En tant qu'administrateur, vous pouvez appliquer des règles de mots de passe pour protéger les comptes Google gérés des utilisateurs et répondre aux exigences de conformité de votre organisation. Vous pouvez également contrôler le niveau de sécurité des mots de passe utilisateur afin de repérer ceux qui ne sont pas suffisamment sécurisés.
Sécuriser les comptes utilisateur
- Exiger un mot de passe sécurisé : vous pouvez exiger que les utilisateurs ayant défini un mot de passe peu sécurisé le modifient. Vous pouvez également exiger que les mots de passe disposent d'un nombre minimal de caractères.
- Empêcher les utilisateurs de réutiliser d'anciens mots de passe.
- Expliquer l'importance des mots de passe sécurisés : pour aider les utilisateurs à créer des mots de passe fiables, communiquez-leur ces conseils concernant les mots de passe.
Avant de commencer
- Google ne peut pas appliquer les exigences de longueur et de niveau de sécurité des mots de passe définis à l'aide d'une méthode de hachage (par exemple, les mots de passe créés avec l'outil d'importation groupée des utilisateurs, l'API Directory ou des outils de synchronisation comme Password Sync ou Google Cloud Directory Sync. Pour en savoir plus, consultez le SDK Admin Google Workspace ou la page À propos de Password Sync.
- Les exigences relatives à la longueur et au niveau de sécurité des mots de passe ne s'appliquent pas aux mots de passe utilisateur que vous réinitialisez manuellement. Si vous réinitialisez manuellement un mot de passe, assurez-vous de cocher la case Inviter l'utilisateur à modifier son mot de passe à la connexion.
- Les règles de mots de passe que vous configurez ne s'appliquent pas aux utilisateurs authentifiés par un fournisseur d'identité tiers via SAML.
Si vous appliquez des règles de mots de passe sécurisés, Google se sert d'un algorithme d'évaluation du niveau de sécurité du mot de passe pour s'assurer des éléments suivants :
- Le caractère aléatoire du mot de passe doit être élevé, ce que l'on appelle entropie du mot de passe. Pour cela, choisissez une longue chaîne de caractères de types différents, comme des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Remarque : Il n'est pas nécessaire qu'un mot de passe sécurisé contienne un nombre précis de caractères d'un certain type.
- Il ne doit pas s'agir d'un mot de passe peu sécurisé courant, comme "123456" ou "motdepasse123".
- Il ne doit pas être facile à deviner, comme par exemple des mots ou expressions simples, ni être similaire au nom d'utilisateur.
- Il ne doit pas être compromis, c'est-à-dire qu'il ne figure dans aucune base de données de comptes piratés.
L'expiration du mot de passe est désactivée par défaut, car les recherches ont montré qu'elle avait peu d'impact positif sur la sécurité. Vous pouvez définir l'expiration du mot de passe des utilisateurs après un certain nombre de jours (par exemple 90 ou 180 jours) si des raisons de conformité l'exigent.
L'expiration du mot de passe est appliquée uniquement pour les connexions aux applications basées sur un navigateur. Elle ne s'applique pas aux utilisateurs qui utilisent uniquement des téléphones ou qui sont connectés à l'aide d'applications authentifiées par OAuth.
Alertes mot de passe
Si vous définissez une période d'expiration du mot de passe, les utilisateurs reçoivent une alerte pop-up (mais aucun rappel par e-mail) dans leurs services Google, comme Gmail et Agenda, 30 jours avant la date d'expiration de leur mot de passe. Ils peuvent alors modifier leur mot de passe ou fermer l'alerte. Si un utilisateur ne change pas son mot de passe, l'alerte s'affiche lors de sa prochaine connexion à son compte. Si l'utilisateur a fermé l'alerte trois fois, elle cesse de s'afficher. Toutefois, une fois le mot de passe expiré, l'utilisateur doit modifier son mot de passe lors de sa prochaine connexion.
Délai de modification du mot de passe utilisateur
Lorsque vous configurez une règle d'expiration du mot de passe pour la première fois, certains utilisateurs peuvent être invités à modifier leur mot de passe immédiatement, tandis que d'autres n'auront pas besoin de le faire tout de suite. Exemple :
- Si vous avez configuré une règle d'expiration de 90 jours et qu'un utilisateur a modifié son mot de passe il y a 100 jours, celui-ci expire dès que vous configurez la règle. L'utilisateur sera invité à modifier son mot de passe lors de sa prochaine tentative de connexion à son compte.
- Si vous avez configuré une règle d'expiration de 90 jours et qu'un utilisateur a modifié son mot de passe il y a 30 jours, celui-ci n'a pas encore expiré. Au bout de 60 jours, l'utilisateur sera invité à modifier son mot de passe lors de sa prochaine tentative de connexion.
Définir le niveau de sécurité du mot de passe
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Authentification Gestion des mots de passe.
- Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir les règles relatives aux mots de passe.
Pour les définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Sinon, sélectionnez une autre UO pour définir ses paramètres. Par défaut, une organisation hérite des paramètres de son parent.
- Dans la section Niveau de sécurité du mot de passe, cochez l'option Appliquer un mot de passe sécurisé.
En savoir plus sur les mots de passe sécurisés
-
Dans la section Longueur, saisissez une longueur minimale et maximale pour les mots de passe de vos utilisateurs. Le mot de passe doit comprendre entre 8 et 100 caractères.
- (Facultatif) Pour obliger les utilisateurs à modifier leur mot de passe, cochez l'option Appliquer les règles relatives aux mots de passe lors de la prochaine connexion.
Si vous n'activez pas cette option, les utilisateurs dont le mot de passe est peu sécurisé peuvent continuer à accéder aux services Google de votre organisation jusqu'à ce qu'ils décident de le modifier.
- (Facultatif) Pour autoriser les utilisateurs à réutiliser un ancien mot de passe, cochez l'option Autoriser la réutilisation des mots de passe.
Vous ne pouvez pas configurer l'historique de mots de passe que Google passe en revue pour empêcher leur réutilisation.
- Dans la section Expiration, sélectionnez la durée après laquelle les mots de passe expirent.
Remarque : Si un compte utilisateur a ajouté un utilisateur délégué, celui-ci peut toujours accéder au compte, même si son mot de passe a expiré. Pour empêcher un accès permanent, réinitialisez le mot de passe du compte ou supprimez l'utilisateur délégué.
- Cliquez sur Remplacer pour conserver le paramètre même si le paramètre parent est modifié.
- Si l'état de l'unité organisationnelle affiche déjà Remplacé, sélectionnez l'une des options suivantes :
- L'option Hériter rétablit le paramètre du parent.
- L'option Enregistrer permet de conserver votre nouveau paramètre (même si celui du parent est modifié).
- Conseillez vos utilisateurs pour les aider à créer un mot de passe sécurisé.
Contrôler le niveau de sécurité du mot de passe des utilisateurs
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Création de rapportsRapports Rapports utilisateurComptes.
- (Facultatif) Pour afficher le niveau de sécurité des mots de passe sous forme de graphique, accédez à RapportsRapports sur les applicationsComptes. En savoir plus sur les rapports sur les comptes