Didacticiel: permettre aux utilisateurs de déverrouiller leur compte ou de réinitialiser leurs mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Microsoft Entra

La réinitialisation de mot de passe en libre-service (SPSPR) Microsoft Entra permet aux utilisateurs de changer ou de réinitialiser leur mot de passe, sans l’intervention d’un administrateur ou d’un agent du support technique. Si Microsoft Entra ID verrouille le compte d’un utilisateur ou oublie son mot de passe, il peut suivre des invites pour se débloquer et reprendre son travail. Cette fonctionnalité réduit les appels au support technique et la perte de productivité quand l’utilisateur ne parvient pas à se connecter à son appareil ou à une application. Nous vous recommandons de regarder cette vidéo sur la façon d’activer et de configurer SSPR dans Microsoft Entra ID. Nous avons également une vidéo destinée aux administrateurs informatiques sur la résolution des six messages d’erreur les plus courants pour les utilisateurs finaux avec SSPR.

Important

Ce tutoriel montre comment un administrateur peut activer la réinitialisation de mot de passe en libre-service. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez vous reconnecter avec votre compte, accédez à la page Réinitialisation du mot de passe Microsoft Online.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Activer la réinitialisation de mot de passe en libre-service pour un groupe d’utilisateurs Microsoft Entra
  • Configurer les méthodes d’authentification et les options d’inscription
  • Tester le processus SSPR en tant qu’utilisateur

Important

En mars 2023, nous avons annoncé la dépréciation de la gestion des méthodes d’authentification dans les stratégies héritées de l’authentification multifacteur et de la réinitialisation de mot de passe en libre-service (SSPR). À compter du 30 septembre 2024, les méthodes d’authentification ne pourront pas être gérées dans ces stratégies MFA et SSPR héritées. Nous recommandons aux clients d’utiliser le contrôle de migration manuel pour migrer vers la stratégie des méthodes d’authentification avant la date de dépréciation.

Didacticiel vidéo

Vous pouvez également suivre la vidéo associée : Comment activer et configurer SSPR dans Microsoft Entra ID.

Prérequis

Pour terminer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

  • Un locataire Microsoft Entra opérationnel avec au moins une licence d’ID de Microsoft Entra ou une licence d’essai activée. Dans le niveau gratuit, SSPR fonctionne uniquement pour les utilisateurs cloud dans Microsoft Entra ID. La modification du mot de passe est prise en charge dans le niveau Gratuit, mais pas sa réinitialisation.
    • Dans les didacticiels suivants de cette série, vous avez besoin d’une licence Microsoft Entra ID P1 ou d’une licence d’essai pour la réécriture locale du mot de passe.
    • Si nécessaire, créez un compte Azure gratuitement.
  • Un compte avec des privilèges d’Administrateur général ou d’Administrateur de stratégie d’authentification.
  • Un utilisateur non-administrateur avec un mot de passe que vous connaissez, par exemple testuser. Dans ce tutoriel, vous allez tester l’expérience SSPR de l’utilisateur final à l’aide de ce compte.
  • Un groupe dont l’utilisateur non-administrateur est membre, par exemple SSPR-Test-Group. Vous activez SSPR pour ce groupe dans ce tutoriel.

Activer la réinitialisation du mot de passe libre-service

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Microsoft Entra ID vous permet d’activer l’option SSPR pour Aucun utilisateur, pour les utilisateurs Sélectionnés ou pour Tous les utilisateurs. Cette capacité à indiquer la précision vous permet de choisir un sous-ensemble d’utilisateurs pour tester le processus d’inscription et le workflow SSPR. Une fois que vous êtes familiarisé avec le processus et que le moment est venu de communiquer les exigences avec un ensemble plus large d’utilisateurs, vous pouvez sélectionner un groupe d’utilisateurs à activer pour SSPR. Vous pouvez également activer SSPR pour tous les membres du locataire Microsoft Entra.

Remarque

Pour le moment, vous pouvez uniquement activer un seul groupe Microsoft Entra pour SSPR dans le Centre d’administration Microsoft Entra. Dans le cadre d’un déploiement plus étendu de SSPR, Microsoft Entra prend en charge les groupes imbriqués.

Dans ce tutoriel, configurez SSPR pour un ensemble d’utilisateurs dans un groupe de test. Utilisez SSPR-Test-Group et fournissez votre propre groupe Microsoft Entra en fonction des besoins :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Réinitialisation de mot de passe dans le menu de gauche.

  3. Sur la page Propriétés, sous l’option Réinitialisation de mot de passe en libre-service activée, choisissez Sélectionné.

  4. Si votre groupe n’est pas visible, choisissez Aucun groupe sélectionné, recherchez et sélectionnez votre groupe Microsoft Entra, par exemple SSPR-Test-group, puis choisissez Sélectionner.

    Select a group to enable for self-service password reset

  5. Pour activer SSPR pour les utilisateurs sélectionnés, sélectionnez Enregistrer.

Sélectionner les méthodes d’authentification et les options d’inscription

Quand les utilisateurs doivent déverrouiller leur compte ou réinitialiser leur mot de passe, ils sont invités à fournir une autre méthode de confirmation. Ce facteur d’authentification supplémentaire vérifie que Microsoft Entra ID a terminé uniquement les événements SSPR approuvés. Vous pouvez choisir les méthodes d’authentification à autoriser, en fonction des informations d’inscription fournies par l’utilisateur.

  1. Dans le menu à gauche de la page Méthodes d’authentification, affectez la valeur 2 au Nombre de méthodes à réinitialiser.

    Pour améliorer la sécurité, vous pouvez augmenter le nombre de méthodes d’authentification requises pour SSPR.

  2. Choisissez les Méthodes disponibles pour les utilisateurs que votre entreprise souhaite autoriser. Pour ce tutoriel, cochez les cases pour activer les méthodes suivantes :

    • Notification sur l’application mobile
    • Code de l’application mobile
    • E-mail
    • Téléphone mobile

    Vous pouvez activer des méthodes d’authentification supplémentaires, telles que Téléphone professionnel ou Questions de sécurité, pour répondre aux besoins de votre entreprise.

  3. Pour appliquer les méthodes d’authentification, sélectionnez Enregistrer.

Pour pouvoir déverrouiller leur compte ou réinitialiser un mot de passe, les utilisateurs doivent d’abord inscrire leurs informations de contact. Microsoft Entra ID utilise ces informations de contact pour les différentes méthodes d’authentification configurées au cours des étapes précédentes.

Un administrateur peut spécifier manuellement ces informations de contact, ou les utilisateurs peuvent accéder au portail d’inscription pour fournir les informations eux-mêmes. Dans ce didacticiel, vous allez configurer Microsoft Entra ID pour inviter les utilisateurs à s’inscrire la prochaine fois qu’ils se connectent.

  1. Dans le menu à gauche de la page Inscription, sélectionnez Oui pour obliger les utilisateurs à s’inscrire durant la connexion.

  2. Définissez l’option Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification sur 180.

    Il est important que les informations de contact soient tenues à jour. Si les informations de contact sont obsolètes au démarrage d’un événement SSPR, l’utilisateur risque de ne pas pouvoir déverrouiller son compte ou réinitialiser son mot de passe.

  3. Pour appliquer les paramètres d’inscription, sélectionnez Enregistrer.

Remarque

L’interruption de la requête d’inscription des informations de contact lors de la connexion se produit uniquement si les conditions configurées dans les paramètres sont remplies et s’applique uniquement aux comptes utilisateur et administrateur qui sont autorisés à réinitialiser les mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Microsoft Entra ID.

Configurer les notifications et les personnalisations

Pour informer les utilisateurs de l’activité des comptes, vous pouvez configurer Microsoft Entra ID pour envoyer des notifications par e-mail quand un événement SSPR se produit. Ces notifications peuvent couvrir les comptes d’utilisateur standard et les comptes d’administrateur. Pour les comptes d’administrateur, cette notification fournit une autre couche de sensibilisation quand un mot de passe de compte d’administrateur privilégié est réinitialisé à l’aide de SSPR. Microsoft Entra ID avertit tous les administrateurs généraux lorsqu’un utilisateur utilise SSPR sur un compte d’administrateur.

  1. Dans le menu à gauche de la page Notifications, configurez les options suivantes :

    • Définissez l’option Notifier les utilisateurs lors des réinitialisations de mot de passe ? sur Oui.
    • Définissez l’option Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ? sur Oui.
  2. Pour appliquer les préférences de notification, sélectionnez Enregistrer.

Si les utilisateurs ont besoin d’aide supplémentaire avec le processus SSPR, vous pouvez personnaliser le lien « Contactez votre administrateur ». L’utilisateur peut sélectionner ce lien lors du processus d’inscription SSPR et quand il déverrouille son compte ou réinitialise son mot de passe. Pour vous assurer que les utilisateurs bénéficient du support nécessaire, nous vous recommandons de fournir une adresse e-mail ou une URL de support technique personnalisée.

  1. Dans le menu à gauche de la page Personnalisation, affectez la valeur Oui à Personnaliser le lien du support technique.
  2. Dans le champ Personnaliser le lien du support technique, spécifiez une adresse e-mail ou une URL de page web où vos utilisateurs peuvent obtenir une aide supplémentaire de la part de votre organisation, par exemple https://support.contoso.com/
  3. Pour appliquer le lien personnalisé, sélectionnez Enregistrer.

Tester la réinitialisation de mot de passe en libre-service

Avec l’option SSPR activée et configurée, testez le processus SSPR avec un utilisateur qui fait partie du groupe que vous avez sélectionné dans la section précédente, par exemple Test-SSPR-Group. L’exemple suivant utilise le compte testuser. Fournissez votre propre compte d’utilisateur. Il fait partie du groupe que vous avez activé pour SSPR dans la première section de ce tutoriel.

Notes

Quand vous testez la réinitialisation de mot de passe en libre-service, utilisez un compte non-administrateur. Par défaut, Microsoft Entra ID active la réinitialisation de mot de passe en libre-service pour les administrateurs. Ils doivent utiliser deux méthodes d’authentification pour réinitialiser leur mot de passe. Pour plus d’informations, consultez Différences en matière de stratégie de réinitialisation par l’administrateur.

  1. Pour voir le processus d’inscription manuelle, ouvrez une nouvelle fenêtre de navigateur dans InPrivate ou en mode de navigation privée, et accédez à https://aka.ms/ssprsetup. Microsoft Entra ID dirige les utilisateurs vers ce portail d’inscription la prochaine fois qu’ils se connectent.

  2. Connectez-vous avec un utilisateur test non-administrateur, par exemple testuser, et inscrivez vos informations de contact pour les méthodes d’authentification.

  3. Une fois cela terminé, sélectionnez le bouton marqué Les informations semblent correctes et fermez la fenêtre du navigateur.

  4. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, puis accédez à https://aka.ms/sspr.

  5. Entrez les informations de compte de votre utilisateur test non-administrateurs, par exemple testuser, les caractères du test CAPTCHA, puis sélectionnez Suivant.

    Enter user account information to reset the password

  6. Suivez les étapes de vérification pour réinitialiser votre mot de passe. Quand vous avez terminé, vous devez recevoir une notification par e-mail indiquant que votre mot de passe a été réinitialisé.

Nettoyer les ressources

Dans un autre tutoriel de cette série, vous configurerez la réécriture du mot de passe. Cette fonctionnalité réécrit les modifications de mot de passe de SSPR Microsoft Entra ID vers un environnement AD local. Si vous souhaitez continuer avec cette série de tutoriels pour configurer la réécriture du mot de passe, ne désactivez pas SSPR maintenant.

Si vous ne souhaitez plus utiliser la fonctionnalité SSPR que vous avez configurée dans le cadre de ce tutoriel, définissez l’état de SSPR sur Aucun en effectuant les étapes suivantes :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Protection>Réinitialisation de mot de passe.
  3. Dans la page Propriétés, sous l’option Réinitialisation de mot de passe en libre-service activée, sélectionnez Aucun.
  4. Pour appliquer la modification SSPR, sélectionnez Enregistrer.

FAQ

Cette section décrit les questions courantes des administrateurs et des utilisateurs finaux qui essaient SSPR :

  • Pourquoi les stratégies de mot de passe locales ne sont-elles pas affichées pendant la réinitialisation SSPR ?

    Actuellement, la synchronisation Microsoft Entra ID Connect et la synchronisation cloud ne prennent pas en charge le partage des détails des stratégies de mot de passe avec le cloud. La réinitialisation SSPR affiche uniquement les détails des stratégies de mot de passe cloud, mais ne peut pas afficher les stratégies locales.

  • Pourquoi les utilisateurs fédérés attendent jusqu’à 2 minutes après avoir vu le message Votre mot de passe a été réinitialisé avant de pouvoir utiliser les mots de passe qui sont synchronisés en local ?

    Pour les utilisateurs fédérés dont les mots de passe sont synchronisés, la source d’autorité pour les mots de passe est locale. Par conséquent, SSPR met à jour uniquement les mots de passe locaux. La resynchronisation de hachage de mot de passe sur Microsoft Entra ID est planifiée toutes les 2 minutes.

  • Quand un utilisateur nouvellement créé, dont les données SSPR sont préremplies (telles que le téléphone et l’e-mail), visite la page d’inscription SSPR, le message Ne perdez pas l’accès à votre compte ! s’affiche en titre de la page. Pourquoi d’autres utilisateurs dont les données SSPR sont préremplies ne voient pas le message ?

    Un utilisateur qui voit d’afficher le message Ne perdez pas l’accès à votre compte ! est membre des groupes d’inscription SSPR/combinés qui sont configurés pour le locataire. Les utilisateurs qui ne voient pas le message Ne perdez pas l’accès à votre compte ! ne font pas partie des groupes d’inscription SSPR/combinés.

  • Lorsque certains utilisateurs suivent le processus SSPR et réinitialisent leur mot de passe, pourquoi ne voient-ils pas l’indicateur du niveau de sécurité du mot de passe ?

    La réécriture du mot de passe synchronisé est activée pour les utilisateurs qui ne voient pas le niveau de sécurité du mot de passe faible/fort. Étant donné que SSPR ne peut pas déterminer la stratégie de mot de passe de l’environnement local du client, il ne peut pas valider la force ou la faiblesse du mot de passe.

Étapes suivantes

Dans ce tutoriel, vous avez activé la réinitialisation de mot de passe en libre-service Microsoft Entra pour un groupe d’utilisateurs sélectionné. Vous avez appris à :

  • Activer la réinitialisation de mot de passe en libre-service pour un groupe d’utilisateurs Microsoft Entra
  • Configurer les méthodes d’authentification et les options d’inscription
  • Tester le processus SSPR en tant qu’utilisateur