Mots de passe d'application

Les applications de bureau, les applications mobiles et les anciens protocoles qui reposent uniquement sur le nom d'utilisateur/mot de passe ne prennent pas en charge les facteurs d'authentification au-delà du nom d'utilisateur/mot de passe standard. Un exemple très courant étant les clients de messagerie qui ont une case nom d'utilisateur/mot de passe comme seul moyen d'authentification.

Dans un monde d'identité fédérée, avec des implémentations multi-facteurs, la plupart des solutions reposent sur des navigateurs web avec une interface utilisateur générée dynamiquement. Étant donné que certaines des solutions principales utilisées avec l'identité fédérée sont des solutions de messagerie comme O365, la compatibilité rétroactive doit exister si d'anciens clients sont utilisés pour accéder aux serveurs de messagerie cloud.

Pour résoudre ce dilemme, O365 (Microsoft Entra ID) prend désormais en charge les mots de passe d'application. Il s'agit essentiellement d'un deuxième (troisième, quatrième, etc.) mot de passe utilisé pour s'authentifier aux services, contournant l'exigence d'authentification multi-facteurs. L'idée est de créer un mot de passe d'application unique par appareil/application que vous souhaitez utiliser. Le mot de passe est affiché une seule fois, car il est destiné à être directement saisi dans l'application, puis oublié. Le mot de passe ne doit pas être stocké ni écrit pour quelque raison que ce soit.

Lorsqu'une nouvelle application/appareil a besoin d'un mot de passe, la routine est répétée et un nouveau mot de passe d'application unique est créé. O365 prend en charge nativement 40 mots de passe d'application par compte.

Normalement, les mots de passe d'application n'expirent pas, sauf s'ils sont spécifiquement révoqués par l'utilisateur ou l'administrateur.

Configurer les mots de passe d'application

Certaines applications, comme les clients de messagerie natifs trouvés sur les appareils iOS/Android, ainsi que les clients Skype for Business/Lync qui doivent se connecter à Exchange/Exchange Online pour les informations de calendrier et de contact, ne peuvent utiliser que le nom d'utilisateur et le mot de passe lors de l'authentification. Lorsqu'une organisation introduit l'authentification multi-facteurs, par exemple avec Specops Authentication, et souhaite toujours utiliser ces types de clients/logiciels, les mots de passe d'application doivent être utilisés.

Avant que les utilisateurs puissent créer des mots de passe d'application, vous devrez autoriser et configurer leur utilisation.

Connectez-vous au portail administrateur O365 avec des privilèges d'administrateur O365: https://portal.office.com/adminportal
Accédez à Utilisateurs, et cliquez sur Utilisateurs actifs.
Sélectionnez le menu déroulant Plus, et cliquez sur Configurer l'authentification multi-facteurs Microsoft Entra.

Remarque

Cela ouvrira une page de configuration pour les paramètres d'authentification multi-facteurs où les utilisateurs qui devraient pouvoir utiliser les mots de passe d'application sont listés. Les paramètres d'authentification multi-facteurs et de mots de passe d'application sont étroitement liés – cela peut être déroutant lorsque le multi-facteurs est fourni ailleurs, par exemple via Specops Authentication.
Sélectionnez la page paramètres du service pour configurer les paramètres généraux.
1. Activez Autoriser les utilisateurs à créer des mots de passe d'application pour se connecter à des applications non-navigateur.
2. Sélectionnez quelles options de vérification doivent être disponibles pour les utilisateurs.
  
  Remarque
  
  Par défaut, toutes les quatre options sont activées, mais étant donné qu'il s'agira d'une opération unique, Appel téléphonique et/ou Message texte au téléphone sont recommandés.
Cliquez sur Enregistrer.
Revenez à la page utilisateurs des paramètres, sélectionnez les utilisateurs qui devraient être autorisés à utiliser les mots de passe d'application, et sélectionnez Activer.

Les utilisateurs sélectionnés pourront désormais utiliser les mots de passe d'application.