Invites de réauthentification et durée de vie des sessions pour l’authentification multifacteur Microsoft Entra
Microsoft Entra ID dispose de plusieurs paramètres qui déterminent la fréquence à laquelle les utilisateurs doivent se réauthentifier. Cette réauthentification peut impliquer uniquement un premier facteur, tel que le mot de passe, Fast Identity Online (FIDO) ou Microsoft Authenticator sans mot de passe. Elle peut également nécessiter une authentification multifacteur (MFA). Vous pouvez configurer ces paramètres de réauthentification en fonction des exigences de votre environnement et de l’expérience utilisateur que vous souhaitez offrir.
La configuration par défaut de Microsoft Entra ID pour la fréquence de connexion utilisateur est une fenêtre dynamique de 90 jours. Demander aux utilisateurs d’entrer des informations d’identification semble souvent être une chose à faire, mais cela peut avoir l’effet inverse. Si les utilisateurs sont formés pour entrer leurs informations d’identification sans les penser, ils peuvent les fournir involontairement à une invite d’informations d’identification malveillante.
Ne pas demander à un utilisateur de se reconnecter peut sembler inquiétant. Or, toute violation de stratégies informatiques a pour effet de révoquer la session. Tel est le cas notamment d’une modification de mot de passe, d’un appareil non conforme ou d’une opération visant à désactiver un compte. Vous pouvez aussi explicitement révoquer les sessions des utilisateurs en utilisant Microsoft Graph PowerShell.
Cet article explique en détail les configurations recommandées, le fonctionnement de divers paramètres ainsi que leur interaction.
Paramètres recommandés
Pour offrir à vos utilisateurs le meilleur compromis entre sécurité et simplicité d’utilisation en leur demandant de s’authentifier à une fréquence adaptée, nous vous recommandons les configurations suivantes :
- Si vous avez Microsoft Entra ID P1 ou P2 :
- Activez l’authentification unique (SSO) pour les applications en utilisant des appareils managés ou l’authentification SSO fluide.
- Si une réauthentification est nécessaire, utilisez une stratégie de fréquence de connexion de l’accès conditionnel Microsoft Entra.
- Pour les utilisateurs qui se connectent à partir d’appareils non managés ou pour les scénarios d’appareil mobile, les sessions de navigateur persistantes ne sont peut-être pas à privilégier. Ou bien, vous pouvez utiliser l’accès conditionnel pour activer les sessions de navigateur persistantes avec la stratégie de fréquence de connexion. Limitez la durée à une valeur appropriée en fonction du risque de connexion, où un utilisateur présentant moins de risques a une durée de session plus longue.
- Si vous disposez d’une licence Microsoft 365 Apps ou Microsoft Entra ID gratuit :
- Activez l’authentification SSO pour les applications en utilisant des appareils managés ou l’authentification SSO fluide.
- Laissez l’option Afficher l’option permettant de rester connecté activée et conseillez à vos utilisateurs d’accepter Rester connecté ? au moment de la connexion.
- Pour les scénarios d’appareil mobile, vérifiez que vos utilisateurs se servent de l’application Microsoft Authenticator. Cette application fait office de broker vis-à-vis des autres applications fédérées Microsoft Entra ID et réduit le nombre d’invites d’authentification sur l’appareil.
Les études que nous avons menées montrent que ces paramètres conviennent pour la plupart des clients. Certaines combinaisons de ces paramètres, telles que Mémoriser l’authentification multifacteur associé à Afficher l’option permettant de rester connecté, peuvent produire des invites d’authentification trop fréquentes pour les utilisateurs. Les invites de réauthentification régulières impactent la productivité des utilisateurs et peuvent les rendre plus vulnérables aux attaques.
Configurer les paramètres de durée de vie des sessions Microsoft Entra
Pour optimiser la fréquence des invites d’authentification envoyées aux utilisateurs, vous pouvez configurer les paramètres de durée de vie des sessions Microsoft Entra. Déterminez les besoins de votre entreprise et de vos utilisateurs, puis configurez les paramètres qui offrent le meilleur compromis pour votre environnement.
Stratégies de durée de vie des sessions
En l’absence de paramètres de durée de vie des sessions, la session de navigateur n’a pas de cookies persistants. De ce fait, chaque fois que les utilisateurs ferment et rouvrent le navigateur, ils sont invités à se réauthentifier. Dans les clients Office, la période par défaut est de 90 jours consécutifs. Avec cette configuration Office par défaut, si l’utilisateur réinitialise le mot de passe ou que la session est inactive pendant plus de 90 jours, il doit se réauthentifier avec les premier et deuxième facteurs nécessaires.
Un utilisateur peut voir plusieurs invites d’authentification multifacteur sur un appareil qui n’a pas d’identité dans Microsoft Entra ID. Des invites multiples se produisent quand chaque application a son propre jeton d’actualisation OAuth qui n’est pas partagé avec d’autres applications clientes. Dans ce scénario, l’authentification multifacteur plusieurs invites, car chaque application demande un jeton d’actualisation OAuth à valider avec l’authentification multifacteur.
Dans Microsoft Entra ID, la stratégie la plus restrictive pour la durée de vie des sessions détermine à quel moment l’utilisateur doit se réauthentifier. Imaginez un scénario dans lequel vous activez les deux paramètres suivants :
- Afficher l’option permettant de rester connecté, qui utilise un cookie de navigateur persistant
- Mémoriser l’authentification multifacteur avec une valeur de 14 jours
Dans cet exemple, l’utilisateur doit se réauthentifier tous les 14 jours. Ce comportement suit la stratégie la plus restrictive, même si l’option Afficher l’option permettant de rester connecté n’impose pas en soi à l’utilisateur de se réauthentifier dans le navigateur.
Appareils gérés
Les appareils joints à Microsoft Entra ID via la jonction Microsoft Entra ou la jonction hybride Microsoft Entra reçoivent un jeton d’actualisation principal (PRT) pour utiliser l’authentification SSO avec les applications.
Ce jeton PRT permet à un utilisateur de se connecter une seule fois sur l’appareil, tout en garantissant au personnel informatique que l’appareil respecte les normes de sécurité et de conformité. Si vous avez besoin de demander à un utilisateur de se connecter plus fréquemment sur un appareil joint pour certaines applications ou certains scénarios, vous pouvez utiliser la stratégie de fréquence de connexion de l’accès conditionnel.
Option permettant de rester connecté
Quand un utilisateur sélectionne Oui pour l’option d’invite Rester connecté ? au moment de la connexion, un cookie persistant est défini dans le navigateur. Ce cookie persistant mémorise les premier et deuxième facteurs, et il s’applique uniquement aux demandes d’authentification dans le navigateur.
Si vous disposez d’une licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’utiliser une stratégie d’accès conditionnel Session de navigateur persistante. Cette stratégie prévaut sur le paramètre Afficher l’option permettant de rester connecté et améliore l’expérience utilisateur. Si vous n’avez pas de licence Microsoft Entra ID P1 ou P2, nous vous recommandons d’activer le paramètre Afficher l’option permettant de rester connecté pour vos utilisateurs.
Si vous souhaitez en savoir plus sur la configuration de l’option permettant aux utilisateurs de rester connectés, veuillez consulter Gérer l’invite « Rester connecté ? ».
Option permettant de mémoriser l’authentification multifacteur
Le paramètre Mémoriser l’authentification multifacteur vous permet de configurer une valeur comprise entre 1 et 365 jours. Elle définit un cookie persistant sur le navigateur lorsqu’un utilisateur sélectionne l’option Don’t ask again for X days (Ne plus me demander pendant X jours) au moment de la connexion.
Si ce paramètre réduit le nombre d’authentifications dans les applications web, il a néanmoins pour effet de l’augmenter dans le cas des clients d’authentification modernes, tels que les clients Office. Normalement, ces clients envoient une invite uniquement après la réinitialisation du mot de passe ou après 90 jours d’inactivité. Cependant, le fait de définir une valeur de moins à 90 jours raccourcit les invites MFA par défaut pour les clients Office et augmente la fréquence de réauthentification. Lorsque vous associez ce paramètre à l’option Afficher l’option permettant de rester connecté ou à des stratégies d’accès conditionnel, cela peut augmenter le nombre de demandes d’authentification.
Si vous utilisez Mémoriser l’authentification multifacteur et que vous disposez d’une licence Microsoft Entra ID P1 ou P2, envisagez de migrer ces paramètres vers la stratégie d’accès conditionnel Fréquence de connexion. Sinon, envisagez d’utiliser plutôt l’option Afficher l’option permettant de rester connecté.
Pour plus d’informations, consultez Mémoriser l’authentification multifacteur.
Gestion de session d’authentification avec l’accès conditionnel
L’administrateur peut utiliser la stratégie Fréquence de connexion pour choisir une fréquence de connexion qui s’applique aux premier et deuxième facteurs, à la fois dans le client et le navigateur. Nous vous recommandons d’utiliser ces paramètres (avec des appareils managés) dans les scénarios où vous devez limiter le nombre de sessions d’authentification. Par exemple, vous pouvez être amené à restreindre une session d’authentification pour les applications métier critiques.
Avec la stratégie Session de navigateur persistante, les utilisateurs restent connectés quand ils ferment et rouvrent la fenêtre de leur navigateur. Tout comme le paramètre Afficher l’option permettant de rester connecté, cette stratégie définit un cookie persistant dans le navigateur. Cependant, comme l’administrateur la configure, l’utilisateur n’a pas besoin de sélectionner Oui dans l’option Rester connecté ?. Ce faisant, elle offre une meilleure expérience utilisateur. Si vous utilisez l’option Afficher l’option permettant de rester connecté, nous vous recommandons plutôt d’activer la stratégie Session de navigateur persistante.
Si vous souhaitez en savoir plus, veuillez consulter Configurer des stratégies de durée de vie de sessions adaptatives.
Durées de vie des jetons configurables
Le paramètre Durées de vie des jetons configurables permet de configurer la durée de vie d’un jeton émis par Microsoft Entra ID. Gestion de session d’authentification avec l’accès conditionnel remplace cette stratégie. Si vous utilisez actuellement l’option Durées de vie des jetons configurables, nous vous recommandons d’entreprendre la migration vers les stratégies d’accès conditionnel.
Vérifier la configuration de vos clients
Maintenant que vous savez comment fonctionnent les divers paramètres et que vous avez connaissance de la configuration recommandée, il est temps de vérifier la configuration de vos locataires. Vous pouvez commencer par examiner les journaux de connexion pour comprendre quelles stratégies de durée de vie de session ont été appliquées pendant la connexion.
Sous chaque journal de connexion, accédez à l’onglet Informations sur l’authentification et explorez Stratégies de durée de vie de session appliquées. Si vous souhaitez en savoir plus, veuillez consulter En savoir plus sur les détails de l’activité du journal de connexion.
Pour configurer ou passer en revue l’option Afficher l’option permettant de pour rester connecté :
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
- Accédez à Identité>Company Branding (Personnalisation d’entreprise). Ensuite, pour chacun des paramètres régionaux, sélectionnez Afficher l’option permettant de rester connecté.
- Sélectionnez Oui, puis Enregistrer.
Pour mémoriser les paramètres d’authentification multifacteur sur les appareils approuvés :
- Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
- Accédez à Protection>Authentification multifacteur.
- Sous Configurer, sélectionnez Paramètres supplémentaires de MFA basée sur le cloud.
- Dans le volet Paramètres du service d’authentification multifacteur, faites défiler l’écran jusqu’à Mémoriser les paramètres d’authentification multifacteur, puis cochez la case.
Pour configurer des stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes :
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Configurez une stratégie en utilisant les options de gestion de session recommandées dans cet article.
Pour vérifier les durées de vie des jetons, utilisez Microsoft Graph PowerShell pour interroger les stratégies Microsoft Entra. Désactivez les stratégies qui sont appliquées.
Si plusieurs paramètres sont activés dans votre locataire, nous vous recommandons de les mettre à jour en fonction des licences auxquelles vous avez accès. Par exemple, si vous disposez d’une licence Microsoft Entra ID P1 ou P2, vous devez utiliser uniquement les stratégies d’accès conditionnel Fréquence de connexion et Session de navigateur persistante. Si vous disposez d’une licence Microsoft 365 Apps ou Microsoft Entra ID gratuit, vous devez utiliser la configuration Afficher l’option permettant de rester connecté.
Si vous avez activé les durées de vie des jetons configurables, gardez à l’esprit que cette fonctionnalité sera bientôt supprimée. Prévoyez une migration vers une stratégie d’accès conditionnel.
Le tableau suivant récapitule les recommandations par licence :
| Catégorie | Microsoft 365 Apps ou Microsoft Entra ID gratuit | Microsoft Entra ID P1 ou P2 |
|---|---|---|
| SSO | Jonction Microsoft Entra, jonction hybride Microsoft Entra ou authentification SSO fluide pour les appareils non managés | Jonction Microsoft Entra ou jonction hybride Microsoft Entra |
| Paramètres de réauthentification | Afficher l’option permettant de rester connecté | Stratégies d’accès conditionnel pour la fréquence de connexion et les sessions de navigateur persistantes |