Description des fonctionnalités Microsoft 365

User account management

Microsoft prend en charge les méthodes suivantes pour la création, la gestion et l’authentification des utilisateurs. Toutefois, cette rubrique n’inclut pas d’informations sur les fonctionnalités de sécurité qui autorisent ou interdisent l’accès à des ressources Microsoft individuelles (par exemple, le contrôle d’accès en fonction du rôle dans Microsoft Exchange Online ou la configuration de la sécurité dans Microsoft Office SharePoint Online). Pour plus d’informations sur ces fonctionnalités, consultez la description du service Exchange Online et la description du service SharePoint Online. Si vous avez besoin d’informations sur les outils qui peuvent vous aider à effectuer des tâches d’administration, consultez Outils pour gérer les comptes Microsoft. Pour savoir comment effectuer des tâches de gestion quotidiennes, consultez Tâches de gestion courantes.

Vous avez besoin d’aide pour vous connecter, installer ou désinstaller ou annuler votre abonnement ? : Obtenir de l’aide sur : connexion Installation | ou désinstallation d’Office | Annulation Office 365

Pour d’autres problèmes, visitez le Centre de support Microsoft. Pour obtenir une assistance technique pour Office 365 opéré par 21Vianet en Chine, contactez l'équipe de support technique 21Vianet.

Options de connexion : Microsoft dispose de deux systèmes qui peuvent être utilisés pour les identités des utilisateurs : un compte professionnel ou scolaire (identité cloud) et un compte fédéré (identité fédérée). Le type d'identité affecte non seulement l'expérience utilisateur et les options de gestion du compte utilisateur, mais également les conditions requises en termes de matériels et de logiciels et d'autres considérations concernant le déploiement.

Compte professionnel ou scolaire (identité cloud) : les utilisateurs reçoivent Microsoft Entra informations d’identification cloud, distinctes des autres informations d’identification de bureau ou d’entreprise, pour se connecter aux services cloud Microsoft. Il s'agit de l'identité par défaut, recommandée afin de minimiser la complexité du déploiement. Les mots de passe pour les comptes professionnels ou scolaires utilisent la stratégie de mot de passe Microsoft Entra ID.

Compte fédéré (identité fédérée) : pour tous les abonnements dans les organisations avec des Active Directory local qui utilisent l’authentification unique (SSO), les utilisateurs peuvent se connecter aux services Microsoft à l’aide de leurs informations d’identification Active Directory. Active Directory d'entreprise stocke et commande la stratégie de mot de passe. Pour plus d'informations sur l'authentification unique, voir Feuille de route pour l'authentification unique.

Authentification unique : Pour les organisations qui utilisent l’authentification unique, tous les utilisateurs d’un domaine doivent utiliser le même système d’identité : identité cloud ou identité fédérée. Par exemple, vous pouvez avoir un groupe d’utilisateurs qui n’a besoin que d’une identité cloud, car ils n’accèdent pas aux systèmes locaux, et un autre groupe d’utilisateurs qui utilisent Microsoft et des systèmes locaux. Vous devez ajouter deux domaines à Office 365, comme contractors.contoso.com et staff.contoso.com, et configurer l’authentification unique uniquement pour l’un d’entre eux. La totalité d'un domaine peut être converti d'une identité cloud (en nuage) à une identité fédérée ou d'une identité fédérée à une identité cloud (en nuage).

Authentification: À l’exception des sites Internet pour l’accès anonyme créés avec SharePoint Online, les utilisateurs doivent être authentifiés lors de l’accès aux services Microsoft. Authentification moderne, authentification d’identité cloud et authentification d’identité fédérée. Microsoft utilise l’authentification basée sur les formulaires, et le trafic d’authentification sur le réseau est toujours chiffré avec TLS/SSL à l’aide du port 443. Le trafic d’authentification utilise un pourcentage négligeable de bande passante pour les services Microsoft.

Authentification moderne : l’authentification moderne permet une connexion basée sur la bibliothèque d’authentification Microsoft aux applications clientes Office sur toutes les plateformes. Cela active des fonctionnalités de connexion telles que MFA (Multi-Factor Authentication), des fournisseurs d'identité tiers SAML avec des applications clientes Office et l'authentification par carte à puce et basée sur des certificats. Microsoft Outlook n'a plus besoin non plus d'utiliser le protocole d'authentification de base. Pour plus d’informations, notamment sur la disponibilité de l’authentification moderne dans les applications Office, voir Fonctionnement de l’authentification moderne pour les applications clientes Office 2013 et Office 2016. L’authentification moderne est activée par défaut pour Exchange Online. Pour savoir comment l’activer ou la désactiver, consultez Activer l’authentification moderne dans Exchange Online.

Authentification d’identité cloud : les utilisateurs disposant d’identités cloud sont authentifiés à l’aide d’un défi/réponse traditionnel. Le navigateur web est redirigé vers le service de connexion Microsoft, où vous tapez le nom d’utilisateur et le mot de passe de votre compte professionnel ou scolaire. Le service de connexion authentifie vos informations d'identification et génère un jeton de service que le navigateur web adresse au service demandé pour vous y connecter.

Authentification par identité fédérée : les utilisateurs disposant d’identités fédérées sont authentifiés à l’aide de Services ADFS (AD FS) 2.0 ou d’autres services de jeton de sécurité. Le navigateur web est redirigé vers le service de connexion Microsoft, où vous tapez votre ID d’entreprise sous la forme d’un nom d’utilisateur principal (UPN), par exemple : isabel@contoso.com. Le service de connexion détermine que vous faites partie d’un domaine fédéré et vous propose de vous rediriger vers le serveur de fédération local pour l’authentification. Si vous êtes connecté au bureau (joint au domaine), vous êtes authentifié (à l’aide de Kerberos ou NTLMv2) et le service de jeton de sécurité local génère un jeton d’ouverture de session, que le navigateur web publie sur le service de connexion Microsoft. Grâce au jeton d'ouverture de session, le service de connexion génère un jeton de service que le navigateur web adresse au service demandé pour vous y connecter. Pour obtenir la liste des services d'émission de jeton de sécurité disponibles, voir Feuille de route pour l'authentification unique.

Authentification multifacteur : Avec Multi-Factor Authentication, les utilisateurs doivent accuser réception d’un appel téléphonique, d’un SMS ou d’une notification d’application sur leur smartphone après avoir entré correctement leur mot de passe. Ce n'est qu'après cette deuxième authentification que l'utilisateur peut se connecter. Les administrateurs Microsoft peuvent inscrire des utilisateurs pour l’authentification multifacteur dans le Centre d'administration Microsoft 365. En savoir plus sur l’authentification multifacteur.

Authentification cliente enrichie : Pour les clients riches tels que les applications de bureau Microsoft Office, l’authentification peut se produire de deux manières : Assistant Microsoft Online Services Sign-In et Authentification de base/proxy sur SSL. Pour garantir la détection et l’authentification appropriées des services Microsoft, les administrateurs doivent appliquer un ensemble de composants et de mises à jour à chaque station de travail qui utilise des clients riches (tels que Microsoft Office 2010) et se connecte à Office 365. La configuration du bureau est un outil automatisé permettant de configurer des stations de travail avec les mises à jour requises. Pour plus d’informations, voir Utiliser mes applications de bureau Office actuelles.

Assistant Sign-In Microsoft Online Services : le assistant de connexion, qui est installé par le programme d’installation du bureau, contient un service client qui obtient un jeton de service auprès du service de connexion et le retourne au client riche. Si vous avez une identité cloud, vous recevez une invite d’informations d’identification que le service client envoie au service de connexion pour l’authentification (à l’aide de WS-Trust). Si vous avez une identité fédérée, le service client contacte d’abord le serveur AD FS 2.0 pour authentifier les informations d’identification (à l’aide de Kerberos ou NTLMv2) et obtenir un jeton de connexion qui est envoyé au service de connexion (à l’aide de WS-Federation et WS-Trust).

Authentification de base/proxy via SSL : le client Outlook transmet les informations d’identification d’authentification de base via SSL à Exchange Online. Exchange Online transmet la demande d’authentification à la plateforme d’identité, puis au serveur de fédération Active Directory local (pour l’authentification unique).

Expérience de connexion : L’expérience de connexion change en fonction du type d’identité utilisée :

Service Identité cloud Identité fédérée
Outlook 2016 Connexion à chaque session 1 Connexion à chaque session 2
Outlook 2013 Connexion à chaque session 1 Connexion à chaque session 2
Outlook 2010 ou Office 2007 sous Windows 7 Connexion à chaque session 1 Connexion à chaque session 2
Outlook 2010 ou Office Outlook 2007 sous Windows Vista Connexion à chaque session 1 Connexion à chaque session 2
Microsoft Exchange ActiveSync Connexion à chaque session 1 Connexion à chaque session 2
POP, IMAP, Outlook pour Mac Connexion à chaque session 1 Connexion à chaque session 2
Expériences web : Centre d'administration Microsoft 365/Outlook sur le web/SharePoint Online/Office sur le Web Connexion à chaque session de navigateur4 Connexion à chaque session 3
Office 2010 ou Office 2007 à l'aide de SharePoint Online Connexion à chaque session SharePoint Online4 Connexion à chaque session SharePoint Online3
Skype Entreprise Online Connexion à chaque session 1 Aucune invite de commande
Outlook pour Mac Connexion à chaque session 1 Connexion à chaque session 2

1 Lorsque vous y êtes invité pour la première fois, vous pouvez enregistrer votre mot de passe pour une utilisation ultérieure. Vous ne recevrez pas une autre invite tant que vous n’aurez pas modifié le mot de passe.
2 Vous entrez vos informations d’identification d’entreprise. Vous pouvez enregistrer votre mot de passe et ne serez pas invité à nouveau tant que votre mot de passe n’aura pas changé.
3 Toutes les applications nécessitent que vous entrez ou sélectionnez votre nom d’utilisateur pour vous connecter. Vous n’êtes pas invité à entrer votre mot de passe si votre ordinateur est joint au domaine. Si vous sélectionnez Maintenir la connexion, vous ne serez pas invité à nouveau tant que vous ne vous déconnectez pas.
4 Si vous sélectionnez Maintenir la connexion, vous ne serez pas invité à nouveau tant que vous ne vous déconnecterez pas.

Créer des comptes d’utilisateur : Il existe plusieurs façons d’ajouter des utilisateurs. Pour plus d’informations, consultez Ajouter des utilisateurs individuellement ou en bloc - Administration Aide et Ajouter des utilisateurs et attribuer des licences - Administrateur Microsoft 365 | Microsoft Docs. Si vous utilisez Office 365 géré par 21Vianet en Chine, consultez Créer ou modifier des comptes d’utilisateur dans Office 365 gérés par 21Vianet - Administration Aide.

Supprimer des comptes d’utilisateur : La façon dont vous supprimez des comptes varie selon que vous utilisez ou non la synchronisation d’annuaires. Si vous n’utilisez pas la synchronisation d’annuaires, les comptes peuvent être supprimés à l’aide de la page d’administration ou à l’aide de Windows PowerShell. Si vous utilisez la synchronisation d’annuaires, vous devez supprimer des utilisateurs de l’Active Directory local plutôt que de Office 365.

Comptes supprimés : Lorsqu’un compte est supprimé, il devient inactif. Vous pouvez toujours restaurer le compte jusqu'à environ 30 jours après l'avoir supprimé. Pour plus d’informations sur la suppression et la restauration de comptes, consultez Supprimer des utilisateurs et Restaurer des utilisateurs ou, si vous utilisez Office 365 géré par 21Vianet en Chine, voir Créer ou modifier des comptes d’utilisateur dans Office 365 gérés par 21Vianet - Administration Aide.

Gestion des mots de passe : Les stratégies et procédures de gestion des mots de passe dépendent du système d’identité.

Gestion des mots de passe des identités cloud : Lorsque vous utilisez des identités cloud, les mots de passe sont générés automatiquement lors de la création du compte. Pour les règles qui s'appliquent aux mots de passe d'identité cloud (en nuage), voir Stratégie de mot de passe. Pour renforcer la sécurité, les utilisateurs doivent modifier leur mot de passe lorsqu’ils accèdent pour la première fois aux services Microsoft. Par conséquent, avant que les utilisateurs puissent accéder aux services Microsoft, ils doivent se connecter au Centre d'administration Microsoft 365, où ils sont invités à modifier leurs mots de passe. Les administrateurs peuvent définir la stratégie d'expiration des mots de passe. Pour plus d'informations, consultez l'article Définir la stratégie d'expiration des mots de passe pour votre organisation.

Réinitialisation du mot de passe de l’identité cloud : Il existe plusieurs outils permettant de réinitialiser les mots de passe pour les utilisateurs avec des identités cloud : Administration réinitialise le mot de passe,l’utilisateur modifie les mots de passe avec Outlook sur le web, les droits de réinitialisation de mot de passe en fonction du rôle et Réinitialiser les mots de passe à l’aide de Windows PowerShell.

Administration réinitialise le mot de passe : si les utilisateurs perdent ou oublient leur mot de passe, les administrateurs peuvent réinitialiser les mots de passe des utilisateurs dans le centre d’administration ou à l’aide de Windows PowerShell. Les utilisateurs peuvent uniquement changer leur propre mot de passe que s'ils connaissent leur mot de passe actuel. Pour les plans d’entreprise, si les administrateurs perdent ou oublient leurs mots de passe, un autre administrateur ayant le rôle Administrateur général peut réinitialiser les mots de passe des administrateurs dans le Centre d'administration Microsoft 365 ou à l’aide de Windows PowerShell. Pour plus d'informations, voir Réinitialiser les mots de passe des administrateurs. Si vous travaillez dans Office 365 géré par 21Vianet en Chine, consultez Modifier ou réinitialiser les mots de passe dans Office 365 géré par 21Vianet.

L’utilisateur modifie les mots de passe avec Outlook sur le web : la page options de Outlook sur le web inclut un lien hypertexte Modifier le mot de passe, qui redirige les utilisateurs vers la page Modifier le mot de passe. L'utilisateur doit connaître son mot de passe précédent. Pour plus d'informations, voir Modifier le mot de passe. Si vous utilisez Office 365 géré par 21Vianet en Chine, consultez Modifier ou réinitialiser les mots de passe dans Office 365 géré par 21Vianet.

Droits de réinitialisation de mot de passe en fonction du rôle : pour les plans d’entreprise, les utilisateurs autorisés tels que le personnel du support technique peuvent se voir attribuer le droit d’utilisateur Réinitialiser le mot de passe et le droit de modifier les mots de passe à l’aide de rôles prédéfinis ou personnalisés sans devenir administrateurs de services complets. Par défaut, dans les plans d’entreprise, les administrateurs disposant du rôle Administrateur général, Administrateur de mots de passe ou Administrateur de gestion des utilisateurs peuvent modifier les mots de passe. Pour plus d'informations, consultez la rubrique Affectation de rôles d'administrateur.

Réinitialiser les mots de passe à l’aide de Windows PowerShell : les administrateurs de service peuvent utiliser Windows PowerShell pour réinitialiser les mots de passe.

Gestion des mots de passe des identités fédérées : Lorsque vous utilisez des identités fédérées, les mots de passe sont gérés dans Active Directory. Le service de jeton de sécurité local négocie l’authentification avec la passerelle de fédération sans passer les mots de passe Active Directory locaux des utilisateurs sur Internet à Office 365. Des stratégies de mot de passe locales sont utilisées, ou, pour les clients web, une identification à deux facteurs. Outlook sur le web n’inclut pas de lien hypertexte Modifier le mot de passe. Pour changer leurs mots de passe, les utilisateurs se servent des outils locaux standard ou des options de connexion au bureau de leur PC.

Synchronisation d’annuaire : Si la synchronisation d’annuaires avec l’authentification unique (SSO) est activée dans votre environnement organization et qu’une panne affecte votre fournisseur d’identité fédérée, la sauvegarde de synchronisation de mot de passe pour la connexion fédérée offre la possibilité de basculer manuellement votre domaine vers la synchronisation de mot de passe. L’utilisation de la synchronisation de mot de passe permet à vos utilisateurs d’accéder pendant que la panne est corrigée. Découvrez comment passer de l'Sign-On unique à la synchronisation de mot de passe.

Gestion des licences : Une licence permet à un utilisateur d’accéder à un ensemble de services Microsoft. Un administrateur attribue une licence à chaque utilisateur pour le service auquel l'utilisateur a besoin d'avoir accès. Par exemple, vous pouvez attribuer à un utilisateur un accès à Skype Entreprise Online, mais pas à SharePoint Online.

Facturation: Les administrateurs de facturation Microsoft peuvent apporter des modifications aux détails de l’abonnement, comme le nombre de licences utilisateur et le nombre de services supplémentaires que votre entreprise utilise. Consultez Attribuer ou supprimer une licence. Si vous utilisez Office 365 géré par 21Vianet, consultez Attribuer ou supprimer des licences dans Office 365 géré par 21Vianet.

Gestion des groupes : Les groupes de sécurité sont utilisés dans SharePoint Online pour contrôler l’accès aux sites. Des groupes de sécurité peuvent être créés dans le Centre d'administration Microsoft 365. Pour plus d'informations sur les groupes de sécurité, voir Créer, modifier ou supprimer un groupe de sécurité.

Microsoft Entra services : Microsoft Entra ID offre des fonctionnalités complètes de gestion des identités et des accès aux Office 365. Il combine des services d'annuaire, une gouvernance des identités avancée, une gestion d'accès aux applications et une plateforme complète basée sur des normes pour les développeurs. Pour plus d'informations sur les fonctionnalités d'Active Directory dans Office 365, voir la page relative à la personnalisation de la page de connexion et à la réinitialisation du mot de passe libre-service d'utilisateur du nuage. En savoir plus sur les éditions Gratuite, De base et Premium de Microsoft Entra ID.

Disponibilité des fonctionnalités : Pour afficher la disponibilité des fonctionnalités entre les plans, consultez Description du service de plateforme Microsoft 365 et Office 365.