Activer la réinitialisation libre-service des mots de passe pour Office 365

Votre équipe est-elle bombardée de demandes de réinitialisation de mot de passe? Admettons-le; les utilisateurs ont tendance à oublier leurs mots de passe ou à se retrouver bloqués de temps en temps. Il est temps de permettre les réinitialisations de mot de passe en libre-service pour Office 365 et de laisser vos utilisateurs s’en charger.

Les utilisateurs peuvent rapidement être incommodés et frustrés de devoir passer par un processus de gestion des cas pour que leurs mots de passe puissent être réinitialisés. À moins que l’utilisateur ne soit un VIP, la plupart des demandes de réinitialisation de mot de passe sont traitées comme une faible priorité et peuvent prendre des jours avant d’être traitées.

Ces préoccupations peuvent être traitées en mettant en œuvre la réinitialisation de mot de passe en libre-service dans Office 365 ou SSPR. Avec SSPR, les utilisateurs peuvent être autorisés à effectuer des opérations de réinitialisation de mot de passe sur leurs propres comptes. La mise en œuvre de SSPR peut considérablement améliorer l’expérience utilisateur et réduire le nombre de demandes liées à la réinitialisation de mot de passe.

Dans cet article, vous apprendrez comment activer, configurer et tester le service de réinitialisation de mot de passe en libre-service. Vous découvrirez comment SSPR peut être mis en œuvre pour les organisations exclusivement cloud et hybrides.

Modernisez la sécurité des identités avec MFA, SSO et la réinitialisation de mot de passe en libre-service. Téléchargez ManageEngine ADSelfService Plus.

Prérequis

Cet article est un guide pas à pas, et si vous envisagez de suivre, vous devez remplir les conditions préalables suivantes.

• A working Azure AD or Microsoft 365 Tenant. If you do not have this yet, you can request for a trial account.
• A Global Administrator user account. This account will be used for the configuration and management of SSPR.
• A non-administrator cloud-only account. This account will be used for testing the SSPR user experience. In this article, the cloud-only account named CloudUser will be used.
• [OPTIONNEL] Active Directory Windows sur site avec Azure AD Connect installé et configuré pour la synchronisation. Ceci est facultatif et nécessaire uniquement si vous prévoyez d’activer la rétroaction de mot de passe vers Active Directory Windows.
  • Un compte non administrateur dans AD Windows qui est synchronisé avec Azure AD. Dans cet article, le compte utilisateur sur site *HybridUser***** sera utilisé.

• A group to which the non-administrator account is a member. This group will be used as the target to allow SSPR. In this article, SSPR will be enabled to target only the members of the group named SSPR-Users.
• En fonction de la mise en œuvre prévue des fonctionnalités SSPR, une licence ou abonnement différent peut être requis. Veuillez vous référer à l’image ci-dessous, montrant les fonctionnalités et licences requises.

Connaître les options d’état de réinitialisation de mot de passe en libre-service

Le processus d’activation de la réinitialisation de mot de passe en libre-service pour Office 365 est simple. Cependant, l’acte d’activation n’est pas le même que celui d’implémentation soigneuse.

Une des principales préoccupations lors de la mise en place de nouvelles fonctionnalités est l’impact sur les utilisateurs. Il est bon de savoir que SSPR peut être activé pour cibler uniquement les membres d’un groupe sélectionné. Cela contribue à limiter l’impact possible au minimum, surtout lors de la mise en œuvre de SSPR par lots.

Il existe trois états pour SSPR. Chaque état représente la manière dont SSPR est appliqué (ou non appliqué) aux utilisateurs.

• Aucun – Dans cet état, SSPR est désactivé pour chaque utilisateur de votre locataire.

Remarque : SSPR est toujours activé pour les administrateurs même si l’état de SSPR est défini sur Aucun. Les administrateurs doivent utiliser deux méthodes d’authentification pour réinitialiser leurs propres mots de passe à l’aide de SSPR.

• Sélectionné – Dans cet état, SSPR est appliqué uniquement à un groupe sélectionné. Cela est utile lors d’un déploiement progressif. En utilisant cet état, vous pouvez ajouter des utilisateurs à un groupe cible par lots. C’est l’état SSPR qui sera utilisé dans cet article.

Note : SSPR ne permet qu’un seul groupe comme cible à la fois lorsque vous choisissez l’état Sélectionné. Cependant, les groupes imbriqués sont autorisés.

• Tous – Choisir d’activer SSPR dans cet état appliquera SSPR à tous les utilisateurs de votre locataire.

Activation de SSPR pour les organisations avec une configuration uniquement cloud

Pour les organisations exclusivement basées sur le cloud, activer les réinitialisations de mot de passe en libre-service pour Office 365 ne consiste qu’à basculer un interrupteur pour l’activer et appliquer la configuration la plus basique. Les étapes ci-dessous vous apprendront comment faire exactement cela.

Tout d’abord, connectez-vous au portail Microsoft Azure en utilisant votre compte d’administrateur global et accédez à la section Azure Active Directory.

Dans la page Azure Active Directory, sous la section Gérer, localisez et cliquez sur Réinitialisation de mot de passe.

Dans la section Réinitialisation de mot de passe, sous la section Gérer, cliquez sur le menu Propriétés. Ensuite, vous verrez l’état actuel des réinitialisations de mot de passe en libre-service pour Office 365. Comme vous pouvez le voir sur la capture d’écran ci-dessous, l’état actuel des réinitialisations de mot de passe en libre-service pour Office 365 est Aucun – ce qui signifie que SSPR est actuellement désactivé pour tous les utilisateurs finaux.

Ensuite, changez le statut du SSPR à Sélectionné. Ensuite, vous devez spécifier le groupe de sécurité cible dont les membres seront activés pour les réinitialisations de mot de passe en libre-service pour Office 365. Dans cet exemple ci-dessous, le nom du groupe sélectionné est SSPR-Utilisateurs. Cliquez sur le bouton Sélectionner après avoir choisi le groupe cible.

Comme vous pouvez le voir sur l’image ci-dessous, le groupe choisi SSPR-Utilisateurs a été sélectionné. Maintenant, cliquez sur Enregistrer pour activer enfin le SSPR.

Activation du SSPR pour les organisations avec une configuration hybride

Dans la section précédente, vous avez appris comment activer le SSPR, qui s’applique à un groupe sélectionné d’utilisateurs uniquement dans le cloud. Dans cette section, vous apprendrez ce qui doit être fait si les utilisateurs de votre organisation sont synchronisés depuis l’Active Directory local vers Azure AD avec Azure AD Connect.

Connexe :Comment Connecter Azure AD à Office 365 avec Azure AD Connect

Étant donné que les comptes d’utilisateurs hybrides sont initialement créés dans l’Active Directory local, le mot de passe réinitialisé doit être réécrit dans l’Active Directory local. Et pour cela, la fonctionnalité Réécriture de mot de passe doit être activée dans Azure AD Connect.

Activation de la fonctionnalité de réécriture de mot de passe dans Azure AD Connect

Pour activer la fonctionnalité de réécriture de mot de passe, vous devez avoir accès au serveur où Azure AD Connect est installé. Suivez ces étapes pour activer la réécriture de mot de passe.

Lancez le programme de configuration Azure AD Connect, puis cliquez sur Configurer.

Ensuite, sous les Tâches supplémentaires, sélectionnez Personnaliser les options de synchronisation. Cliquez sur Suivant.

Sur la page Se connecter à Azure AD, saisissez les informations d’identification de votre compte administrateur global. Cliquez sur Suivant.

Parcourez les pages suivantes jusqu’à arriver à la page Fonctionnalités facultatives. Cochez la case Restitution de mot de passe et cliquez sur Suivant.

Ensuite, sur la page Prêt à configurer, cliquez sur Configurer. Ensuite, attendez que le processus de configuration soit terminé.

Vous devriez voir le même état que celui indiqué dans l’image ci-dessous, ce qui indique que la configuration a réussi. Cliquez sur Quitter.

Configuration des réinitialisations de mot de passe en libre-service pour les options Office 365

Jusqu’à présent, dans cet article, vous avez appris comment activer la RMPR avec les options par défaut. Même avec les options par défaut, la RMPR est déjà fonctionnelle.

Cependant, d’autres options peuvent être configurées et personnalisées, ce qui peut vous aider à contrôler davantage la RMPR pour qu’elle corresponde aux exigences de votre organisation. Ces options comprennent les méthodes d’authentification, l’enregistrement, les notifications, les liens de contact ou d’e-mail de support, et l’intégration avec l’AD sur site.

Configuration des options d’enregistrement

Avant que les utilisateurs puissent utiliser les réinitialisations de mot de passe en libre-service pour Office 365, ils devront d’abord enregistrer leurs informations d’authentification. Dans le menu Inscription, il existe deux paramètres de configuration comme vous pouvez le voir dans la capture d’écran ci-dessous.

Comme vous pouvez le constater sur l’image ci-dessus, les deux options sont :

1. Exiger des utilisateurs qu’ils s’inscrivent lors de la connexion ? – Cette configuration contrôle si les utilisateurs sont obligés ou non d’enregistrer leurs informations d’authentification lors de leur prochaine connexion. Si cela est réglé sur Non, les administrateurs devront informer les utilisateurs sur la manière dont ils peuvent s’inscrire manuellement à la réinitialisation de mot de passe en libre-service. Par défaut, ce paramètre est réglé sur Oui.
2. Nombre de jours avant que les utilisateurs soient invités à reconfirmer leurs informations d’authentification – Cette valeur détermine quand les utilisateurs doivent mettre à jour ou reconfirmer leurs informations d’authentification pour SSPR. Par défaut, la valeur de ce paramètre est définie sur 180 jours.

Dans cet article, la configuration par défaut sera utilisée.

Configuration des méthodes d’authentification

Lorsque les utilisateurs tentent de réinitialiser leur propre mot de passe, les réinitialisations de mot de passe en libre-service pour Office 365 nécessiteront que les utilisateurs prouvent leur identité. Vous pouvez configurer SSPR pour exiger jusqu’à deux méthodes d’authentification.

Comme on peut le voir sur l’image ci-dessus, il existe deux paramètres :

1. Nombre de méthodes nécessaires pour réinitialiser – Cela détermine combien de méthodes d’authentification sont nécessaires pour les utilisateurs lorsqu’ils tentent de réinitialiser leurs propres mots de passe. La valeur par défaut pour ce paramètre est 1.
2. Méthodes disponibles pour les utilisateurs – Cela affiche une liste des façons possibles pour les utilisateurs de s’authentifier avant de pouvoir réinitialiser les mots de passe de leur compte. Ces méthodes incluent l’utilisation de l’application Microsoft Authenticator (code et notification), e-mail, SMS, téléphone de bureau et questions de sécurité.

Dans cet article, la configuration par défaut sera utilisée.

Configuration des notifications

Il est judicieux que les utilisateurs et les administrateurs soient notifiés par e-mail chaque fois qu’une opération de réinitialisation de mot de passe est effectuée sur leurs comptes respectifs.

Lorsque les utilisateurs sont notifiés, ils sont autorisés à valider qu’ils sont bien ceux qui ont effectué la réinitialisation du mot de passe.

L’image ci-dessus montre que vous avez l’option de Informer les utilisateurs des réinitialisations de mot de passe et Informer tous les administrateurs lorsque d’autres administrateurs réinitialisent leur mot de passe.

Dans cet article, la configuration par défaut sera utilisée.

Configuration des informations de contact de support

Une autre configuration disponible consiste à personnaliser les informations de contact de support pour SSPR. Cette configuration offre une manière pour les utilisateurs de contacter votre service d’assistance ou les administrateurs.

Comme vous pouvez le voir ci-dessous, le paramètre par défaut pour 1) Personnaliser le lien du helpdesk est défini sur Non. Changer l’option pour Oui vous permettra de spécifier une 2) Adresse e-mail ou URL personnalisée du helpdesk.

Dans cet article, la configuration par défaut sera utilisée.

Configuration de l’intégration sur site

Dans le volet du menu d’intégration sur site, vous pouvez voir l’état de disponibilité du client de réinscription sur site. Vous pourrez confirmer si la fonction de réinscription du mot de passe fonctionne ou non.

Comme le montre l’image ci-dessus, vous avez la possibilité de :

1. Activer ou désactiver l’option de réinscription du mot de passe vers l’annuaire sur site.
2. Activer ou désactiver la possibilité pour les utilisateurs de déverrouiller leurs comptes verrouillés sans nécessiter de changement de mot de passe.

Dans cet article, la configuration par défaut sera utilisée.

Test de l’expérience utilisateur de la réinitialisation du mot de passe en libre-service

Jusqu’à présent, dans cet article, vous avez appris comment activer la réinitialisation du mot de passe en libre-service dans Office 365 et les différentes options de configuration disponibles. Dans cette section, vous pourrez tester et vous familiariser avec l’expérience utilisateur de la réinitialisation du mot de passe en libre-service.

Enregistrement des informations d’authentification pour la réinitialisation du mot de passe en libre-service

Par défaut, une fois que la réinitialisation de mot de passe en libre-service pour Office 365 est activée, les utilisateurs sont automatiquement invités à enregistrer leurs informations d’authentification. Les utilisateurs peuvent également se rendre manuellement sur le lien d’enregistrement SSPR (https://aka.ms/ssprsetup) eux-mêmes.

Consultez la démonstration ci-dessous comme exemple lorsque l’utilisateur CloudUser se connecte au portail Office 365.

Comme le montre la démonstration ci-dessus, une fois connecté avec succès au portail Office 365, l’utilisateur a été invité à enregistrer les informations d’authentification. Étant donné que l’enregistrement SSPR ne nécessite qu’une méthode d’authentification, l’enregistrement d’un numéro de téléphone a suffi.

Réinitialisation du mot de passe

Si l’utilisateur s’est enregistré pour la réinitialisation de mot de passe en libre-service et doit réinitialiser le mot de passe du compte, il doit se rendre à l’URL de réinitialisation du mot de passe à https://aka.ms/sspr.

La démonstration ci-dessous montre comment effectuer une réinitialisation de mot de passe en libre-service.

Comme le montre la démonstration ci-dessus, une fois que l’utilisateur a pu s’authentifier à l’aide du code SMS, le mot de passe a pu être modifié.

L’image ci-dessous montre la notification de réinitialisation de mot de passe qui est envoyée à l’utilisateur dans le cadre du processus de réinitialisation de mot de passe en libre-service.

Modernisez la sécurité des identités avec MFA, SSO et la réinitialisation de mot de passe en libre-service. Téléchargez ManageEngine ADSelfService Plus.

Résumé

La réinitialisation de mot de passe en libre-service pour Office 365 s’avère être un moyen pratique et sécurisé pour les utilisateurs et les administrateurs de réinitialiser leurs propres mots de passe.

Lorsque les utilisateurs ont la possibilité de réinitialiser leurs mots de passe, le long délai d’attente pour la résolution est éliminé, et l’interruption de la productivité est minimisée.

Dans cet article, vous avez appris comment activer la réinitialisation de mot de passe en libre-service et l’appliquer à un groupe spécifique. Vous avez également appris les différentes options de configuration disponibles pour avoir plus de contrôle sur le fonctionnement de SSPR pour votre organisation.

Vous avez également appris étape par étape comment fonctionne l’expérience utilisateur de réinitialisation de mot de passe en libre-service, y compris le processus d’enregistrement et la notification par e-mail.

D’autres configurations peuvent être intégrées avec SSPR que ce qui est couvert dans cet article, comme la mise en place de politiques et de mots de passe interdits. Maintenant, vous avez les connaissances qui devraient vous rendre plus confiant pour implémenter SSPR pour votre locataire Office 365.