Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?

Microsoft recommande les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés de sécurité FIDO2 et l’application Microsoft Authenticator car elles fournissent l’expérience de connexion la plus sécurisée. Bien qu’un utilisateur puisse se connecter à l’aide d’autres méthodes courantes comme un nom d’utilisateur et un mot de passe, les mots de passe doivent être remplacés par des méthodes d’authentification plus sécurisées.

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

L’authentification multifacteur de Microsoft Entra renforce la sécurité par rapport à l'utilisation d'un simple mot de passe lors de la connexion. L’utilisateur peut être invité à fournir des formes d’authentification supplémentaires, par exemple répondre à une notification push, entrer un code à partir d’un jeton logiciel ou matériel, ou répondre à un SMS ou à un appel téléphonique.

Pour simplifier l’expérience d’intégration des utilisateurs et s’inscrire à MFA et à la réinitialisation de mot de passe en libre-service (SSPR), nous vous recommandons d’activer l’inscription d’informations de sécurité combinée. À des fins de résilience, nous vous recommandons de demander aux utilisateurs d’enregistrer plusieurs méthodes d’authentification. Lorsqu’une méthode n’est pas disponible pour un utilisateur lors d’une connexion ou SSPR, il peut choisir de s’authentifier avec une autre méthode. Pour plus d’informations, consultez Créer une stratégie de gestion du contrôle d’accès résiliente dans Microsoft Entra ID.

Voici une vidéo que nous avons créée pour vous aider à choisir la meilleure méthode d’authentification pour assurer la sécurité de votre organisation.

Robustesse et sécurité des méthodes d’authentification

Lorsque vous déployez des fonctionnalités telles que l’authentification multifacteur Microsoft Entra au sein de votre organisation, passez en revue les méthodes d'authentification disponibles. Optez pour des méthodes qui remplissent ou dépassent vos exigences en termes de sécurité, de facilité d’utilisation et de disponibilité. Dans la mesure du possible, utilisez des méthodes d’authentification avec le niveau de sécurité le plus élevé.

Le tableau suivant décrit les considérations relatives à la sécurité pour les méthodes d’authentification disponibles. La disponibilité indique que l’utilisateur est en mesure d’utiliser la méthode d’authentification, et ne se réfère pas à la disponibilité du service dans Microsoft Entra ID :

Méthode d’authentification Sécurité Usage Disponibilité
Windows Hello Entreprise Élevé Élevé Élevé
Microsoft Authenticator Élevé Élevé Élevé
Authenticator Lite Élevé Élevé Élevé
Clé de sécurité FIDO2 Élevé Élevé Élevé
Authentification par certificat Élevé Élevé Élevé
Jetons matériels OATH (version préliminaire) Moyenne Moyenne Élevé
Jetons logiciels OATH Moyenne Moyenne Élevé
Passe d’accès temporaire (TAP) Moyenne Élevé Élevé
SMS Moyenne Élevé Moyenne
Voix Moyenne Moyenne Moyenne
Mot de passe Faible Élevé Élevé

Pour obtenir les informations les plus récentes concernant la sécurité, consultez nos billets de blog :

Conseil

Pour plus de flexibilité et de facilité d’utilisation, nous vous recommandons d’utiliser l’application Microsoft Authenticator. Cette méthode d’authentification offre une expérience utilisateur optimale, ainsi que plusieurs modes (authentification sans mot de passe, notifications push MFA et codes OATH, notamment).

Fonctionnement de chaque méthode d’authentification

Certaines méthodes d’authentification peuvent être utilisées en tant que facteur principal lorsque vous vous connectez à une application ou un appareil, par exemple à l’aide d’une clé de sécurité FIDO2 ou d’un mot de passe. D’autres méthodes d’authentification sont disponibles uniquement comme facteur secondaire lorsque vous utilisez une authentification multifacteur Microsoft Entra ou une SSPR.

Le tableau suivant décrit quand une méthode d’authentification peut être utilisée lors d’un événement de connexion :

Méthode Authentification principale Authentification secondaire
Windows Hello Entreprise Oui MFA*
Microsoft Authenticator (Push) Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Microsoft Authenticator (sans mot de passe) Oui Non*
Authenticator Lite Non MFA
Clé de sécurité FIDO2 Oui MFA
Authentification par certificat Oui MFA
Jetons matériels OATH (version préliminaire) Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Jetons logiciels OATH Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Passe d’accès temporaire (TAP) Oui MFA
SMS Oui Authentification multifacteur et réinitialisation de mot de passe en libre-service
Appel vocal Non Authentification multifacteur et réinitialisation de mot de passe en libre-service
Mot de passe Oui No

* La fonctionnalité Windows Hello Entreprise, en soi, ne sert pas d’informations d’identification MFA de niveau supérieur. Par exemple, une demande d’authentification MFA liée à la fréquence de connexion ou à une requête SAML contenant forceAuthn=true. La fonctionnalité Windows Hello Entreprise peut servir d’informations d’identification MFA de niveau supérieur en étant utilisée dans l’authentification FIDO2. Pour que cela fonctionne correctement, l’authentification FIDO2 doit être activée chez les utilisateurs.

* La connexion sans mot de passe peut être utilisée en guise d’authentification secondaire uniquement si l’authentification basée sur un certificat est utilisée comme authentification principale. Pour plus d’informations, consultez Immersion technique avec l’authentification basée sur les certificats Microsoft Entra.

Vous pouvez configurer toutes ces méthodes d’authentification dans le centre d’administration Microsoft Entra, et de plus en plus à l’aide de l’API REST Microsoft Graph.

Pour en savoir plus sur le fonctionnement de chaque méthode d’authentification, consultez les articles conceptuels suivants :

Remarque

Dans Microsoft Entra ID, un mot de passe constitue souvent l’une des méthodes d’authentification principales. Vous ne pouvez pas désactiver la méthode d’authentification par mot de passe. Si vous utilisez un mot de passe en tant que facteur d'authentification principal, renforcez la sécurité des événements de connexion à l'aide de l’authentification multifacteur Microsoft Entra.

Les méthodes de vérification supplémentaires suivantes peuvent être utilisées dans certains scénarios :

  • Mots de passe d'application : utilisés pour les anciennes applications qui ne prennent pas en charge l'authentification moderne et peuvent être configurés pour l’authentification multifacteur Microsoft Entra par utilisateur.
  • Questions de sécurité : utilisées uniquement pour SSPR
  • Adresse e-mail : utilisée uniquement pour SSPR

Méthodes utilisables et non utilisables

Les administrateurs peuvent voir les méthodes d’authentification utilisateur dans le centre d’administration Microsoft Entra. Les méthodes utilisables sont répertoriées en premier, ensuite viennent les méthodes non utilisables.

Chaque méthode d’authentification peut devenir inutilisable pour diverses raisons. Par exemple, un passe d’accès temporaire peut expirer ou l’attestation de la clé de sécurité FIDO2 peut échouer. Le portail va être mis à jour pour fournir la raison pour laquelle la méthode est inutilisable.

Les méthodes d’authentification qui ne sont plus disponibles en raison de la condition « Exiger une réinscription d’authentification multifacteur » s’affichent également ici.

Screenshot of non-usable authentication methods.

Étapes suivantes

Pour commencer, consultez le tutoriel sur la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur Microsoft Entra.

Pour en savoir plus sur les concepts de SSPR, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service dans Microsoft Entra.

Pour plus d’informations sur les concepts MFA, consultez Fonctionnement de l’authentification multifacteur Microsoft Entra.

Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.

Pour connaître les méthodes d'authentification utilisées, consultez Analyse de la méthode d'authentification de l’authentification multifacteur Microsoft Entra avec PowerShell.