/
Authentification multifacteur (MFA) pour les utilisateurs externes

Authentification multifacteur (MFA) pour les utilisateurs externes

  • Aperçu

  • Comment fonctionne l’authentification multifacteur?

  • Modifier votre authentification à deux facteurs

  • Demande d’inclusion dans la liste des domaines de confiance

  • FAQ

  • Articles Connexes

Aperçu

Conformément aux meilleures pratiques recommandées par Microsoft, le service des technologies de l'information (TI) de HEC Montréal a activé l’authentification multifacteur (MFA) pour les utilisateurs invités, en tant que couche supplémentaire de protection lors du processus de connexion.

Cette couche additionnelle réduit considérablement le risque de brèche de sécurité et garantit la protection des données sensibles.

Comment fonctionne l’authentification multifacteur ?

Lorsqu’un utilisateur externes (Guests) est invité à collaborer avec HEC Montréal - par exemple, via Microsoft Teams, SharePoint ou d’autres services Microsoft 365 - l’authentification multifacteur (MFA) est imposée pour assurer un accès sécurisé.

Mettre a jour la DDC des Guest MFA

A. Configuration de confiance MFA pour les domaines collaborateur à HEC Montréal

Dans le cadre de nos efforts continus pour renforcer la sécurité tout en maintenant une expérience utilisateur fluide pour nos collaborateurs externes, une analyse approfondie a été menée sur les domaines avec lesquels HEC Montréal collabore régulièrement. Cette analyse visait à vérifier si ces organisations partenaires appliquent déjà la MFA dans leur propre environnement.

À la suite de cette analyse, nous avons identifié un ensemble de “domaines de confiance”, où la MFA est correctement configurée et appliquée par les organisations d’origine des utilisateurs invités. Par conséquent, nous avons configuré des paramètres d’accès inter-locataires (cross-tenant access) pour faire confiance aux revendications MFA émanant de ces domaines.

Concrètement :

  • Lorsqu’un utilisateur provenant d’un domaine de confiance accède aux ressources de HEC Montréal, son système MFA existant est reconnu et accepté.

  • Il “ne sera pas” invité à enregistrer ou configurer une nouvelle MFA dans l’environnement de HEC Montréal.

  • Cette méthode assure un accès sécurisé et fluide, en éliminant les étapes redondantes d’enregistrement.

Cette approche s’aligne sur les bonnes pratiques de collaboration B2B et améliore à la fois la sécurité et l’expérience utilisateur pour nos partenaires externes.

B.Gestion des domaines restants (non reconnus comme fiables)

Pour les collaborateurs externes dont le domaine n’est pas répertorié comme “domaine de confiance” par HEC Montréal, ou dans les cas où nous ne pouvons confirmer l’application de la MFA par leur organisation d’origine, HEC Montréal exige que ces utilisateurs s’enregistrent à la MFA et l’utilisent dans notre environnement avant d’accéder à toute ressource protégée.

Cela garantit que :

  • Tous les utilisateurs invités respectent un standard minimal de sécurité uniforme.

  • L’accès aux ressources de HEC Montréal est protégé contre les accès non autorisés et le vol d’identifiants.

  • HEC Montréal demeure conforme à ses politiques internes de sécurité et aux exigences réglementaires applicables.

Mise en œuvre pratique :

Lorsqu’un utilisateur provenant d’un domaine non reconnu comme fiable tente d’accéder aux systèmes de HEC Montréal , il sera automatiquement invité à s’enregistrer à la MFA (par exemple, via l’application Microsoft Authenticator).

Une fois configurée, la MFA sera requise pour toutes les connexions ultérieures aux ressources de HEC Montréal.

Ce modèle à deux volets — faire confiance aux domaines vérifiés et sécurisés, tout en imposant la MFA aux autres — permet de trouver le juste équilibre entre sécurité, flexibilité opérationnelle et expérience utilisateur.

Modifier votre authentification à deux facteurs

Domaines de confiance :

Si vous êtes un utilisateur appartenant à l’un des domaines listés ci-dessous, vous pouvez modifier les paramètres de votre authentification multifacteur (MFA) en suivant les directives de sécurité de votre propre organisation.

Voici la liste des domaines de confiance :

umontreal.ca

deloitte.ca

pwc.com

ssss.gouv.qc.ca

rcgt.com

uottawa.ca

mail.mcgill.ca

cgi.ma

enap.ca

usherbrooke.ca

kpmg.ca

uqac.ca

ulaval.ca

concordia.ca

uqo.ca

courrier.uqam.ca

live.concordia.ca

fsa.ulaval.ca

desjardins.com

ens.etsmtl.ca

msss.gouv.qc.ca

uqam.ca

hydroquebec.com

okiok.com

uqtr.ca

etsmtl.ca

uquebec.ca

bnc.ca

uqat.ca

ubishops.ca

mcgill.ca

ens.uqam.ca

uqar.ca

csdmedu.ca

inrs.ca

dti.ulaval.ca

ets.ca

teluq.ca

 


Domaine non reconnu comme fiable :

Si votre domaine ne figure pas dans la liste ci-dessus, vous serez automatiquement guidé à travers le processus standard d’enregistrement à la MFA lors de votre première connexion.

À tout moment, vous pouvez consulter ou mettre à jour votre second facteur d’authentification en accédant à la console des paramètres de sécurité Microsoft à l’adresse suivante : https://aka.ms/mfasetup

Pour toute assistance supplémentaire, n’hésitez pas à contacter notre équipe de soutien informatique à l’adresse suivante : soutien.ti@hec.ca

 Vous pouvez consulter l’article ci-dessous pour plus de détails:
https://support.microsoft.com/en-us/account-billing/change-your-two-step-verification-method-and-settings-c801d5ad-e0fc-4711-94d5-33ad5d4630f7

Demande d’inclusion dans la liste des domaines de confiance

Si une organisation souhaite que son domaine soit reconnu comme un domaine de confiance, une demande formelle d’évaluation doit être soumise.

Processus de demande :

Veuillez soumettre votre demande par courriel à l’adresse cybersecurite@hec.ca avec l’objet suivant :
Demande d’évaluation de la confiance du domaine – [Nom de votre entreprise]”

Votre demande doit inclure les éléments suivants :

  • Le ou les noms de domaine à évaluer

  • Une description de votre politique d’application de l’authentification multifacteur (MFA)

  • Une documentation ou une preuve démontrant que la MFA est appliquée de manière systématique à tous les utilisateurs de votre organisation

  • Les coordonnées d’une personne technique à contacter pour le suivi

Évaluation par l’équipe de sécurité :

L’équipe de sécurité de HEC Montréal analysera les informations soumises afin de vérifier que l’application de la MFA répond aux normes de sécurité internes.

Des informations supplémentaires pourraient être demandées au cours du processus d’évaluation.

L’organisation requérante sera informée de la décision une fois l’évaluation complétée.

Veuillez noter que l’approbation n’est pas automatique. La décision sera fondée sur la robustesse et la cohérence de la mise en œuvre de la MFA par l’organisation demandeuse.

FAQ

 

Question

Réponse

Question

Réponse

Depuis le changement, je ne reçois plus les nouveaux courriels, événements calendrier ou contacts sur mon appareil mobile ou ordinateur.

OU

L'application de courriel que j'utilise me dit que mes paramètres ne fonctionnent plus ou que la synchronisation des courriels est impossible

Lors de la première configuration, votre appareil pourrait avoir utilisé une ancienne méthode d'authentification maintenant refusée ou incompatible avec l'authentification double facteur.

L'approche idéale est de supprimer puis créer de nouveau votre compte sur l'appareil

Vous pouvez aussi consulter la section des prérequis pour vous assurez du bon fonctionnement de vos applications avec cette nouvelle mesure.

 

J’ai changé le numéro de téléphone, l’ordinateur ou l’appareil mobile qui servait à faire la 2e vérification d’authentification

Autant que possible, faire le changement de configuration du 2e facteur AVANT de perdre accès à l’outil précédent en vous rendant à la console de configuration authentification 2e facteur de Microsoft: https://aka.ms/mfasetup

Si vous n’avez plus accès à l’outil précédent de 2e authentification, vous devrez contacter le Centre de services TI pour réinitialiser votre compte. SVP ayez en main vos informations d’identification HEC Montréal pour faciliter la procédure.

L'obligation de fournir un 2e facteur d'authentification a été activée sur mon compte mais je n'ai pas fait la première configuration et je n'ai plus accès à mon compte Office 365.

Rendez-vous sur le site https://aka.ms/mfasetup  et suivez les instructions ci-dessus pour configurer l'authentification double facteur correctement.

 

J'ai oublié ou perdu mon appareil pour l'authentification double facteur (mon téléphone).

Comment puis-je me connecter ?

Il est impossible de contourner l'authentification multifacteur pour les comptes HEC Montréal.

Si vous avez sous la main un autre téléphone ou outil pour faire la 2e authentification, vous pouvez contacter le Centre de services TI pour qu'une réinitialisation de la sécurité de votre compte soit faite et que vous puissiez configurer une nouvelle méthode de vérification double facteur.

 

Nous conseillons d'ailleurs de configurer 2 méthodes de 2e facteur d'authentification différentes dès la première configuration de votre compte pour éviter cette situation.

 

Plus d'information de Microsoft sur ce sujet: 
Problèmes courants avec l’authentification à 2 facteurs de compte – Azure AD | Microsoft Docs

Est-ce que l'authentification double facteur s'applique à toute connexion à mon compte Office 365 ?

Est-ce que je dois toujours avoir mon 2e appareil avec moi ?

La vérification du 2e facteur d'authentification vous sera demandé sur chaque nouvelle connexion à votre compte : que ce soit depuis un nouvel appareil ou depuis une nouvelle application.

Vous pouvez cependant indiquer au système que vous faites confiance à l'appareil et ainsi votre accès sera conservé pendant maximum 90 jours.

Ne pas cocher cette case sur un appareil qui n'est pas le vôtre

Dans 90 jours, vous serez à nouveau invité à fournir votre mot de passe et un 2e facteur d'authentification pour accéder votre compte.

La sécurité avec 2e facteur est activé depuis un certain temps sur mon compte et j'ai déjà fait la vérification sur mes appareils.

Depuis quelques jours, je dois cependant fournir à nouveau un code de 2e authentification sur mes appareils.

Tout d'abord, la vérification doit être faite à nouveau tous les 90 jours si vous avez coché de 'faire confiance à l'appareil'.

Aussi, certaines autres conditions peuvent déclencher une nouvelle demande de vérification

  • Changement de navigateur web

  • Nettoyage des caches et/ou cookies

  • Changement à votre connexion internet

  • Mise à jour du logiciel de courriel ou de l'appareil utilisé

  • Et possiblement de nombreuses autres conditions que Microsoft ne dévoile pas

L'application Microsoft Authenticator accède-t-elle aux données personnelles sur mon téléphone?

L'application Authenticator collecte deux types d'informations :

  • Les informations de compte (courriels et mots de passe) que vous fournissez lorsque vous ajoutez votre compte.

    • Ces données sont stockées sur votre appareil et peuvent être supprimées en supprimant votre compte.

  • Les données de journal de diagnostic.

    • Ces données restent uniquement dans l’application jusqu’à ce que vous sélectionnez Envoyer des commentaires dans le menu supérieur de l’application pour envoyer des journaux à Microsoft. Ces journaux peuvent contenir des données , telles que des adresses e-mail, des adresses de serveur ou des adresses IP.

Pour plus d'information de Microsoft sur ce sujet: Questions courantes sur l’application Microsoft Authenticator - Support Microsoft

 

 

Articles connexes