Ajouter l’authentification multifacteur (MFA) à une application

S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)

L’authentification multifacteur (MFA) ajoute une couche de sécurité à vos applications en demandant aux utilisateurs de fournir une deuxième méthode pour vérifier leur identité lors de l’inscription ou de la connexion. Les locataires externes prennent en charge deux méthodes d’authentification comme deuxième facteur :

• Email avec mot de passe unique : une fois que l’utilisateur se connecte avec son e-mail et son mot de passe, il est invité à entrer un code secret envoyé à son e-mail. Pour autoriser l’utilisation des mots de passe uniques par e-mail pour l’authentification multifacteur, définissez la méthode d’authentification de votre compte local sur Email avec mot de passe. Si vous choisissez Email avec mot de passe unique, les clients qui utilisent cette méthode pour la connexion principale ne pourront pas l’utiliser pour la vérification secondaire MFA.
• Authentification par SMS  : même si les SMS ne sont pas une option pour l’authentification de premier facteur, ils sont disponibles en tant que deuxième facteur pour la MFA. Les utilisateurs qui se connectent avec leur e-mail et leur mot de passe, leur e-mail et leur mot de passe unique, ou des identités sociales telles que Google ou Facebook, sont invités à procéder à une deuxième vérification par SMS. Notre authentification multifacteur par SMS inclut des vérifications automatiques de fraude. Si nous soupçonnons une fraude, nous demanderons à l’utilisateur de remplir un CAPTCHA pour confirmer qu’il n’est pas un robot avant d’envoyer le code SMS pour vérification. SMS est une fonctionnalité d’extension. Votre client doit être lié à un abonnement actif et valide. En savoir plus

Cet article explique comment appliquer l’authentification multifacteur pour vos clients en créant une stratégie d’accès conditionnel Microsoft Entra et en ajoutant l’authentification multifacteur à votre flux utilisateur d’inscription et de connexion.

Prérequis

• Un locataire externe Microsoft Entra.
• Flux d’utilisateur d’inscription et de connexion.
• Une application enregistrée dans votre locataire externe et ajoutée au flux des utilisateurs qui s’inscrivent et s’identifient.
• Un compte avec au moins le rôle Administrateur de sécurité pour configurer les stratégies d’accès conditionnel et l’authentification multifacteur.
• SMS est une fonctionnalité d’extension et nécessite un abonnement lié. Si votre abonnement expire ou est annulé, les utilisateurs finaux ne pourront plus s’authentifier à l’aide de SMS, ce qui peut les empêcher de se connecter en fonction de votre stratégie MFA.

Créer une stratégie d’accès conditionnel

Créez une stratégie d’accès conditionnel dans votre locataire externe qui invite les utilisateurs à effectuer une authentification MFA quand ils s’inscrivent ou se connectent à votre application. (Pour en savoir plus, voir Stratégie commune d’accès conditionnel : exiger la MFA pour tous les utilisateurs).

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu du haut pour basculer vers votre locataire externe depuis le menu Annuaires + abonnements.

3. Accédez à Protection>Accès conditionnel>Stratégies, puis sélectionnez Nouvelle stratégie.

   

4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

5. Sous Affectations, sélectionnez le lien sous Utilisateurs.

   a. Dans l’onglet Inclure, sélectionnez Tous les utilisateurs.

   b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation. Choisissez ensuite Sélectionner.

   

6. Sélectionnez le lien sous Ressources cibles.

   a. Sous l’onglet Inclure, choisissez l’une des options suivantes :

   • Choisissez toutes les ressources (anciennement « Toutes les applications cloud ») .

   • Sélectionnez les ressources , puis sélectionnez le lien sous Sélectionner. Recherchez votre application, sélectionnez-la, puis sélectionnez Sélectionner.

   b. Sous l’onglet Exclure, sélectionnez les applications ne nécessitant pas d’authentification multifacteur.

   

7. Sous Contrôles d’accès , sélectionnez le lien sous Accorder. Sélectionnez Accorder l’accès, sélectionnez Exiger l’authentification multifacteur, puis sélectionnez Sélectionner.

   

8. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.

9. Sélectionnez Créer pour créer votre stratégie.

Activer le code secret à usage unique par e-mail en tant que méthode MFA

Activez la méthode d’authentification par code secret à usage unique par e-mail dans votre locataire externe pour tous les utilisateurs.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Protection>Méthodes d’authentification.

3. Dans la liste Méthode, sélectionnez Email mot de passe à usage unique.

   

4. Sous Activer et cibler, activez le bouton à bascule Activer.

5. Sous Inclure, en regard de Cibler, sélectionnez Tous les utilisateurs.

   

6. Cliquez sur Enregistrer.

Activer les SMS en tant que méthode MFA

Activez la méthode d’authentification par SMS dans votre locataire externe pour tous les utilisateurs.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Protection>Méthodes d’authentification.

3. Dans la liste Méthode, sélectionnez SMS.

   

4. Sous Activer et cibler, activez le bouton à bascule Activer.

5. Sous Inclure, en regard de Cibler, sélectionnez Tous les utilisateurs.

   

6. Cliquez sur Enregistrer.

Testez la connexion

Dans un navigateur privé, ouvrez votre application et sélectionnez Se connecter. Vous devez être invité à entrer une autre méthode d’authentification.