Microsoft Office 365 Authentification multi-facteur

Ce guide vous expliquera comment activer ou désactiver l’Authentification multifacteur dans Microsoft 365

L’Authentification multifacteur, ou la vérification en deux étapes, ajoute un deuxième niveau de protection à votre compte Microsoft 365. Après avoir entré votre nom d’utilisateur et votre mot de passe, vous recevrez un code de vérification. Vous aurez accès à votre compte seulement après avoir entré le code.

Source : https://www.it-connect.fr/comment-mettre-en-place-le-mfa-sur-office-365/

L’Authentification multi-facteur n’est pas active par défaut : un Administrateur global de Microsoft 365 peut l’activer ou le désactiver à tout moment.

Cette fonctionnalité réduit considérablement le risque d’accès non désiré à vos données.

MFA et les options de sécurité par défaut

Dans la documentation de Microsoft, on peut lire : « Si votre locataire (tenant) a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire.« . Avec les paramètres de sécurité par défaut, le MFA est automatiquement activé sur l’ensemble des utilisateurs. Lors de la mise en route d’un tenant Office 365, il est courant de désactiver cette option… Je vous invite à vérifier l’état de cette option via le portail Microsoft Azure.

Sur ce portail, accédez à Azure Active Directory et cliquez sur « Propriétés » dans le menu à gauche.

Ensuite, descendez dans la page, tout en bas, afin de trouver le lien « Gérer les paramètres de sécurité par défaut« . Cliquez sur le lien, un panneau latéral va s’ouvrir et vous allez voir l’état de l’option « Activer les paramètres de sécurité par défaut« . Afin de réaliser un déploiement progressif du MFA auprès de vos utilisateurs, cette option doit être désactivée sinon vous n’avez pas le contrôle.

Par exemple, lorsque cette option est activée, un message s’affiche à la connexion « Microsoft a activé les paramètres de sécurité par défaut pour garantir la sécurité de votre compte.« .

Comment activer la fonction Authentification multi-facteur sur l’office 365

1. Connecter au portail Microsoft 365 en tant qu’administrateur global

2. Dans l’Admin center, aller à Utilisateurs > Utilisateurs actifs, sélectionner autres et choisir Configurer l’authentification multifacteur

3. Sélectionner l’utilisateur ou les utilisateurs pour lequel vous désirez active la fonctionnalité.

4. À droite, sous quick steps, sélectionner Activer

5. Cliquer activer multi-factor auth

L’Authentification multifacteur est active.

Ce menu est également accessible à partir du portail Azure. Pour cela, au sein d’Azure Active Directory, cliquez sur « Utilisateurs » puis « Tous les utilisateurs« .

Avant d’activer le MFA sur un ou plusieurs utilisateurs, nous allons regarder les paramètres. Pour cela, cliquez sur l’onglet « Paramètres du service« . J’attire votre attention sur plusieurs paramètres :

Mots de passe application : je vous recommande de désactiver cette option afin d’empêcher la génération de mots de passe d’application, car cela permet de contourner le MFA. Attention tout de même, si vous avez besoin de vous authentifier sur des appareils spécifiques ou des applications qui ne prennent pas en charge le MFA, vous êtes contraint de laisser l’option activée.

Mémoriser multi-factor authentication sur un appareil approuvé : dans un monde idéal, il faudrait que l’utilisateur se réauthentifie avec son mot de passe et son second facteur à chaque fois. À l’usage, c’est différent et cela risque d’être contraignant pour les utilisateurs surtout s’il s’agit du poste qu’un utilisateur utilise tous les jours… En activant cette option, vous pouvez autoriser l’ajout du poste dans la liste de confiance de l’utilisateur pour une durée spécifique (modifiable et par défaut de 90 jours). Ainsi, il pourra se connecter uniquement avec son mot de passe pendant X jours sur ce poste.

Ces paramètres sont modifiables ultérieurement. Une fois votre choix effectué, cliquez sur « Enregistrer« .

Basculez sur l’onglet « Utilisateurs« , car c’est à cet endroit que vous allez pouvoir activer ou désactiver le MFA sur un ou plusieurs utilisateurs.

Plusieurs options sont possibles pour gérer le MFA :

En sélectionnant les utilisateurs dans la liste et en cliquant sur « Activer » à droite, comme sur l’exemple ci-dessous avec un seul compte.

Une fenêtre de confirmation va apparaître où il sera nécessaire de cliquer sur « Activer multi-factor authentication« . Le lien « https://aka.ms/MFASetup » permet aux utilisateurs d’enregistrer leurs facteurs additionnels, mais de toute façon ce sera proposé à la prochaine connexion Web.

Lorsque l’utilisateur se connectera la prochaine fois, il devra définir un second facteur d’authentification, par exemple un numéro de téléphone afin de recevoir un SMS. Si vous avez activé l’option qui permet d’approuver les appareils, une option supplémentaire sera proposée au moment de s’authentifier :