Passer à un déploiement sans mot de passe

Sensibilisation et éducation des utilisateurs

Dans cette dernière étape, vous allez inclure les utilisateurs restants qui correspondent au personnage professionnel ciblé au déploiement sans mot de passe. Avant d’effectuer cette étape, vous souhaitez investir dans une campagne de sensibilisation.

Une campagne de sensibilisation présente aux utilisateurs la nouvelle façon de s’authentifier auprès de leur appareil, comme l’utilisation de Windows Hello Entreprise. L’idée de la campagne est de promouvoir positivement le changement auprès des utilisateurs à l’avance. Expliquez la valeur et pourquoi votre entreprise change. La campagne doit fournir des dates et encourager les questions et les commentaires. Cette campagne peut coïncider avec l’éducation des utilisateurs, où vous pouvez montrer aux utilisateurs les modifications et, si votre environnement le permet, permettre aux utilisateurs d’essayer l’expérience.

Astuce

Pour faciliter la communication avec les utilisateurs et garantir un déploiement Windows Hello Entreprise réussi, vous pouvez trouver du matériel personnalisable (modèles d’e-mail, affiches, formations, etc.) sur Microsoft Entra modèles.

Inclure les utilisateurs restants qui correspondent au personnage professionnel

Vous avez implémenté la campagne de sensibilisation pour les utilisateurs ciblés. Ces utilisateurs sont informés et prêts à passer au sans mot de passe. Ajoutez les utilisateurs restants qui correspondent au personnage de travail ciblé à votre déploiement.

Vérifiez qu’aucun des utilisateurs des personnages professionnels n’a besoin de mots de passe

Vous avez réussi à faire passer tous les utilisateurs pour le personnage professionnel ciblé vers le sans mot de passe. Surveillez les utilisateurs au sein du personnage professionnel pour vous assurer qu’ils ne rencontrent aucun problème lors de l’utilisation d’un environnement sans mot de passe.

Suivez tous les problèmes signalés. Définissez la priorité et la gravité de chaque problème signalé et faites en charge votre équipe de trier les problèmes de manière appropriée. Lorsque vous triez les problèmes, tenez compte des questions suivantes :

Question
🔲 L’utilisateur signalant effectue-t-il une tâche en dehors du personnage professionnel ?
🔲 Le problème signalé affecte-t-il l’ensemble du personnage professionnel, ou uniquement des utilisateurs spécifiques ?
🔲 La panne est-elle le résultat d’une mauvaise configuration ?
🔲 La panne est-elle un écart négligé de l’étape 2 ?

La priorité et la gravité de chaque organization diffèrent. Toutefois, la plupart des organisations considèrent que les arrêts de travail sont assez importants. Votre équipe doit prédéfinir des niveaux de priorité et de gravité. Avec chacun de ces niveaux, créez des contrats de niveau de service (SLA) pour chaque combinaison de gravité et de priorité, et tenez tout le monde responsable de ces contrats. La planification réactive permet aux utilisateurs de consacrer plus de temps au problème et à le résoudre, et moins de temps sur le processus.

Résolvez les problèmes en fonction de vos contrats de niveau de service. Les éléments de gravité plus élevée peuvent nécessiter le renvoi d’une partie ou de la totalité de la surface de mot de passe de l’utilisateur. Il est clair que ce résultat n’est pas l’objectif final, mais ne le laissez pas ralentir votre élan vers l’absence de mot de passe. Reportez-vous à la façon dont vous avez réduit la surface de mot de passe de l’utilisateur à l’étape 2, puis passez à une solution, en déployant cette solution et en la validant.

Astuce

Surveillez vos contrôleurs de domaine pour les événements d’authentification par mot de passe. Cela permet d’identifier de manière proactive les utilisateurs qui utilisent encore des mots de passe et de les contacter.

Configurer des comptes d’utilisateur pour empêcher l’authentification par mot de passe

Vous avez transféré tous les utilisateurs du personnage de travail ciblé vers un environnement sans mot de passe et validé tous leurs flux de travail. La dernière étape pour terminer la transition sans mot de passe consiste à supprimer la connaissance du mot de passe par l’utilisateur.

Brouillage du mot de passe

Bien que vous ne puissiez pas supprimer complètement le mot de passe du compte d’utilisateur, vous pouvez empêcher l’utilisateur d’utiliser le mot de passe pour s’authentifier. L’approche la plus simple et la plus efficace consiste à définir le mot de passe sur une valeur aléatoire. Cette approche empêche l’utilisateur de connaître le mot de passe et de l’utiliser pour s’authentifier, mais elle permet à l’utilisateur de réinitialiser le mot de passe chaque fois que nécessaire.

Astuce

Activez Microsoft Entra réinitialisation de mot de passe en libre-service (SSPR) pour permettre aux utilisateurs de réinitialiser leur mot de passe. Une fois implémentés, les utilisateurs peuvent se connecter à leurs appareils Windows à l’aide de Windows Hello Entreprise ou d’une clé de sécurité FIDO2 et réinitialiser leur mot de passe à partir de https://aka.ms/sspr. Combinez-la avec la réécriture du mot de passe pour que la réinitialisation du mot de passe soit synchronisée avec votre Active Directory local.

L’exemple de script PowerShell suivant génère un mot de passe aléatoire de 64 caractères et le définit pour l’utilisateur spécifié dans le nom de la variable $userId par rapport à Microsoft Entra ID. Modifiez la variable userId du script pour qu’elle corresponde à votre environnement (première ligne), puis exécutez-la dans une session PowerShell. Lorsque vous êtes invité à vous authentifier auprès de Microsoft Entra ID, utilisez les informations d’identification d’un compte avec un rôle capable de réinitialiser les mots de passe.

$userId = "<UPN of the user>"

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome

$passwordParams = @{
 UserId = $userId
 AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
 NewPassword = Generate-RandomPassword
}

Reset-MgUserAuthenticationMethodPassword @passwordParams

Un script similaire peut être utilisé pour réinitialiser le mot de passe sur Active Directory. Modifiez la variable samAccountName du script pour qu’elle corresponde à votre environnement (première ligne), puis exécutez-la dans une session PowerShell.

$samAccountName = <sAMAccountName of the user>

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force

Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset

Si vos stratégies organisationnelles le permettent, vous pouvez configurer les mots de passe aléatoires pour qu’ils n’expirent jamais ou utiliser une période d’expiration longue. Cette configuration empêche l’utilisateur d’être invité à modifier son mot de passe.

Attention

Exécutez le script uniquement à partir d’un environnement sécurisé et approuvé et vérifiez que le script n’est pas journalisé. Traitez l’hôte où le script est exécuté en tant qu’hôte privilégié, avec le même niveau de sécurité qu’un contrôleur de domaine.

Âge du mot de passe et rotation du mot de passe

Si votre organization n’a pas d’exigences de rotation de mot de passe, il est recommandé de désactiver l’âge du mot de passe.

Si votre organization a une stratégie de rotation de mot de passe, envisagez d’implémenter l’automatisation pour faire pivoter régulièrement le mot de passe de l’utilisateur. Cette approche garantit que le mot de passe de l’utilisateur est toujours aléatoire et empêche l’utilisateur de connaître le mot de passe.

Pour plus d’informations sur les mots de passe, consultez le livre blanc Sur les mots de passe.

Étapes suivantes

Microsoft travaille dur pour faciliter le parcours sans mot de passe pour vous. Nous travaillons sur de nouvelles fonctionnalités pour vous aider à passer à un environnement sans mot de passe et pour réaliser la promesse de sécurité à long terme d’un environnement vraiment sans mot de passe. Revenez souvent pour voir les nouveautés.