en fonction des décisions de configuration.

Vous n’avez pas besoin de changer d’applications ou de services pour utiliser l’authentification multifacteur Microsoft Entra. Les invites de vérification font partie de la connexion Microsoft Entra, qui demande et traite automatiquement le défi MFA lorsque cela est nécessaire.

Remarque

La langue de l’invite est déterminée par les paramètres régionaux du navigateur. Si vous utilisez des messages d’accueil personnalisés mais que vous n’en avez pas pour la langue identifiée dans les paramètres régionaux du navigateur, l’anglais est utilisé par défaut. Le serveur NPS (Network Policy Server) utilise toujours l’anglais par défaut, quels que soient les messages d’accueil personnalisés. L’anglais est également utilisé par défaut si les paramètres régionaux du navigateur ne peuvent pas être identifiés.

Écran de connexion MFA.

Méthodes de vérification disponibles

Lorsque les utilisateurs se connectent à une application ou à un service et reçoivent une invite MFA, ils peuvent choisir l’une des formes enregistrées de vérification supplémentaire. Les utilisateurs peuvent accéder à Mon profil pour modifier ou jouter des méthodes de vérification.

Vous pouvez utiliser les autres formes de vérification suivantes avec l’authentification multifacteur Microsoft Entra :

  • Microsoft Authenticator
  • Authenticator Lite (dans Outlook)
  • Windows Hello Entreprise
  • Clè d’accès (FIDO2)
  • Clé d'accès dans Microsoft Authenticator (préversion)
  • Authentification basée sur un certificat (lorsqu’elle est configurée pour l’authentification multifacteur)
  • Méthodes d’authentification externes (préversion)
  • Passe d’accès temporaire (TAP)
  • Jeton matériel OATH (préversion)
  • Jeton logiciel OATH
  • sms
  • Appel vocal

Comment activer et utiliser l’authentification multifacteur Microsoft Entra

Vous pouvez utiliser les paramètres de sécurité par défaut des locataires Microsoft Entra afin d’activer rapidement Microsoft Authenticator pour tous les utilisateurs. Vous pouvez activer l’authentification multifacteur Microsoft Entra pour inviter des utilisateurs et des groupes à se soumettre à une vérification supplémentaire lorsqu’ils se connectent.

Pour des contrôles plus précis, vous pouvez utiliser des stratégies d’accès conditionnel pour définir des événements ou des applications qui demandent MFA. Ces stratégies peuvent autoriser une connexion normale lorsque l’utilisateur se trouve sur le réseau d’entreprise ou sur un appareil inscrit, mais demander des facteurs de vérification supplémentaires lorsqu’il se connecte à distance ou sur un appareil personnel.

Diagramme qui montre le fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion.

Étapes suivantes

Pour en savoir plus sur les licences, consultez Fonctionnalités et licences pour l’authentification multifacteur Microsoft Entra.

Pour en savoir plus sur les différentes méthodes d’authentification et de validation, consultez Méthodes d’authentification dans Microsoft Entra ID.

Pour voir MFA à l’œuvre, activez l’authentification multifacteur Microsoft Entra sur un ensemble d’utilisateurs de test dans le tutoriel suivant :