Valider l'identité d'un utilisateur à l'aide de paramètres de sécurité supplémentaires

Si nous soupçonnons une tentative de connexion au compte de l'un de vos utilisateurs par une personne non autorisée, cette personne est invitée à répondre à une question d'authentification à la connexion supplémentaire. Nous pouvons par exemple envoyer un code de validation sur le téléphone de l'utilisateur possédant le compte. Une personne ne pouvant pas répondre à cette question ne parviendra pas à accéder au compte.

Types de questions d'authentification

Google détermine la question d'authentification à présenter à un utilisateur en fonction de différents facteurs de sécurité.

Questions d'authentification via les appareils mobiles

  • Une invite peut s'afficher, demandant à l'utilisateur d'appuyer sur Oui, puis de saisir un numéro sur son téléphone. 
  • Un SMS peut être envoyé, ou un appel téléphonique passé, contenant un code de validation sur l'appareil de récupération de l'utilisateur, ainsi que des instructions à suivre pour accéder à son compte. 

Si votre organisation utilise le service Gestion des appareils mobiles Google, nous pouvons demander aux utilisateurs de valider leur identité sur leur appareil mobile géré (celui à l'aide duquel ils accèdent habituellement à leur compte d'entreprise). Pour plus d'informations sur ce service, consultez l'article Gérer les appareils mobiles de votre organisation.

L'un des écrans suivants s'affiche lorsque l'utilisateur doit valider son identité à l'aide de son appareil mobile :

Question d'authentification portant sur l'ID d'employé

Vous pouvez utiliser les ID d'employé comme questions d'authentification. Ces ID sont plus difficiles à deviner et à hameçonner que d'autres questions d'authentification portant sur l'identité. Pour utiliser ce type de question, vous devez vous assurer que des ID d'employé sont associés aux comptes de vos utilisateurs. Pour en savoir plus, consultez l'article Ajouter un ID d'employé comme question d'authentification à la connexion
L'écran suivant s'affiche lorsque l'utilisateur doit valider son identité à l'aide de son ID d'employé :

Question d'authentification portant sur l'adresse e-mail de récupération

Cette question d'authentification consiste à saisir une adresse électronique secondaire, dite de récupération, en cas de tentative de connexion utilisateur suspecte. L'écran suivant s'affiche lorsque l'utilisateur doit valider son identité par l'intermédiaire de son adresse e-mail de récupération :

Prérequis à l'utilisation des questions d'authentification 

Avant de pouvoir valider l'identité d'un utilisateur à l'aide de son numéro de téléphone ou de son adresse e-mail de récupération, l'utilisateur doit nous fournir ces informations. Lorsqu'un utilisateur se connecte, un message lui demande de fournir un numéro de téléphone ou une adresse e-mail de récupération. Ce message apparaît régulièrement, jusqu'à ce que l'utilisateur ait fourni ces informations. Si vous utilisez la question d'authentification portant sur les ID d'employé, vous devez vous assurer que ces derniers sont associés aux comptes de vos utilisateurs. Pour en savoir plus, consultez l'article Ajouter un ID d'employé comme question d'authentification à la connexion.

Activer les questions avec l'authentification unique

De nombreux clients font appel à des fournisseurs d'identité tiers afin d'authentifier les utilisateurs qui utilisent l'authentification unique via le langage SAML. Le fournisseur d'identité tiers authentifie les utilisateurs, et aucune autre question liée au risque ne leur est présentée. Toute configuration de la validation en deux étapes de Google est ignorée. Il s'agit du comportement par défaut.

Vous pouvez définir une règle pour autoriser d'autres questions d'authentification selon le risque et la validation en deux étapes si elle est configurée. Si Google reçoit une assertion SAML valide (informations d'authentification de l'utilisateur) de la part du fournisseur d'identité lors de la connexion de l'utilisateur, Google peut présenter d'autres questions d'authentification à l'utilisateur.

Cas d'utilisation pour les questions supplémentaires avec l'authentification unique

  • Vous souhaitez utiliser des clés de sécurité pour protéger l'accès aux ressources sensibles hébergées par Google afin d'obtenir une assurance maximale, et votre fournisseur d'identité actuel ne permet pas l'utilisation des clés de sécurité.
  • Vous souhaitez économiser le coût d'utilisation d'un fournisseur d'identité tiers, car les utilisateurs accèdent aux ressources Google dans la plupart des cas.
  • Vous ne souhaitez pas recourir à l'authentification Google (Google en tant que fournisseur d'identité), mais souhaitez exploiter toutes les questions d'authentification selon le risque de Google.

Ce qu'il se passe lorsque vous appliquez des questions supplémentaires

Pour une mise en œuvre fluide, informez vos utilisateurs de la nouvelle règle et du moment où vous prévoyez de l'appliquer. Voici ce qu'il se passe lorsque vous appliquez des questions supplémentaires lors de la connexion :
  • Si vous avez défini des règles relatives à la validation en deux étapes, consistant par exemple à en forcer l'application, elles s'appliquent immédiatement.
  • Les utilisateurs concernés par la nouvelle règle et inscrits à la validation en deux étapes reçoivent une question de validation en deux étapes lors de la connexion.
  • En se basant sur l'analyse des risques à la connexion de Google, les utilisateurs peuvent voir des questions d'authentification selon le risque lors de la connexion.

Configurer la validation post-authentification unique

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Questions d'authentification à la connexion.

    Pour afficher l'option "Sécurité" sur la page d'accueil, vous devrez peut-être cliquer sur Autres commandes au bas de la page.

  3. Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir la règle.
    Pour que la règle s'applique à tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Au départ, les unités organisationnelles héritent des paramètres de leur parent.
  4. Sélectionnez Les connexions utilisant l'authentification unique sont soumises à d'autres validations.
    Google crée une entrée dans le journal d'audit de l'administrateur pour indiquer la modification de la règle. Avec la nouvelle règle, Google peut présenter les questions d'authentification selon le risque et la validation en deux étapes, si elle est configurée. L'action par défaut est de contourner la validation supplémentaire.
  5. En bas à droite, cliquez sur Enregistrer.

Questions fréquentes

Questions d'authentification supplémentaires | Validation par téléphone | Désactiver une question d'authentification | Questions d'authentification pour les administrateurs

Questions d'authentification supplémentaires

Dans quel cas l'utilisateur voit-il s'afficher une question d'authentification à la connexion ?

L'utilisateur se voit présenter une question d'authentification en cas de détection d'une connexion suspecte, par exemple s'il ne suit pas son schéma de connexion habituel. 

Important : Google détermine la question d'authentification à présenter à un utilisateur en fonction de différents facteurs de sécurité et d'utilisation. Par exemple, la question d'authentification portant sur l'ID d'employé peut ne pas toujours être présentée à un utilisateur spécifique, même si vous l'avez activée.

Les utilisateurs peuvent-ils mettre à jour leurs informations de récupération ?

Oui. Pour en savoir plus, consultez l'article Définir un numéro de téléphone ou une adresse e-mail de récupération

Nous avons activé la validation en deux étapes. Est-il nécessaire d'utiliser des questions d'authentification à la connexion ?

La validation en deux étapes est un type de question d'authentification. Lorsqu'elle est activée par vos utilisateurs, ils n'ont pas besoin de répondre à une autre question de connexion. De même, Admin Reports affiche chaque instance de la validation en deux étapes comme une question d'authentification à la connexion distincte.

Comment fonctionnent les questions d'authentification à la connexion lorsque l'authentification unique est activée ?

Par défaut, les questions ne sont pas activées pour les organisations utilisant l'authentification unique. Le paramètre de validation post-authentification unique de la console d'administration vous permet d'autoriser d'autres questions d'authentification selon le risque et la validation en deux étapes, si elle est configurée.

Cette fonctionnalité est-elle disponible dans G Suite for Education ?

Oui, les questions d'authentification supplémentaires sont incluses dans toutes les éditions de G Suite.

Quand Google considère-t-il qu'une tentative de connexion est suspecte ?

Lorsqu'une connexion est identifiée par notre système d'analyse des risques comme étant différente du comportement habituel de l'utilisateur, nous déterminons si elle est suspecte ou non. Par exemple, un utilisateur peut essayer de se connecter depuis un lieu inhabituel ou d'une manière considérée comme un abus.

Validation par téléphone

Si des utilisateurs de mon entreprise ne possèdent pas de téléphone professionnel, peuvent-ils valider leur compte d'une autre manière ?

Oui, les utilisateurs ont le choix entre plusieurs méthodes d'authentification. Selon les informations disponibles pour le compte d'un utilisateur, les questions d'authentification présentées aux utilisateurs varient, et peuvent par exemple requérir la saisie de leur ID d'employé ou de leur adresse e-mail de récupération. Si un utilisateur n'a pas accès à son téléphone, il peut se connecter à l'aide de codes de secours. Pour en savoir plus, consultez l'article Se connecter à l'aide de codes de secours.

Comment les utilisateurs peuvent-ils modifier le numéro de téléphone ou l'adresse e-mail de récupération associés à leur compte ?

L'utilisateur peut modifier les informations de récupération en accédant aux paramètres du compte.

Les utilisateurs peuvent-ils choisir des critères de validation autres que leur numéro de téléphone de récupération ?

Si les utilisateurs ne saisissent pas leur numéro de téléphone de récupération, d'autres questions leur seront posées. Ils devront par exemple indiquer leur adresse e-mail de récupération ou leur ID d'employé.

Désactiver une question d'authentification

Si l'utilisateur ne peut pas valider son identité, puis-je désactiver la question d'authentification à la connexion ?

Dans certaines situations, un utilisateur autorisé n'est pas en mesure de confirmer son identité. Par exemple, il peut se trouver dans une zone où il n'y a pas de réseau et donc ne pas recevoir le code de validation sur son téléphone portable. Il peut également ne pas se souvenir de son ID d'employé ou ne pas savoir où le trouver.

Si cela se produit, en tant qu'administrateur, vous pouvez désactiver temporairement la question d'authentification à la connexion pour lui permettre de se connecter :

  1. Connectez-vous à la console d'administration Google
  2. Localisez le compte de l'utilisateur.
  3. Cliquez sur la ligne du compte utilisateur pour afficher la page d'informations correspondante.
  4. Cliquez sur Sécurité.
  5. Cliquez sur Question d'authentification à la connexion.
  6. Cliquez sur Désactiver pendant 10 minutes.

La prise en compte de cette modification dans le compte utilisateur peut prendre quelques minutes. À ce stade, la question d'authentification à la connexion est désactivée pendant 10 minutes pour permettre à l'utilisateur de se connecter. 

Il est également possible de modifier le mot de passe de l'utilisateur afin de lui donner accès à une session, laquelle sera verrouillée puisqu'il ne peut valider son identité.

Puis-je désactiver la question d'authentification à la connexion pour mon entreprise ?

Non. Vous ne pouvez pas désactiver cette fonctionnalité pour l'ensemble de votre entreprise. Cependant, vous pouvez la désactiver temporairement pour un utilisateur en particulier.

Les utilisateurs peuvent-ils désactiver cette fonctionnalité dans les paramètres de leur compte ?

Non. Seul un administrateur peut désactiver temporairement la question d'authentification à la connexion.

Questions d'authentification pour les administrateurs

Comment un administrateur qui ne peut pas valider son identité peut-il accéder à nouveau à son compte ?

En tant qu'administrateur, vous pouvez contourner la question d'authentification à la connexion et accéder de nouveau à votre compte en réinitialisant votre mot de passe. En bas de la page Question d'authentification à la connexion, cliquez sur le lien Cliquez ici pour réinitialiser votre mot de passe.

Que se passe-t-il si un super-administrateur ne peut pas valider son identité ?

Si un super-administrateur ne peut pas valider son identité, un autre super-administrateur peut, le cas échéant, désactiver temporairement la question d'authentification à la connexion pour son compte, en suivant la procédure décrite ci-dessus.

Les super-administrateurs peuvent également contourner la question d'authentification à la connexion en réinitialisant leur mot de passe. En bas de la page Question d'authentification à la connexion, cliquez sur le lien Cliquez ici pour réinitialiser votre mot de passe.

Remarque : Les super-administrateurs n'ont pas tous accès à l'option automatisée de réinitialisation du mot de passe. Pour en savoir plus sur la récupération d'un compte administrateur, consultez l'article Ajouter des options de récupération à votre compte administrateur.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?