Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’authentification par défaut du système invite les utilisateurs à se connecter à l’aide de la méthode la plus sécurisée qu’ils ont inscrite. Il s’agit d’une amélioration importante de la sécurité pour les utilisateurs qui s’authentifient à l’aide de méthodes basées sur téléphone. Les administrateurs peuvent activer l’authentification par défaut du système pour améliorer la sécurité de connexion et décourager les méthodes de connexion moins sécurisées telles que Short Message Service (SMS).
Par exemple, si un utilisateur a enregistré des notifications Push SMS et Microsoft Authenticator en tant que méthodes pour l’authentification multifacteur, l’authentification par défaut système invite l’utilisateur à se connecter à l’aide de la méthode de notification Push plus sécurisée. L’utilisateur peut toujours choisir de se connecter en utilisant une autre méthode, mais il est d’abord invité à essayer la méthode la plus sécurisée qu’il a inscrite.
L’authentification par défaut du système est un paramètre géré par Microsoft, qui est une stratégie tristate :
- Activé : applique l’authentification par défaut au deuxième facteur (MFA) uniquement.
- Géré par Microsoft - En préversion, un bouton bascule pour Appliquer à la fois à l’authentification principale et multifacteur (préversion) contrôle si la fonctionnalité s’applique également à l’authentification principale. Lorsque le commutateur est désactivé (valeur par défaut), l'authentification préférée par le système s'applique uniquement au deuxième facteur. Lorsque l'interrupteur est activé, il s’applique à la fois au premier et au second facteur.
- Désactivé : désactive l’authentification par défaut du système.
Si vous ne souhaitez pas activer l’authentification par défaut du système, remplacez l’état par Désactivé ou excluez les utilisateurs et les groupes de la stratégie.
Une fois l’authentification par défaut activée, le système d’authentification effectue tout le travail. Les utilisateurs n’ont pas besoin de définir une méthode d’authentification par défaut car le système détermine et présente toujours la méthode la plus sécurisée qu’ils ont inscrite.
Limitations connues
- Lorsque vous modifiez la stratégie d’un groupe cible, la modification peut ne pas prendre effet sur la connexion suivante de l’utilisateur. Elle s’applique à toutes les connexions suivantes après cela.
- La stratégie d’accès conditionnel est validée uniquement pour l’authentification multifacteur et ne s’applique pas à l’authentification de premier facteur.
Activer l’authentification par défaut du système dans le Centre d’administration Microsoft Entra
Pour activer l’authentification par défaut du système, procédez comme suit :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
Accédez à Microsoft Entra ID>méthodes d'authentification>paramètres.
Pour l’authentification par défaut du système, choisissez un état (Microsoft géré ou activé) selon que vous souhaitez appliquer l’authentification par défaut au système aux deux facteurs ou au deuxième facteur uniquement. Vous pouvez également inclure ou exclure tous les utilisateurs ou groupes. Les groupes exclus sont prioritaires sur les groupes inclus.
Lorsque vous définissez l'état à Géré par Microsoft, un bouton bascule pour Appliquer à la fois à l'authentification principale et à l'authentification multifacteur (en préversion) s'affiche. Activez le bouton pour appliquer l’authentification préférentielle système à la fois à l’authentification primaire et secondaire. Lorsque le basculement est désactivé (par défaut), l’authentification préférée du système s’applique uniquement au second facteur.
Par exemple, la capture d’écran suivante montre comment activer l’authentification par défaut du système pour le groupe Engineering uniquement.
Une fois que vous avez terminé d’apporter des modifications, sélectionnez Enregistrer.
Activer l’authentification par défaut du système à l’aide des API Graph
Pour activer l’authentification par défaut par le système à l’avance, vous devez choisir un groupe cible unique pour la configuration du schéma, comme indiqué dans l’exemple de requête .
Propriétés de configuration des fonctionnalités de la méthode d’authentification
Par défaut, l’authentification par défaut recommandée par le système est gérée par Microsoft.
| Propriété | Type | Descriptif |
|---|---|---|
| excludeTarget | featureTarget | Entité unique exclue de cette fonctionnalité. Vous ne pouvez exclure qu’un groupe de l’authentification par défaut du système, qui peut être un groupe dynamique ou imbriqué. |
| includeTarget | featureTarget | Entité unique incluse dans cette fonctionnalité. Vous ne pouvez inclure qu’un seul groupe pour l’authentification par défaut du système, qui peut être un groupe dynamique ou imbriqué. |
| État | advancedConfigState | Les valeurs possibles sont les suivantes : activé explicitement active la fonctionnalité pour le groupe sélectionné. S’applique uniquement au deuxième facteur (MFA). désactivé explicitement désactive la fonctionnalité pour le groupe sélectionné. la valeur par défaut permet à Microsoft Entra ID de gérer si la fonctionnalité est activée ou non pour le groupe sélectionné. |
Propriétés de ciblage des fonctionnalités
L’authentification par défaut du système ne peut être activée que pour un seul groupe, qui peut être un groupe dynamique ou imbriqué.
| Propriété | Type | Descriptif |
|---|---|---|
| id | Chaîne | ID de l’entité ciblée. |
| targetType | featureTargetType | Type d’entité ciblée, comme le groupe, le rôle ou l’unité administrative. Les valeurs possibles sont les suivantes : 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Utilisez le point de terminaison d’API suivant pour activer systemCredentialPreferences et inclure ou exclure des groupes :
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
Dans l’Explorateur Graph, vous devez donner votre consentement à l’autorisation Policy.ReadWrite.AuthenticationMethod .
Requête
L’exemple suivant exclut un groupe cible échantillon et inclut tous les utilisateurs. Pour plus d’informations, consultez Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Questions fréquentes (FAQ)
Comment l’authentification par défaut du système détermine-t-elle la méthode la plus sécurisée ?
Lorsqu’un utilisateur se connecte, le processus d’authentification vérifie quelles méthodes d’authentification sont inscrites pour cet utilisateur. L’utilisateur est invité à se connecter avec la méthode la plus sécurisée selon l’ordre suivant. L’ordre des méthodes d’authentification est dynamique et mis à jour à mesure que le paysage de la sécurité change et que de meilleures méthodes d’authentification émergent. Les utilisateurs peuvent toujours annuler et choisir une autre méthode de connexion disponible. Si votre organisation a des stratégies d’accès conditionnel qui nécessitent des méthodes d’authentification spécifiques, ces stratégies continuent de prendre la priorité sur l’ordre d’authentification par défaut du système.
| Classement | Informations d’identification | Catégorie | Répond aux conditions requises pour |
|---|---|---|---|
| 1 | Passe d'accès temporaire (TAP) | Récupération | 1FA + MFA |
| 2 | Clé d'accès1 | Résistant au hameçonnage | 1FA + MFA |
| 3 | Authentification basée sur des certificats (CBA) | Résistant au hameçonnage | 1FA ou 1FA + MFA |
| 4 | Notifications Microsoft Authenticator | Sans mot de passe | 1FA + MFA |
| 5 | Authentification multifacteur externe (MFA) | — | AMF |
| 6 | Mot de passe à usage unique basé sur le temps (TOTP)2 | — | AMF |
| 7 | Téléphonie3 | — | AMF |
| 8 | Code QR | Travailleur de première ligne | 1FA |
| 9 | Mot de passe | — | 1FA |
1Inclut les clés de sécurité, les mots de passe dans l’application Authenticator, les mots de passe synchronisés, Windows Hello pour Entreprises et l’authentification unique de la plateforme macOS.
2Inclut le matériel ou logiciel TOTP de Microsoft Authenticator, Authenticator Lite ou des applications tierces.
3Inclut des sms et des appels vocaux.
Important
L’authentification par certificat (CBA) a été précédemment placée en dernier dans l’ordre d’authentification par défaut du système en raison de problèmes connus liés à l’authentification CBA et à l’authentification par défaut du système. Maintenant que ces problèmes sont résolus, à compter du 18 mars 2026, l’authentification basée sur un certificat a été déplacée vers la troisième position dans l’ordre d’authentification.
Comment l’authentification par défaut du système affecte-t-elle l’extension NPS ?
L’authentification par défaut du système n’affecte pas les utilisateurs qui se connectent à l’aide de l’extension NPS (Network Policy Server). Ces utilisateurs ne voient aucune modification dans leur expérience de connexion.
Que se passe-t-il pour les utilisateurs dont la stratégie des méthodes d’authentification n’est pas spécifiée mais dont la stratégie d’authentification multifacteur (MFA) héritée à l’échelle du locataire est activée ?
L’authentification préférentielle du système s’applique également aux utilisateurs habilités pour la MFA dans la politique MFA héritée.
Les utilisateurs peuvent-ils toujours choisir une autre méthode de connexion ?
Yes. L’authentification préférentielle du système invite les utilisateurs à posséder l’identifiant enregistré le plus sécurisé, mais ils peuvent toujours choisir d’autres méthodes autorisées lors de la connexion.