Planifier un déploiement de réinitialisation de mot de passe en libre-service Microsoft Entra

Important

Ce plan de déploiement fournit des conseils et présente les meilleures pratiques à suivre pour déployer la réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra.

Si vous êtes un utilisateur final et que vous devez revenir à votre compte, accédez à https://aka.ms/sspr.

La réinitialisation de mot de passe en libre-service (SSPR) est une fonctionnalité de Microsoft Entra qui permet aux utilisateurs de réinitialiser leurs mots de passe sans solliciter l'aide du personnel informatique. Les utilisateurs peuvent rapidement débloquer leur compte et continuer à travailler, quels que soient l'heure ou l'endroit où ils se trouvent. En permettant aux employés de débloquer leur compte eux-mêmes, votre organisation peut réduire les pertes de productivité et les coûts de support élevés liés aux problèmes de mot de passe les plus courants.

La SSPR comprend les fonctionnalités suivantes :

  • Le libre-service permet aux utilisateurs finaux de réinitialiser leurs mots de passe expirés ou non, sans solliciter l'aide d'un administrateur ou du support technique.
  • La réécriture du mot de passe permet de gérer les mots de passe locaux et de résoudre les problèmes de verrouillage de compte via le cloud.
  • Les rapports d'activité sur la gestion des mots de passe donnent aux administrateurs un aperçu de l'activité d'inscription et de réinitialisation de mot de passe au sein de leur organisation.

Ce guide de déploiement explique comment planifier, puis tester un déploiement de la SSPR.

Pour voir rapidement le fonctionnement de la SSPR, puis revenir en arrière afin d’examiner d’autres considérations relatives au déploiement :

Conseil

En complément de cet article, nous vous recommandons d'utiliser le guide Planifier votre déploiement de la réinitialisation de mot de passe en libre-service lorsque vous êtes connecté au Centre d’administration Microsoft 365. Ce guide personnalisera votre expérience en fonction de votre environnement. Pour consulter les meilleures pratiques sans vous connecter et activer les fonctionnalités d’installation automatisée, accédez au portail d’installation M365.

En savoir plus sur la SSPR

Apprenez-en davantage sur la SSPR. Consultez Fonctionnement : Réinitialisation de mot de passe en libre-service Microsoft Entra.

Principaux avantages

Les principaux avantages de la SSPR sont les suivants :

  • Gestion des coûts. La SSPR réduit les coûts de support informatique en permettant aux utilisateurs de réinitialiser eux-mêmes leur mot de passe. Elle réduit également les frais liés au temps perdu suite à l'oubli des mots de passe et aux verrouillages.

  • Expérience utilisateur intuitive. La SSPR fournit un processus d'inscription utilisateur unique et intuitif qui permet aux utilisateurs de réinitialiser leurs mots de passe et de débloquer leurs comptes à la demande sur tout type d'appareil et en tout lieu. Elle permet aux utilisateurs de reprendre plus rapidement leur travail et de gagner en productivité.

  • Flexibilité et sécurité. La SSPR permet aux entreprises de bénéficier de la sécurité et de la flexibilité d'une plateforme cloud. Les administrateurs peuvent modifier les paramètres pour répondre à de nouvelles exigences de sécurité et transmettre ces modifications aux utilisateurs sans interrompre leur connexion.

  • Robustesse de l'audit et du suivi de l'utilisation. Une organisation peut garantir aux utilisateurs que ses systèmes resteront sécurisés pendant qu'ils réinitialisent leur mot de passe. Particulièrement robustes, les journaux d'audit contiennent des informations sur chacune des étapes du processus de réinitialisation de mot de passe. Ces journaux sont disponibles à partir d'une API et permettent à l'utilisateur d'importer les données dans le système SIEM (Security Incident and Event Monitoring) de son choix.

Gestion des licences

Microsoft Entra ID fonctionne sur la base d'une licence unique par utilisateur. Cela signifie que chaque utilisateur doit disposer d'une licence appropriée pour les fonctionnalités utilisées. Pour la SSPR, nous recommandons une licence de groupe.

Pour comparer les éditions et les fonctionnalités, et pour en savoir plus sur l'activation des licences d’utilisateur ou de groupe, consultez Conditions de licence pour la réinitialisation de mot de passe en libre-service Microsoft Entra.

Pour plus d’informations sur la tarification, consultez la tarification Microsoft Entra.

Prérequis

Procédure pas à pas guidée

Pour obtenir une procédure pas à pas guidée des nombreuses recommandations dans cet article, consultez le guide Planifier votre déploiement de la réinitialisation de mot de passe en libre-service lorsque vous êtes connecté au Centre d’administration Microsoft 365. Pour consulter les meilleures pratiques sans vous connecter et activer les fonctionnalités d’installation automatisée, accédez au portail d’installation M365.

Ressources de formation

Ressources Lien et description
Vidéos Offrez une meilleure extensibilité informatique à vos utilisateurs
Qu'est-ce que la réinitialisation de mot de passe en libre-service ?
Déployer la réinitialisation de mot de passe en libre-service
Comment activer et configurer la SSPR dans Microsoft Entra ID
Comment configurer la réinitialisation de mot de passe en libre-service pour les utilisateurs dans Microsoft Entra ID ?
Comment [préparer les utilisateurs à] inscrire [leurs] informations de sécurité pour Microsoft Entra ID
Cours en ligne Gestion des identités dans Microsoft Entra ID Utilisez la SSPR pour offrir à vos utilisateurs une expérience moderne et protégée. Consultez en particulier le module « Managing Microsoft Entra Users and Groups ».
Prise en main de la suite Enterprise Mobility Suite Découvrez les meilleures pratiques à suivre pour étendre les ressources locales au cloud afin de bénéficier de fonctionnalités d'authentification, d'autorisation et de chiffrement, ainsi que d'une expérience mobile sécurisée. Consultez en particulier le module « Configuration des fonctions avancées de Microsoft Entra ID P1 ou P2 ».
Tutoriels Effectuer un déploiement pilote de réinitialisation de mot de passe en libre-service Microsoft Entra
Activation de la réécriture du mot de passe
Réinitialisation de mot de passe Microsoft Entra à partir de l'écran de connexion de Windows 10
FAQ Forum Aux Questions sur la gestion des mots de passe

Architecture de solution

L'exemple suivant décrit l'architecture de la solution de réinitialisation de mot de passe pour les environnements hybrides courants.

Diagramme de l’architecture de la solution

Description du flux de travail

Pour réinitialiser le mot de passe, les utilisateurs doivent accéder au portail de réinitialisation de mot de passe. Ils doivent utiliser la ou les méthodes d'authentification auxquels ils se sont précédemment inscrits pour prouver leur identité. S'ils réussissent à réinitialiser le mot de passe, ils entament le processus de réinitialisation.

  • Pour les utilisateurs qui utilisent uniquement le cloud, la SSPR stocke le nouveau mot de passe dans Microsoft Entra ID.

  • Pour les utilisateurs hybrides, la SSPR réécrit le mot de passe sur l'instance Active Directory locale via le service Connect Microsoft Entra.

Remarque : pour les utilisateurs qui ont désactivé la Synchronisation de hachage du mot de passe (PHS), la SSPR stocke uniquement les mots de passe sur l'instance locale d'Active Directory.

Meilleures pratiques

Vous pouvez aider les utilisateurs à s'inscrire rapidement en déployant la SSPR en parallèle d'une autre application ou d'un autre service populaire de l'organisation. Cette action génère un grand nombre de connexions et booste les inscriptions.

Avant de déployer la SSPR, vous pouvez déterminer le nombre et le coût moyen de chaque appel de réinitialisation de mot de passe. Vous pouvez utiliser ces données après le déploiement afin de connaître la valeur ajoutée de la SSPR pour l’organisation.

Inscription combinée pour l’authentification multifacteur SSPR et Microsoft Entra

SSPR permet aux utilisateurs de réinitialiser leur mot de passe de manière sécurisée en utilisant les mêmes méthodes que celles utilisées pour l’authentification multifacteur Microsoft Entra. L’inscription combinée est une étape d’inscription unique pour les utilisateurs finaux qui active l’inscription simultanée des méthodes d’authentification multifacteur et de réinitialisation de mot de passe en libre-service. Pour vous assurer de bien comprendre la fonctionnalité et l’expérience utilisateur final, consultez Concepts de l’inscription combinée des informations de sécurité.

Il est essentiel d’informer les utilisateurs sur les changements à venir, les conditions d’inscription et toute action utilisateur nécessaire. Nous fournissons des modèles de communication et une documentation utilisateur afin de préparer vos utilisateurs à la nouvelle expérience et de garantir un déploiement réussi. Dirigez les utilisateurs vers https://myprofile.microsoft.com pour qu’ils s’inscrivent en sélectionnant le lien Informations de sécurité sur cette page.

Planifier le projet de déploiement

Tenez compte des besoins de votre organisation lorsque vous déterminez la stratégie de ce déploiement dans votre environnement.

Impliquer les parties prenantes appropriées

Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels. Pour éviter ces pièges, veillez à impliquer les parties prenantes appropriées et à ce qu’elles comprennent bien leurs rôles dans le projet. Pour ce faire, dressez une liste de leurs contributions et de leurs responsabilités.

Rôles d’administrateur nécessaires

Rôle métier/personnage Rôle Microsoft Entra (si nécessaire)
Support technique de niveau 1 Administrateur de mot de passe
Support technique de niveau 2 Administrateur d’utilisateurs
Administrateur SSPR Administrateur d’authentification

Prévoir un pilote

Nous vous recommandons d’effectuer la configuration initiale de la SSPR dans un environnement de test. Commencez avec un groupe pilote en activant la SSPR pour un sous-ensemble d'utilisateurs de votre organisation. Consultez Meilleures pratiques pour un pilote.

Si vous devez créer un groupe, consultez comment créer un groupe et ajouter des membres dans Microsoft Entra ID.

Planifier la configuration

Les paramètres suivants sont requis pour activer SSPR avec les valeurs recommandées.

Zone Configuration Valeur
Propriétés SSPR Réinitialisation de mot de passe en libre-service activée Groupe sélectionné pour le projet pilote / Tous pour la production
Méthodes d’authentification Méthodes d’authentification requises pour l’inscription Toujours 1 de plus que nécessaire pour la réinitialisation
Méthodes d’authentification requises pour la réinitialisation Une ou deux
Enregistrement Obliger les utilisateurs à s’inscrire durant la connexion ? Oui
Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification 90 à 180 jours
Notifications Notifier les utilisateurs lors des réinitialisations de mot de passe ? Oui
Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ? Oui
Personnalisation Personnaliser le lien du support technique Oui
URL ou adresse e-mail personnalisée du support technique Adresse e-mail ou site du support technique
Intégration locale Écriture différée des mots de passe dans AD en local Oui
Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passe Oui

Propriétés SSPR

Lors de l'activation de la SSPR, choisissez un groupe de sécurité approprié dans l'environnement pilote.

  • Pour appliquer l'inscription SSPR à tout le monde, nous vous recommandons d'utiliser l'option Tous.
  • Sinon, sélectionnez le groupe de sécurité Microsoft Entra ID ou AD approprié.

Méthodes d’authentification

Une fois la SSPR activée, les utilisateurs ne peuvent réinitialiser leur mot de passe que s'ils disposent de données dans les méthodes d'authentification activées par l'administrateur. Les méthodes disponibles incluent notamment le téléphone, la notification de l'application Authenticator, les questions de sécurité, etc. Pour plus d'informations, consultez Quelles sont les méthodes d'authentification ?.

Nous recommandons les paramètres de méthode d'authentification suivants :

  • Définissez les méthodes d'authentification requises pour l'inscription ; il doit y en avoir au moins une de plus que le nombre requis pour la réinitialisation. Le fait de permettre des authentifications multiples donne aux utilisateurs la flexibilité est grande pour les utilisateurs lorsqu'ils doivent réinitialiser leur mot de passe.

  • Définissez le nombre de méthodes requises pour la réinitialisation sur un niveau approprié pour votre organisation. Le plus simple est d’en choisir une seule, tandis que deux peuvent améliorer l’état de la sécurité.

Remarque : les méthodes d'authentification de l'utilisateur doivent être configurées dans Stratégies et restrictions de mot de passe dans Microsoft Entra ID.

Paramètres d’inscription

Définissez l’option Obliger les utilisateurs à s’inscrire durant la connexion sur Oui. Ce paramètre oblige les utilisateurs à s'inscrire au moment de la connexion, ce qui garantit leur protection.

Définissez le nombre de jours avant que les utilisateurs soient invités à reconfirmer leurs informations d'authentification sur une valeur comprise entre 90 et 180 jours, sauf si votre entreprise a besoin d'un délai plus court.

Paramètres des notifications

Configurer les paramètres Notifier les utilisateurs lors des réinitialisations de mot de passe et Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe sur Oui. Sélectionnez Oui pour les deux paramètres afin de renforcer la sécurité en veillant à ce que les utilisateurs soient informés lorsque leur mot de passe est réinitialisé. Tous les administrateurs seront également informés lorsque l'un d'eux modifiera un mot de passe. Si les utilisateurs ou les administrateurs reçoivent une notification et qu'ils ne sont pas à l'origine de la modification, ils peuvent immédiatement signaler un problème de sécurité potentiel.

Remarque

Les notifications par e-mail du service SSPR sont envoyées à partir des adresses suivantes en fonction du cloud Azure que vous utilisez :

  • Public : msonlineservicesteam@microsoft.com
  • Chine : msonlineservicesteam@oe.21vianet.com
  • Administration : msonlineservicesteam@azureadnotifications.us

Si vous constatez des problèmes de réception des notifications, vérifiez vos paramètres de courrier indésirable.

Paramètres de personnalisation

Il est essentiel de personnaliser l’adresse e-mail ou l’URL du support technique afin de permettre aux utilisateurs qui rencontrent des problèmes de bénéficier d’une aide immédiate. Définissez cette option sur une page web ou une adresse e-mail de support technique courante que vos utilisateurs connaissent.

Pour plus d'informations, consultez Personnaliser la fonctionnalité Microsoft Entra pour la réinitialisation de mot de passe en libre-service.

Réécriture du mot de passe

La réécriture du mot de passe est activée avec Microsoft Entra Connect. Elle réécrit en temps réel les réinitialisations de mot de passe effectuées dans le cloud dans un annuaire local existant. Pour plus d'informations, consultez Qu'est-ce que la réécriture du mot de passe ?

Nous recommandons les paramètres suivants :

  • Vérifiez que l'option Réécriture des mots sur l'instance locale d'AD est définie sur Oui.
  • Définissez Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passe sur Oui.

Par défaut, Microsoft Entra ID déverrouille les comptes quand il effectue une réinitialisation de mot de passe.

Paramètre de mot de passe administrateur

Les comptes administrateur disposent d'autorisations élevées. Les administrateurs d'entreprise en local ou les administrateurs de domaine ne peuvent pas réinitialiser leurs mots de passe via la SSPR. Les comptes administrateur locaux présentent les restrictions suivantes :

  • Leur mot de passe ne peut être modifié qu’à partir de leur environnement local.
  • Il est impossible d’utiliser les questions et réponses secrètes comme méthode de réinitialisation de leur mot de passe.

Nous vous recommandons de ne pas synchroniser vos comptes administrateur Active Directory locaux avec Microsoft Entra ID.

Environnements avec plusieurs systèmes de gestion de l’identité

Certains environnements disposent de plusieurs systèmes de gestion des identités. Les gestionnaires d’identités locales, comme Oracle IAM et SiteMinder, exigent une synchronisation avec AD pour les mots de passe. Pour ce faire, vous pouvez utiliser un outil tel que le service de notification de modification de mot de passe (PCNS) avec Microsoft Identity Manager (MIM). Pour plus d’informations sur ce scénario plus complexe, consultez l’article Déployer le service de notification de modification de mot de passe MIM sur un contrôleur de domaine.

Planifier les tests et le support

À chaque étape de votre déploiement, depuis les groupes pilotes initiaux jusqu'à l'organisation dans son ensemble, assurez-vous que les résultats sont conformes aux attentes.

Planifier les tests

Pour vous assurer que votre déploiement fonctionne comme prévu, planifiez un ensemble de cas de test pour valider l'implémentation. Pour évaluer les cas de test, il vous faut un utilisateur test non administrateur doté d'un mot de passe. Si vous devez créer un utilisateur, consultez Ajouter de nouveaux utilisateurs à Microsoft Entra ID.

Le tableau suivant inclut des scénarios de test utiles que vous pouvez utiliser pour documenter les résultats attendus par votre organisation en fonction de vos stratégies.

Cas métier Résultats attendus
Le portail SSPR est accessible à partir du réseau d’entreprise Déterminé par votre organisation
Le portail SSPR est accessible en dehors du réseau d’entreprise Déterminé par votre organisation
Réinitialiser le mot de passe de l’utilisateur à partir du navigateur lorsque l’utilisateur n’est pas activé pour la réinitialisation de mot de passe L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passe
Réinitialiser le mot de passe de l’utilisateur à partir du navigateur lorsque l’utilisateur n’est pas inscrit pour la réinitialisation de mot de passe L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passe
L'utilisateur se connecte lorsqu'il est invité à procéder à l'inscription de la réinitialisation de mot de passe Invite l'utilisateur à inscrire ses informations de sécurité
L'utilisateur se connecte lorsque l'inscription à la réinitialisation de mot de passe est terminée Invite l'utilisateur à inscrire ses informations de sécurité
Le portail SSPR est accessible lorsque l’utilisateur ne dispose pas d’une licence Accessible
Réinitialiser le mot de passe de l’utilisateur à partir de l'écran de verrouillage d'appareil Windows 10 Microsoft Entra joint ou Microsoft Entra hybride joint L’utilisateur peut réinitialiser le mot de passe
Les données d’utilisation et d’inscription SSPR sont disponibles pour les administrateurs quasiment en temps réel Disponible via les journaux d’audit

Vous pouvez également consulter Effectuer un déploiement pilote de réinitialisation de mot de passe en libre-service pour Microsoft Entra. Dans ce tutoriel, vous activerez un déploiement pilote de la SSPR au sein de votre organisation et testerez celui-ci à l'aide d'un compte non administrateur.

Planifier le support

Bien que la SSPR ne pose généralement aucun problème aux utilisateurs, il est important de préparer le personnel de support à gérer les éventuels soucis. Pour faciliter le travail de votre équipe de support, vous pouvez créer une FAQ à partir des questions que vous envoient les utilisateurs. Voici quelques exemples :

Scénarios Description
Aucune des méthodes d'authentification auxquelles l'utilisateur s'est inscrit n'est disponible Un utilisateur essaie de réinitialiser son mot de passe, mais aucune des méthodes d’authentification qu’il a enregistrées n’est disponible (par exemple, il a laissé son téléphone portable à la maison et n’a pas accès à ses e-mails)
L'utilisateur ne reçoit ni SMS ni appel sur son téléphone mobile ou professionnel Un utilisateur tente de confirmer son identité par SMS ou via un appel, mais ne reçoit pas de SMS/appel.
L'utilisateur n'a pas accès au portail de réinitialisation de mot de passe Un utilisateur souhaite réinitialiser son mot de passe, mais il n'est pas activé pour la réinitialisation de mot de passe et n'a donc pas accès à la page de mise à jour des mots de passe.
L'utilisateur ne peut pas définir de nouveau mot de passe Un utilisateur termine la vérification pendant le flux de réinitialisation de mot de passe, mais ne peut pas définir de nouveau mot de passe.
L'utilisateur ne voit pas de lien Réinitialiser le mot de passe sur un appareil Windows 10 Un utilisateur tente de réinitialiser son mot de passe à partir de l'écran de verrouillage de Windows 10, mais l'appareil n'est pas joint à Microsoft Entra ID ou la stratégie d'appareil de Microsoft Intune n'est pas activée

Planifier la restauration

Pour restaurer le déploiement :

  • Pour un utilisateur individuel, supprimer l’utilisateur du groupe de sécurité

  • Pour un groupe, supprimer le groupe de la configuration SSPR

  • Désactiver la SSPR du client Microsoft Entra pour tout le monde

Déployer la SSPR

Avant le déploiement, assurez-vous d'avoir effectué les opérations suivantes :

  1. Définition des paramètres de configuration appropriés.

  2. Identification des utilisateurs et des groupes pour l'environnement pilote et l'environnement de production.

  3. Définition des paramètres de configuration pour l'inscription et le libre-service.

  4. Réécriture du mot de passe configuré si vous disposez d'un environnement hybride.

Vous êtes maintenant prêt à déployer la SSPR !

Consultez Activer la réinitialisation de mot de passe en libre-service pour obtenir des instructions pas à pas sur la configuration des domaines suivants.

  1. Méthodes d’authentification

  2. Paramètres d’inscription

  3. Paramètres des notifications

  4. Paramètres de personnalisation

  5. Intégration locale

Activer SSPR sous Windows

Dans le cas des ordinateurs Windows 7, 8, 8.1 et 10, vous pouvez autoriser les utilisateurs à réinitialiser leur mot de passe sur l’écran de connexion Windows

Gérer SSPR

Microsoft Entra ID peut fournir des informations supplémentaires sur vos performances de SSPR par le biais d'audits et de rapports.

Rapports d'activité sur la gestion des mots de passe

Vous pouvez utiliser les rapports prédéfinis du Centre d’administration Microsoft Entra pour mesurer les performances SSPR. Si vous disposez d’une licence appropriée, vous pouvez également créer des requêtes personnalisées. Pour plus d'informations, consultez Options de création de rapports pour la gestion des mots de passe Microsoft Entra.

Un administrateur général est nécessaire pour gérer cette fonctionnalité.

Remarque

Vous devez vous inscrire pour que ces données soient collectées pour votre organisation. Pour cela, vous devez consulter l’onglet Rapports ou les journaux d’audit du Centre d’administration Microsoft Entra au moins une fois. Tant que cela ne sera pas fait, les données ne seront pas collectées.

Les journaux d’audit pour l’inscription et la réinitialisation de mot de passe sont disponibles pendant 30 jours. Si l’audit de sécurité de votre entreprise requiert une rétention plus longue, les journaux doivent être exportés et utilisés dans un outil SIEM comme Microsoft Sentinel, Splunk ou ArcSight.

Capture d'écran de rapport SSPR

Méthodes d'authentification - Utilisation et insights

Utilisation et insights vous permet de comprendre comment les méthodes d'authentification des fonctionnalités comme l’authentification multifacteur et la SSPR Microsoft Entra fonctionnent au sein de votre organisation. Cette fonctionnalité de création de rapports permet à votre organisation d'identifier les méthodes inscrites et d'en savoir plus sur leur utilisation.

Détecter un problème

Documentation utile

Étapes suivantes