Options de déploiement de réinitialisation de mot de passe en libre-service
Important
En septembre 2022, Microsoft a annoncé la dépréciation du serveur Multi-Factor Authentication. À compter du 30 septembre 2024, les déploiements du serveur Azure Multi-Factor Authentication ne services plus les demandes d’authentification multifacteur (MFA). Les clients du serveur Azure Multi-Factor Authentication doivent plutôt utiliser des fournisseurs MFA personnalisés avec MIM SSPR ou Microsoft Entra SSPR au lieu de MIM SSPR.
Pour les nouveaux clients disposant d’une licence pour Microsoft Entra ID P1 ou P2, nous vous recommandons d’utiliser la réinitialisation de mot de passe en libre-service Microsoft Entra pour fournir l’expérience de l’utilisateur final. La réinitialisation de mot de passe en libre-service de Microsoft Entra offre une expérience intégrée au web et à Windows pour qu’un utilisateur réinitialise son propre mot de passe et prend en charge la plupart des mêmes fonctionnalités que MIM, notamment les portes de messagerie secondaire et de Q&A. Lors du déploiement de la réinitialisation de mot de passe en libre-service Microsoft Entra, vous pouvez configurer Microsoft Entra Connect pour réécrire les nouveaux mots de passe dans AD DS, et le service de notification de modification de mot de passe MIM peut être utilisé pour transférer les mots de passe vers d’autres systèmes, tels que le serveur d’annuaire d’un autre fournisseur. Le déploiement de MIM pour la gestion des mots de passe ne nécessite pas le déploiement du service MIM ou de la réinitialisation de mot de passe en libre-service MIM ou des portails d’inscription. Au lieu de cela, vous pouvez suivre ces étapes :
- Tout d’abord, si vous devez envoyer des mots de passe à des répertoires autres que Microsoft Entra ID et AD DS, déployez MIM Sync avec des connecteurs pour services de domaine Active Directory et tous les systèmes cibles supplémentaires, configurez MIM pour la gestion des mots de passe et déployez le service de notification de modification de mot de passe.
- Ensuite, si vous devez envoyer des mots de passe à des répertoires autres que l’ID Microsoft Entra, configurez Microsoft Entra Connect pour écrire les nouveaux mots de passe dans AD DS.
- Si vous le souhaitez, préinscrivez des utilisateurs.
- Enfin, déployez la réinitialisation de mot de passe en libre-service Microsoft Entra pour vos utilisateurs finaux.
Pour les clients Forefront Identity Manager (FIM) ou MIM sous licence pour Microsoft Entra ID P1 ou P2, nous vous recommandons de planifier la transition vers la réinitialisation de mot de passe en libre-service Microsoft Entra. Vous pouvez transférer les utilisateurs finaux vers la réinitialisation de mot de passe en libre-service Microsoft Entra sans avoir à les réinscrire, en synchronisant ou en définissant via l’autre adresse e-mail ou le numéro de téléphone mobile de PowerShell d’un utilisateur. Une fois que les utilisateurs sont inscrits pour la réinitialisation de mot de passe en libre-service Microsoft Entra, le portail de réinitialisation de mot de passe FIM peut être désactivé.
Les déploiements MIM 2016 qui utilisaient Microsoft Entra MFA doivent passer à l’utilisation de MIM SSPR avec un fournisseur MFA personnalisé ou à la réinitialisation de mot de passe en libre-service Microsoft Entra. Les nouveaux déploiements doivent utiliser un fournisseur MFA personnalisé ou une réinitialisation de mot de passe en libre-service Microsoft Entra.
Déploiement du portail de réinitialisation de mot de passe en libre-service MIM à l’aide d’un fournisseur personnalisé pour l’authentification multifacteur
La section suivante explique comment déployer le portail de réinitialisation de mot de passe en libre-service MIM à l’aide d’un fournisseur pour l’authentification multifacteur. Ces étapes sont uniquement nécessaires pour les clients qui n’utilisent pas la réinitialisation de mot de passe en libre-service Microsoft Entra pour leurs utilisateurs.
Avec l’authentification multifacteur, les utilisateurs s’authentifient via le fournisseur externe pour vérifier leur identité tout en essayant de récupérer l’accès à leur compte et à leurs ressources. L'authentification peut s'effectuer via SMS ou appel téléphonique. Plus l’authentification est forte, plus la confiance que la personne qui tente d’obtenir l’accès est en effet l’utilisateur réel qui possède l’identité. Une fois authentifié, l'utilisateur peut choisir un nouveau mot de passe pour remplacer l'ancien.
Conditions préalables pour configurer le déverrouillage et la réinitialisation de mot de passe en libre-service à l’aide de l’authentification multifacteur
Cette section suppose que vous avez téléchargé et terminé le déploiement des composants microsoft Identity Manager 2016 MIM Sync, MIM Service et MIM Portal, y compris les composants et services suivants :
Contrôleur de domaine Active Directory avec un domaine désigné (domaine d’entreprise)
Une stratégie de groupe est définie pour le verrouillage de compte.
Le service de synchronisation MIM 2016 (synchronisation) est installé et s’exécute sur un serveur joint au domaine AD
Le service et le portail MIM 2016, y compris le portail d’inscription SSPR et le portail de réinitialisation SSPR, sont installés et exécutés sur un serveur (peut être colocalisé avec La synchronisation)
La synchronisation MIM est configurée pour la synchronisation des identités AD-MIM, notamment :
Configuration de l’Agent de gestion Active Directory (ADMA) pour la connectivité à AD DS et exécuter des profils pour importer des données d’identité depuis et les exporter vers Active Directory.
Configuration de l’agent de gestion MIM (MIM MA) pour la connectivité à la base de données fiM Service et exécuter des profils pour importer des données d’identité à partir de la base de données FIM et les exporter vers la base de données FIM.
Configuration des règles de synchronisation dans le portail MIM pour autoriser la synchronisation des données utilisateur et faciliter les activités de synchronisation dans le service MIM.
Les compléments et extensions MIM 2016, y compris le client intégré de connexion Windows SSPR, sont déployés sur le serveur ou sur un ordinateur client distinct.
Préparer MIM à travailler avec MFA
Configurez le service de synchronisation MIM pour prendre en charge les fonctionnalités de réinitialisation du mot de passe et de déverrouillage de compte. Pour plus d’informations, consultez Installation des compléments et extensions FIM, installation de SSPR FIM, de portes d’authentification SSPR et du guide du laboratoire de test SSPR.
Configurer la porte téléphonique ou la porte de message texte pour le mot de passe à usage unique
Lancez Internet Explorer et accédez au portail MIM, en s’authentifiant en tant qu’administrateur MIM, puis cliquez sur Flux de travail dans la barre de navigation de gauche.
Vérifiez le flux de travail d’authentification de réinitialisation du mot de passe.
Cliquez sur l’onglet Activités , puis faites défiler jusqu’à Ajouter une activité.
Sélectionnez Porte téléphonique ou Porte SMS à usage unique, cliquez sur Sélectionner, puis OK.
Remarque
Si vous utilisez un autre fournisseur qui génère le mot de passe à usage unique lui-même, vérifiez que le champ de longueur configuré est de la même longueur que celle générée par le fournisseur MFA.
Les utilisateurs de votre organisation peuvent désormais s'inscrire pour la réinitialisation du mot de passe. Lors de ce processus, les utilisateurs vont entrer leur numéro de téléphone professionnel ou mobile pour que le système sache comment les appeler (ou comment leur envoyer des messages SMS).
Inscrire des utilisateurs pour la réinitialisation du mot de passe
Un utilisateur lance un navigateur web et accède au portail d’inscription de réinitialisation de mot de passe MIM. (En général, ce portail est configuré avec l'authentification Windows.) Dans le portail, ils vont fournir à nouveau leur nom d'utilisateur et leur mot de passe pour confirmer leur identité.
Ils doivent accéder au portail d'enregistrement du mot de passe et s'authentifier à l'aide de leur nom d'utilisateur et de leur mot de passe.
Dans le champ Numéro de téléphone ou Téléphone mobile, ils doivent entrer un code de pays, un espace et le numéro de téléphone, puis cliquer sur Suivant.
Comment cela fonctionne-t-il pour vos utilisateurs ?
Maintenant que tout est configuré et opérationnel, vous souhaiterez peut-être savoir ce que vos utilisateurs devront faire quand ils réinitialiseront leur mot de passe juste avant de partir en vacances et s'apercevront, une fois revenus, qu'ils l'ont complètement oublié.
Il existe deux façons pour un utilisateur d’utiliser la fonctionnalité de réinitialisation de mot de passe et de déverrouillage du compte, à partir de l’écran de connexion Windows ou du portail libre-service.
En installant les compléments et extensions MIM sur un ordinateur joint au domaine connecté via le réseau de votre organisation au service MIM, les utilisateurs peuvent résoudre un problème de mot de passe oublié via l'utilisation de la connexion à l'ordinateur. Les étapes suivantes vous guident tout au long du processus.
Réinitialisation du mot de passe intégrée à la connexion au Bureau Windows
Si votre utilisateur entre plusieurs fois le mot de passe incorrect, dans l’écran de connexion, il aura la possibilité de cliquer sur Problèmes de connexion ?
Si vous cliquez sur ce lien, vous accédez à l’écran de réinitialisation du mot de passe MIM dans lequel ils peuvent modifier leur mot de passe ou déverrouiller leur compte.
L'utilisateur sera dirigé pour s'authentifier. Si MFA a été configuré, l'utilisateur recevra un appel téléphonique.
En arrière-plan, ce qui se passe est que le fournisseur MFA place ensuite un appel téléphonique au numéro que l’utilisateur a donné lorsque cet utilisateur s’est inscrit au service.
Lorsqu’un utilisateur répond au téléphone, il peut être invité à interagir, par exemple pour appuyer sur la touche livre # sur le téléphone. Ensuite, l’utilisateur clique sur Suivant dans le portail.
Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.
Remarque
Si l’utilisateur est impatient et clique sur Suivant avant d’appuyer sur la touche livre #, l’authentification échoue.
Après une authentification réussie, l'utilisateur a deux options : déverrouiller le compte et conserver le mot de passe actuel, ou définir un nouveau mot de passe.
L'utilisateur doit entrer le nouveau mot de passe à deux reprises, puis le mot de passe est réinitialisé.
Accès à l'aide du portail libre-service
Les utilisateurs peuvent ouvrir un navigateur web, accéder au portail de réinitialisation de mot de passe et entrer leur nom d’utilisateur, puis cliquer sur Suivant.
Si MFA a été configuré, l'utilisateur recevra un appel téléphonique. En arrière-plan, ce qui se passe est que l’authentification multifacteur Microsoft Entra place ensuite un appel téléphonique au numéro que l’utilisateur a donné lorsqu’il s’est inscrit au service.
Quand l'utilisateur répond au téléphone, il est invité à appuyer sur la touche dièse (#). Ensuite, l’utilisateur clique sur Suivant dans le portail.
Si vous avez défini d'autres portes, l'utilisateur est invité à fournir davantage d'informations dans les écrans suivants.
Remarque
Si l’utilisateur est impatient et clique sur Suivant avant d’appuyer sur la touche livre #, l’authentification échoue.
L’utilisateur devra choisir s’il souhaite réinitialiser son mot de passe ou déverrouiller son compte. S’ils choisissent de déverrouiller leur compte, le compte sera déverrouillé.
Une fois l’authentification réussie, l’utilisateur reçoit deux options, soit pour conserver son mot de passe actuel, soit pour définir un nouveau mot de passe.
Si l’utilisateur choisit de réinitialiser son mot de passe, il devra taper un nouveau mot de passe deux fois, puis cliquer sur Suivant pour modifier le mot de passe.