Anavem
FrancaisEnglish
Anavem
Languageen
Cybersecurity analyst configuring Microsoft Entra Face Check authentication system on multiple monitors

Comment configurer Microsoft Entra Face Check pour une récupération résistante au phishing

Configurez la récupération de compte résistante au phishing de Microsoft Entra ID en utilisant la validation d'identité gouvernementale et la vérification biométrique Face Check pour éliminer les solutions de secours d'authentification faibles.

13 mai 2026 18 min
Commencer la procédure
Difficilemicrosoft-entra8 étapes 18 min

Pourquoi mettre en œuvre Microsoft Entra Face Check pour la récupération de compte ?

Les méthodes traditionnelles de récupération de compte comme les codes SMS, les OTP par email et les mots de passe temporaires créent des vulnérabilités de sécurité significatives. Ces approches héritées sont susceptibles aux échanges de carte SIM, aux compromissions d'email et aux attaques d'ingénierie sociale qui peuvent mener à une prise de contrôle complète du compte. Le nouveau système de récupération de compte résistant au phishing de Microsoft aborde ces faiblesses en mettant en œuvre une validation d'identité gouvernementale combinée à une vérification biométrique en direct par Face Check.

Qu'est-ce qui rend cette méthode de récupération résistante au phishing ?

Le système Face Check utilise des preuves à divulgation nulle de connaissance et une correspondance biométrique avec des documents d'identification émis par le gouvernement. Contrairement aux méthodes MFA traditionnelles qui peuvent être interceptées ou rejouées, cette approche nécessite une présence physique et ne peut pas être compromise à distance. Le système valide l'authenticité des pièces d'identité gouvernementales en utilisant des techniques avancées de vérification de documents et les compare avec des biométries faciales en direct capturées en temps réel.

Comment fonctionne l'intégration de Microsoft Entra Verified ID ?

Microsoft Entra Verified ID fournit l'infrastructure sous-jacente pour une vérification d'identité sécurisée via des fournisseurs IDV de confiance dans le Microsoft Security Store. Ces fournisseurs offrent une vérification d'identité à haute assurance qui répond aux normes de sécurité gouvernementales et d'entreprise. L'intégration élimine le besoin de développement d'API personnalisé tout en garantissant la conformité avec les réglementations de confidentialité grâce à une architecture à divulgation nulle de connaissance où les données biométriques ne sont jamais stockées.

Ce tutoriel vous guidera à travers la mise en œuvre de cette fonctionnalité de sécurité de pointe dans votre environnement Microsoft Entra, depuis la configuration initiale jusqu'à la surveillance et le rapport de conformité. Vous apprendrez à éliminer les solutions de secours d'authentification faibles tout en maintenant l'accessibilité des utilisateurs grâce à un processus de récupération simplifié qui se termine en minutes plutôt qu'en heures ou jours.

Guide de mise en oeuvre

Procédure complète

01

Activer la fonctionnalité de prévisualisation de récupération de compte

Tout d'abord, nous allons activer la fonctionnalité de prévisualisation de la récupération de compte dans votre locataire Microsoft Entra. Cette fonctionnalité est actuellement en prévisualisation publique et nécessite une activation explicite.

# Connectez-vous à Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

# Vérifiez que le locataire dispose des licences requises
Get-MgSubscribedSku | Where-Object {$_.SkuPartNumber -like "*ENTERPRISEPREMIUM*"}

Accédez au centre d'administration Microsoft Entra à entra.microsoft.com et connectez-vous avec votre compte d'administrateur global.

Allez à Identité > Authentification > Récupération de compte. Si vous ne voyez pas cette option, il se peut que votre locataire n'ait pas les fonctionnalités de prévisualisation activées. Cliquez sur Fonctionnalités de prévisualisation dans la navigation de gauche et activez Récupération de compte.

Astuce pro : Testez toujours les fonctionnalités de prévisualisation dans un locataire non-production d'abord. Créez un locataire de test dédié si vous n'en avez pas.

Vérification : Vous devriez voir la lame de récupération de compte avec des options pour créer des profils de récupération. Si la fonctionnalité n'est pas disponible, contactez le support Microsoft pour activer l'accès à la prévisualisation pour votre locataire.

02

Créer un profil de récupération résistant au phishing

Nous allons maintenant créer un profil de récupération qui impose des méthodes d'authentification résistantes au phishing et exclut les solutions de secours héritées comme les OTP et les mots de passe temporaires.

Dans le volet Récupération de compte, cliquez sur l'onglet Profils, puis sur Créer un profil :

  • Nom du profil : "Récupération Résistante au Phishing"
  • Description : "Récupération à haute assurance utilisant une pièce d'identité gouvernementale + Vérification Faciale"
  • Mode de récupération : Sélectionnez Libre-service
  • Méthodes d'authentification autorisées : Décochez SMS, Voix, Email OTP
  • Vérification d'identité requise : Activer

Configurez la section des utilisateurs cibles :

{
  "targetUsers": {
    "includeGroups": ["sg-pilot-users"],
    "excludeGroups": ["sg-break-glass-admins"],
    "includeRoles": [],
    "excludeRoles": ["Global Administrator"]
  },
  "recoverySettings": {
    "requireIdentityVerification": true,
    "allowedMethods": ["FIDO2", "PasskeyPlatform"],
    "blockedMethods": ["SMS", "Voice", "EmailOTP", "TemporaryPassword"]
  }
}
Avertissement : Ne jamais inclure les administrateurs globaux dans les profils de récupération lors des tests initiaux. Maintenez toujours au moins deux comptes d'administrateur de secours qui contournent toutes les exigences MFA.

Vérification : Enregistrez le profil et confirmez qu'il apparaît dans la liste des profils avec le statut "Actif". Vérifiez que votre groupe de sécurité pilote est correctement assigné.

03

Configurer le fournisseur de vérification d'identité

Connectez un fournisseur de vérification d'identité (IDV) qui prend en charge la validation des pièces d'identité gouvernementales et la vérification biométrique Face Check via le Microsoft Security Store.

Dans votre profil de récupération, cliquez sur Connecter le fournisseur de vérification d'identité. Cela ouvre l'assistant de configuration guidée.

Cliquez sur Parcourir le Microsoft Security Store et sélectionnez un fournisseur qui prend en charge :

  • La vérification des documents d'identité émis par le gouvernement
  • Le Face Check en direct (correspondance biométrique)
  • L'intégration de Microsoft Entra Verified ID

Configurez les paramètres IDV :

# Configuration du fournisseur IDV
verification_type: "government_id_plus_biometric"
assurance_level: "high"
supported_documents:
  - "drivers_license"
  - "passport"
  - "national_id"
biometric_methods:
  - "face_check_live"
privacy_settings:
  - "zero_knowledge_proofs": true
  - "biometric_storage": false
  - "data_retention_days": 30

Complétez l'intégration du fournisseur en suivant la configuration guidée. Le système configurera automatiquement les connexions API et les points de terminaison webhook.

Testez l'intégration : Utilisez le bouton "Test recovery" dans le centre d'administration avec un compte utilisateur de test. Téléchargez un exemple de pièce d'identité gouvernementale et complétez le processus Face Check.

Astuce pro : Documentez les exigences spécifiques de votre fournisseur IDV et les types d'identité pris en charge. Différents fournisseurs peuvent avoir des exigences de qualité de document et une disponibilité régionale variables.

Vérification : Le fournisseur devrait apparaître comme "Connecté" avec un indicateur de statut vert. Le test de récupération devrait se terminer avec succès en 2-3 minutes.

04

Activer les méthodes d'authentification FIDO2 et Passkey

Configurez les clés de sécurité FIDO2 et les authentificateurs de plateforme (passkeys) comme méthodes d'authentification principales résistantes au phishing pour la récupération de compte.

Accédez à Identité > Authentification > Méthodes d'authentification > Politiques.

Configurez la politique de clé de sécurité FIDO2 :

{
  "id": "Fido2",
  "state": "enabled",
  "includeTargets": [
    {
      "targetType": "group",
      "id": "sg-pilot-users",
      "isRegistrationRequired": false,
      "authenticationMode": "any"
    }
  ],
  "isAttestationEnforced": true,
  "isSelfServiceRegistrationAllowed": true,
  "keyRestrictions": {
    "aaGuids": [],
    "enforcementType": "allow",
    "isEnforced": false
  }
}

Activez Microsoft Authenticator avec le support des passkeys :

# Configuration PowerShell pour les passkeys Authenticator
$policy = @{
    "@odata.type" = "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration"
    "state" = "enabled"
    "includeTargets" = @(
        @{
            "targetType" = "group"
            "id" = "sg-pilot-users"
            "authenticationMode" = "any"
        }
    )
    "isSoftwareOathEnabled" = $false
    "featureSettings" = @{
        "displayAppInformationRequiredState" = @{
            "state" = "enabled"
            "includeTarget" = @{
                "targetType" = "group"
                "id" = "sg-pilot-users"
            }
        }
    }
}

Update-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration -AuthenticationMethodConfigurationId "MicrosoftAuthenticator" -BodyParameter $policy

Vérification : Les utilisateurs de test devraient pouvoir enregistrer des clés FIDO2 ou des passkeys sur myaccount.microsoft.com sous Infos de sécurité. Confirmez que l'enregistrement se termine sans erreurs.

05

Créer une politique d'accès conditionnel pour une MFA résistante au phishing

Implémentez une stratégie d'accès conditionnel qui exige une MFA résistante au phishing pour les utilisateurs des groupes avec récupération activée, en veillant à ce qu'aucun moyen d'authentification faible ne soit disponible.

Accédez à Protection > Accès conditionnel > Nouvelle stratégie :

{
  "displayName": "Exiger MFA Résistante au Phishing - Utilisateurs de Récupération",
  "state": "enabled",
  "conditions": {
    "users": {
      "includeGroups": ["sg-pilot-users"],
      "excludeGroups": ["sg-break-glass-admins"]
    },
    "applications": {
      "includeApplications": ["All"]
    },
    "locations": {
      "includeLocations": ["All"]
    }
  },
  "grantControls": {
    "operator": "AND",
    "builtInControls": ["mfa"],
    "authenticationStrength": {
      "id": "00000000-0000-0000-0000-000000000004",
      "displayName": "MFA résistante au phishing"
    }
  },
  "sessionControls": {
    "signInFrequency": {
      "value": 1,
      "type": "days",
      "isEnabled": true
    }
  }
}

Créez la stratégie en utilisant PowerShell :

# Créer une stratégie d'accès conditionnel via l'API Graph
$policyParams = @{
    displayName = "Exiger MFA Résistante au Phishing - Utilisateurs de Récupération"
    state = "enabled"
    conditions = @{
        users = @{
            includeGroups = @("your-pilot-group-id")
            excludeGroups = @("your-breakglass-group-id")
        }
        applications = @{
            includeApplications = @("All")
        }
    }
    grantControls = @{
        operator = "AND"
        authenticationStrength = @{
            id = "00000000-0000-0000-0000-000000000004"
        }
    }
}

New-MgIdentityConditionalAccessPolicy -BodyParameter $policyParams
Avertissement : Testez cette stratégie minutieusement avant de l'appliquer aux utilisateurs en production. Une stratégie mal configurée peut bloquer tous les utilisateurs, y compris les administrateurs.

Vérification : Connectez-vous en tant qu'utilisateur de test et confirmez que seules les méthodes d'authentification FIDO2/passkey sont acceptées. Les SMS et autres méthodes héritées doivent être bloqués.

06

Configurer l'accès d'urgence Break-Glass

Configurez des comptes d'urgence "break-glass" qui peuvent contourner les exigences résistantes au phishing pour éviter les scénarios de verrouillage complet du locataire.

Créez des comptes "break-glass" dédiés :

# Créer des comptes administrateur break-glass
$breakGlassUser1 = @{
    displayName = "Break Glass Admin 01"
    userPrincipalName = "breakglass01@yourdomain.com"
    mailNickname = "breakglass01"
    passwordProfile = @{
        forceChangePasswordNextSignIn = $false
        password = "ComplexPassword123!"
    }
    accountEnabled = $true
}

$breakGlassUser2 = @{
    displayName = "Break Glass Admin 02"
    userPrincipalName = "breakglass02@yourdomain.com"
    mailNickname = "breakglass02"
    passwordProfile = @{
        forceChangePasswordNextSignIn = $false
        password = "ComplexPassword456!"
    }
    accountEnabled = $true
}

New-MgUser -BodyParameter $breakGlassUser1
New-MgUser -BodyParameter $breakGlassUser2

Attribuez des rôles d'administrateur global et configurez des exclusions :

# Attribuer le rôle d'administrateur global aux comptes break-glass
$globalAdminRole = Get-MgDirectoryRole | Where-Object {$_.DisplayName -eq "Global Administrator"}

# Ajouter les utilisateurs break-glass au rôle d'administrateur global
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $globalAdminRole.Id -OdataId "https://graph.microsoft.com/v1.0/users/breakglass01@yourdomain.com"
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $globalAdminRole.Id -OdataId "https://graph.microsoft.com/v1.0/users/breakglass02@yourdomain.com"

Créez un groupe de sécurité pour les comptes break-glass et excluez-les de toutes les politiques MFA et de récupération :

  • Nom du groupe : "sg-break-glass-admins"
  • Ajoutez les deux comptes break-glass en tant que membres
  • Excluez ce groupe de toutes les politiques d'accès conditionnel
  • Excluez des profils de récupération de compte
Conseil pro : Stockez les identifiants des comptes break-glass dans un endroit physique sécurisé (coffre-fort, enveloppe scellée) et testez-les mensuellement. Documentez la procédure d'accès d'urgence pour votre équipe de sécurité.

Vérification : Testez que les comptes break-glass peuvent se connecter sans exigences MFA et ont un accès administratif complet pour annuler toute modification de politique.

07

Tester le flux de récupération de l'utilisateur final

Valider le processus complet de récupération de compte du point de vue de l'utilisateur final pour s'assurer que la vérification Face Check et l'identification par pièce d'identité gouvernementale fonctionnent correctement.

Simuler un scénario d'utilisateur verrouillé :

  1. Connectez-vous en tant qu'utilisateur test et déclenchez le verrouillage du compte (plusieurs tentatives de mot de passe échouées)
  2. Naviguez vers myaccount.microsoft.com
  3. Cliquez sur "Vous ne pouvez pas accéder à votre compte ?" ou "Récupérer le compte"
  4. Sélectionnez l'option "J'ai oublié mon mot de passe"

Le flux de récupération devrait présenter ces étapes :

# Flux de récupération attendu
step_1: "Vérification d'identité requise"
  - Télécharger un document d'identité émis par le gouvernement
  - Formats pris en charge : JPG, PNG, PDF
  - Limite de taille de fichier : 10 Mo

step_2: "Vérification faciale en direct"
  - Positionner le visage dans le cadre de la caméra
  - Suivre les instructions à l'écran
  - Correspondance biométrique avec la photo d'identité

step_3: "Traitement de la vérification"
  - Le fournisseur IDV valide le document
  - Comparaison Face Check terminée
  - Preuve à connaissance nulle générée

step_4: "Accès restauré"
  - Compte déverrouillé automatiquement
  - Redirection vers la réinitialisation du mot de passe
  - Enregistrer un nouveau MFA résistant au phishing

Surveiller le processus de récupération en temps réel :

# Surveiller les événements de récupération via l'API Graph
$recoveryEvents = Get-MgAuditLogSignIn -Filter "createdDateTime ge 2026-05-12T00:00:00Z and status/errorCode eq 0 and authenticationDetails/any(x:x/authenticationMethod eq 'Identity Verification')" -Top 50

$recoveryEvents | Select-Object createdDateTime, userPrincipalName, @{Name='RecoveryMethod';Expression={$_.authenticationDetails | Where-Object {$_.authenticationMethod -eq 'Identity Verification'}}}
Avertissement : Le processus Face Check nécessite un bon éclairage et une connexion Internet stable. Les utilisateurs doivent être dans un endroit bien éclairé avec la caméra au niveau des yeux pour de meilleurs résultats.

Vérification : Le processus de récupération complet devrait se terminer en 2-3 minutes. Vérifiez que l'utilisateur peut accéder à son compte et est invité à enregistrer de nouvelles méthodes MFA. Consultez les journaux d'audit pour confirmer que la récupération a été enregistrée avec la méthode d'authentification "Vérification d'identité".

08

Surveiller et auditer les activités de récupération

Configurez une surveillance et une alerte complètes pour les activités de récupération de compte afin de détecter les incidents de sécurité potentiels et d'assurer la conformité.

Configurez les alertes Azure Monitor pour les événements de récupération :

{
  "name": "Alerte de récupération de compte",
  "description": "Alerte sur la récupération de compte utilisant la vérification faciale",
  "severity": 2,
  "enabled": true,
  "scopes": ["/subscriptions/your-subscription-id"],
  "condition": {
    "allOf": [
      {
        "field": "category",
        "equals": "SignInLogs"
      },
      {
        "field": "operationName",
        "equals": "Account Recovery"
      },
      {
        "field": "properties.authenticationDetails",
        "contains": "Identity Verification"
      }
    ]
  },
  "actions": {
    "actionGroups": ["/subscriptions/your-subscription-id/resourceGroups/rg-security/providers/microsoft.insights/actionGroups/ag-security-team"]
  }
}

Créez une requête KQL personnalisée pour des analyses de récupération détaillées :

// Requête d'analyse de récupération de compte
SigninLogs
| where TimeGenerated >= ago(30d)
| where AuthenticationDetails has "Identity Verification"
| extend RecoveryMethod = tostring(parse_json(AuthenticationDetails)[0].authenticationMethod)
| extend IDVProvider = tostring(parse_json(AuthenticationDetails)[0].authenticationStepRequirement)
| project TimeGenerated, UserPrincipalName, IPAddress, Location, RecoveryMethod, IDVProvider, ResultType, ResultDescription
| where ResultType == 0  // Récupérations réussies
| summarize RecoveryCount = count(), 
           UniqueUsers = dcount(UserPrincipalName),
           SuccessRate = countif(ResultType == 0) * 100.0 / count()
           by bin(TimeGenerated, 1d)
| order by TimeGenerated desc

Mettez en place un rapport de conformité automatisé :

# Script PowerShell pour rapport de récupération hebdomadaire
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date

$recoveryReport = Get-MgAuditLogSignIn -Filter "createdDateTime ge $($startDate.ToString('yyyy-MM-ddTHH:mm:ssZ')) and authenticationDetails/any(x:x/authenticationMethod eq 'Identity Verification')" -All

$report = $recoveryReport | Group-Object {$_.CreatedDateTime.Date} | ForEach-Object {
    [PSCustomObject]@{
        Date = $_.Name
        TotalRecoveries = $_.Count
        SuccessfulRecoveries = ($_.Group | Where-Object {$_.Status.ErrorCode -eq 0}).Count
        FailedRecoveries = ($_.Group | Where-Object {$_.Status.ErrorCode -ne 0}).Count
        UniqueUsers = ($_.Group | Select-Object -Unique UserPrincipalName).Count
    }
}

$report | Export-Csv "AccountRecoveryReport_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
Conseil pro : Configurez un espace de travail Log Analytics dédié aux événements de sécurité et configurez la rétention des données en fonction de vos exigences de conformité. La plupart des organisations ont besoin de plus de 90 jours pour l'enquête sur les incidents de sécurité.

Vérification : Déclenchez une récupération de test et confirmez que les alertes se déclenchent correctement et que l'événement apparaît sur votre tableau de bord de surveillance dans les 5 minutes. Vérifiez que la requête KQL renvoie des statistiques de récupération précises.

Questions Fréquentes

Quelle licence est requise pour la récupération de compte Microsoft Entra Face Check ?+
Vous avez besoin d'une licence Microsoft Entra ID P2 ou Entra Suite pour accéder à la fonctionnalité de récupération de compte. Microsoft Entra Verified ID est également requis mais offre un niveau gratuit pendant la période de prévisualisation. La fonctionnalité Face Check s'intègre avec les fournisseurs IDV via le Microsoft Security Store, ce qui peut entraîner des coûts supplémentaires selon le volume d'utilisation et les exigences de vérification.
Combien de temps dure le processus de récupération de compte Face Check pour les utilisateurs finaux ?+
Le processus de récupération complet prend généralement 2 à 3 minutes du début à la fin. Cela inclut le téléchargement du document d'identité gouvernemental, la vérification en direct Face Check, et le déverrouillage automatique du compte. Le temps de traitement peut varier légèrement en fonction du fournisseur IDV et de la qualité du document, mais le système est conçu pour une vérification rapide afin de minimiser le temps d'indisponibilité de l'utilisateur.
Que se passe-t-il si la vérification Face Check échoue lors de la récupération de compte ?+
Si la vérification faciale échoue, les utilisateurs peuvent réessayer le processus jusqu'à trois fois avec un éclairage et un positionnement de la caméra améliorés. Après trois tentatives infructueuses, le système impose une période de refroidissement de 24 heures avant de permettre des tentatives supplémentaires. Pendant ce temps, les utilisateurs doivent contacter le support informatique pour une récupération manuelle du compte. Le système enregistre toutes les tentatives échouées pour la surveillance de la sécurité et la détection potentielle de fraude.
Le contrôle facial de Microsoft Entra peut-il fonctionner avec les clés de sécurité FIDO2 existantes ?+
Oui, Face Check s'intègre parfaitement avec les clés de sécurité FIDO2 et les authentificateurs de plateforme comme Windows Hello et Touch ID. Le système de récupération peut restaurer l'accès aux utilisateurs qui ont perdu leurs clés de sécurité physiques ou ne peuvent pas accéder à leurs authentificateurs biométriques. Une fois la récupération terminée, les utilisateurs peuvent réenregistrer leurs appareils FIDO2 et continuer à utiliser des méthodes d'authentification résistantes au phishing.
Quels documents d'identité gouvernementaux sont pris en charge par Microsoft Entra Face Check ?+
Les documents pris en charge incluent les permis de conduire, les passeports et les cartes d'identité nationales de la plupart des pays. La liste spécifique dépend de votre fournisseur IDV choisi dans le Microsoft Security Store. Les documents doivent être à jour, clairement lisibles et contenir une photo pour la correspondance biométrique. Le système prend en charge les formats JPG, PNG et PDF avec une taille de fichier maximale de 10 Mo par téléchargement de document.
Tags
#microsoft-entra#résistant au phishing#authentification biométrique

Intelligence Complémentaire

Approfondissez vos connaissances

Comment activer les exigences de mot de passe alphanumérique pour les appareils à l'aide de Microsoft Intune
tutorial
Cybersecurity

Comment activer les exigences de mot de passe alphanumérique pour les appareils à l'aide de Microsoft Intune

Explorer
Comment configurer Microsoft Entra Face Check pour une récupération résistante au phishing
tutorial
Cybersecurity

Comment configurer Microsoft Entra Face Check pour une récupération résistante au phishing

Explorer
Comment activer la protection de redirection du spouleur d'impression à l'aide de Microsoft Intune
tutorial
Cybersecurity

Comment activer la protection de redirection du spouleur d'impression à l'aide de Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte