ANAVEM
FrancaisEnglish
ANAVEM
Référence
Languageen
Comment vérifier le statut MFA pour les utilisateurs dans Microsoft Entra ID

Comment vérifier le statut MFA pour les utilisateurs dans Microsoft Entra ID

Apprenez à afficher et exporter le statut d'authentification multifacteur pour tous les utilisateurs de votre locataire Microsoft Entra ID en utilisant à la fois des méthodes GUI et l'automatisation PowerShell avec Microsoft Graph.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 2026 15 min 6
mediummfa 7 étapes 15 min

Pourquoi surveiller le statut MFA dans Microsoft Entra ID ?

Avec l'approche des échéances de mise en œuvre obligatoire de la MFA par Microsoft en 2026, surveiller le statut de l'authentification multifacteur dans votre locataire est devenu crucial pour la sécurité et la conformité. La date limite du 1er octobre 2026 pour l'accès au portail Azure et la date limite finale de conformité du 31 décembre 2026 signifient que les organisations doivent avoir une visibilité complète sur les méthodes d'authentification de leurs utilisateurs.

Microsoft Entra ID offre plusieurs approches pour vérifier le statut MFA, allant des examens rapides basés sur l'interface graphique à l'automatisation complète avec PowerShell. Comprendre quels utilisateurs ont activé la MFA, quelles méthodes d'authentification ils utilisent, et identifier les lacunes de conformité vous aide à maintenir la sécurité tout en garantissant que les utilisateurs ne perdent pas l'accès aux ressources critiques.

Quelles méthodes d'authentification devriez-vous surveiller ?

La MFA moderne dans Microsoft Entra ID prend en charge diverses méthodes d'authentification avec différents niveaux de sécurité. Les méthodes fortes incluent Microsoft Authenticator, les clés de sécurité FIDO2, Windows Hello for Business, et l'authentification par téléphone. Les méthodes plus faibles comme l'authentification par email offrent une certaine protection mais peuvent ne pas répondre aux exigences de conformité futures.

Les méthodes de reporting couvertes dans ce tutoriel vous aident à identifier les utilisateurs qui dépendent de méthodes d'authentification faibles, à suivre l'adoption de méthodes plus fortes comme l'authentification sans mot de passe, et à générer des rapports de conformité pour la gestion. Que vous ayez besoin d'une vérification rapide du statut pour quelques utilisateurs ou d'un reporting complet pour des milliers de comptes, ces techniques vous fournissent la visibilité nécessaire pour maintenir la sécurité et répondre aux exigences évolutives de la MFA de Microsoft.

Guide de mise en oeuvre

Procédure complète

01

Accéder au statut MFA via le centre d'administration Microsoft Entra

Commencez par naviguer vers le centre d'administration Microsoft Entra pour voir le statut MFA via l'interface graphique. Cette méthode offre une visibilité en temps réel sur les méthodes d'authentification des utilisateurs.

Ouvrez votre navigateur web et accédez à https://entra.microsoft.com. Connectez-vous avec votre compte administratif disposant des privilèges d'Administrateur d'authentification ou d'Administrateur global.

Dans le volet de navigation de gauche, développez Protection et sélectionnez Méthodes d'authentification. Cette section contient tous les rapports et options de configuration liés à l'authentification.

Cliquez sur Détails de l'enregistrement des utilisateurs pour accéder au tableau de bord complet du statut d'authentification. Cette vue vous montre des colonnes critiques, y compris Authentification multifactorielle capable, Méthode d'authentification multifactorielle par défaut, et Méthodes enregistrées.

Astuce pro : Utilisez les options de filtrage en haut pour vous concentrer sur des groupes d'utilisateurs ou des états d'authentification spécifiques. Vous pouvez filtrer par statut MFA capable, méthodes d'authentification spécifiques, ou rôles d'utilisateur pour affiner vos résultats.

Vérification : Vous devriez voir un tableau affichant tous les utilisateurs avec leur statut MFA. Recherchez les coches vertes dans la colonne "Authentification multifactorielle capable" pour identifier les utilisateurs qui ont correctement configuré MFA.

02

Installer et configurer le SDK Microsoft Graph PowerShell

Pour les rapports en masse et l'automatisation, vous aurez besoin du SDK Microsoft Graph PowerShell. Cela vous permet de récupérer de manière programmatique le statut MFA pour des centaines ou des milliers d'utilisateurs.

Ouvrez PowerShell en tant qu'administrateur et installez les modules requis :

Install-Module Microsoft.Graph -Repository PSGallery -Force
Install-Module Microsoft.Graph.Authentication -Force
Install-Module Microsoft.Graph.Users -Force
Install-Module Microsoft.Graph.Reports -Force

Après l'installation, importez les modules nécessaires pour votre session :

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Users
Import-Module Microsoft.Graph.Reports

Connectez-vous à Microsoft Graph avec les autorisations requises. Vous avez besoin de portées spécifiques pour lire les méthodes d'authentification des utilisateurs :

Write-Host "Connecting to Microsoft Graph..." -ForegroundColor Green
Connect-MgGraph -Scopes "User.Read.All", "UserAuthenticationMethod.Read.All", "AuditLog.Read.All"
Avertissement : La connexion ouvrira une fenêtre de navigateur pour l'authentification. Assurez-vous de vous connecter avec un compte disposant des privilèges administratifs nécessaires.

Vérification : Exécutez Get-MgContext pour confirmer que votre connexion est établie et vérifier quelles portées sont disponibles.

03

Interroger le statut MFA d'un utilisateur individuel

Avant d'exécuter des rapports en masse, testez votre connexion en vérifiant le statut MFA pour un seul utilisateur. Cela vous aide à comprendre la structure des données et à vérifier vos autorisations.

Récupérez toutes les méthodes d'authentification pour un utilisateur spécifique :

Get-MgUserAuthenticationMethod -UserId "user@yourdomain.com"

Pour filtrer les types spécifiques de méthodes d'authentification, utilisez la propriété OdataType. Par exemple, pour vérifier uniquement les méthodes d'authentification par téléphone :

Get-MgUserAuthenticationMethod -UserId "user@yourdomain.com" | Where-Object {$_.AdditionalProperties["@odata.type"] -eq "#microsoft.graph.phoneAuthenticationMethod"}

Vérifiez les enregistrements de l'application Microsoft Authenticator :

Get-MgUserAuthenticationMethod -UserId "user@yourdomain.com" | Where-Object {$_.AdditionalProperties["@odata.type"] -eq "#microsoft.graph.microsoftAuthenticatorAuthenticationMethod"}

La sortie vous montrera des informations détaillées sur chaque méthode d'authentification enregistrée, y compris quand elle a été enregistrée et son statut actuel.

Astuce pro : Enregistrez d'abord la sortie dans une variable : $userMethods = Get-MgUserAuthenticationMethod -UserId "user@domain.com", puis explorez la structure des données avec $userMethods | Format-List *

Vérification : La commande devrait retourner des objets de méthode d'authentification. Si vous obtenez un résultat vide, l'utilisateur n'a soit aucune méthode MFA configurée, soit vous n'avez pas les autorisations suffisantes.

04

Créer un script de rapport d'état MFA complet

Créez maintenant un script PowerShell qui génère un rapport complet sur le statut MFA pour tous les utilisateurs de votre locataire. Ce script traite chaque utilisateur et détermine leur capacité MFA en fonction des méthodes d'authentification enregistrées.

Créez un nouveau fichier de script PowerShell appelé Get-MFAStatus.ps1 avec le contenu suivant :

# Get-MFAStatus.ps1
# Rapport complet sur le statut MFA pour Microsoft Entra ID

param(
    [string]$ExportPath = "C:\Reports\MFA-Status-Report-$(Get-Date -Format 'yyyy-MM-dd-HHmm').csv"
)

# Importer les modules requis
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Users
Import-Module Microsoft.Graph.Reports

# Se connecter à Microsoft Graph
Write-Host "Connexion à Microsoft Graph..." -ForegroundColor Green
Connect-MgGraph -Scopes "User.Read.All", "UserAuthenticationMethod.Read.All", "AuditLog.Read.All"

# Initialiser le tableau des résultats
$results = @()

# Obtenir tous les utilisateurs du locataire
Write-Host "Récupération de la liste des utilisateurs..." -ForegroundColor Yellow
$users = Get-MgUser -All -Property DisplayName,UserPrincipalName,Id,AccountEnabled,CreatedDateTime

Write-Host "Traitement de $($users.Count) utilisateurs..." -ForegroundColor Yellow

foreach ($user in $users) {
    Write-Progress -Activity "Traitement des utilisateurs" -Status "Vérification de $($user.DisplayName)" -PercentComplete (($results.Count / $users.Count) * 100)

    try {
        # Obtenir les méthodes d'authentification pour chaque utilisateur
        $authMethods = Get-MgUserAuthenticationMethod -UserId $user.Id -ErrorAction SilentlyContinue

        # Déterminer la capacité MFA et les méthodes enregistrées
        $mfaCapable = $false
        $registeredMethods = @()
        $defaultMethod = "None"
        $strongMethods = 0

        if ($authMethods) {
            foreach ($method in $authMethods) {
                switch ($method.AdditionalProperties["@odata.type"]) {
                    "#microsoft.graph.microsoftAuthenticatorAuthenticationMethod" {
                        $registeredMethods += "Microsoft Authenticator"
                        $mfaCapable = $true
                        $strongMethods++
                    }
                    "#microsoft.graph.phoneAuthenticationMethod" {
                        $registeredMethods += "Phone"
                        $mfaCapable = $true
                        $strongMethods++
                    }
                    "#microsoft.graph.emailAuthenticationMethod" {
                        $registeredMethods += "Email"
                    }
                    "#microsoft.graph.fido2AuthenticationMethod" {
                        $registeredMethods += "FIDO2 Security Key"
                        $mfaCapable = $true
                        $strongMethods++
                    }
                    "#microsoft.graph.softwareOathAuthenticationMethod" {
                        $registeredMethods += "Software OATH Token"
                        $mfaCapable = $true
                        $strongMethods++
                    }
                    "#microsoft.graph.temporaryAccessPassAuthenticationMethod" {
                        $registeredMethods += "Temporary Access Pass"
                    }
                    "#microsoft.graph.windowsHelloForBusinessAuthenticationMethod" {
                        $registeredMethods += "Windows Hello for Business"
                        $mfaCapable = $true
                        $strongMethods++
                    }
                }
            }
        }

        # Déterminer la priorité de la méthode par défaut
        if ($registeredMethods -contains "Microsoft Authenticator") {
            $defaultMethod = "Microsoft Authenticator"
        } elseif ($registeredMethods -contains "FIDO2 Security Key") {
            $defaultMethod = "FIDO2 Security Key"
        } elseif ($registeredMethods -contains "Phone") {
            $defaultMethod = "Phone"
        } elseif ($registeredMethods -contains "Windows Hello for Business") {
            $defaultMethod = "Windows Hello for Business"
        }

        # Créer un objet résultat
        $result = [PSCustomObject]@{
            DisplayName = $user.DisplayName
            UserPrincipalName = $user.UserPrincipalName
            AccountEnabled = $user.AccountEnabled
            MFACapable = $mfaCapable
            StrongMethodCount = $strongMethods
            DefaultMFAMethod = $defaultMethod
            RegisteredMethods = ($registeredMethods -join "; ")
            MethodCount = $registeredMethods.Count
            UserCreated = $user.CreatedDateTime
            ProcessedDate = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
        }

        $results += $result
    }
    catch {
        Write-Warning "Échec du traitement de l'utilisateur $($user.DisplayName): $($_.Exception.Message)"
    }
}

# Créer le répertoire d'exportation s'il n'existe pas
$exportDir = Split-Path $ExportPath -Parent
if (!(Test-Path $exportDir)) {
    New-Item -ItemType Directory -Path $exportDir -Force
}

# Exporter les résultats en CSV
Write-Host "Exportation des résultats vers $ExportPath..." -ForegroundColor Green
$results | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8

# Afficher les statistiques de synthèse
Write-Host "\nRésumé du rapport de statut MFA:" -ForegroundColor Cyan
Write-Host "========================" -ForegroundColor Cyan
Write-Host "Nombre total d'utilisateurs traités : $($results.Count)" -ForegroundColor White
Write-Host "Utilisateurs capables de MFA : $(($results | Where-Object {$_.MFACapable -eq $true}).Count)" -ForegroundColor Green
Write-Host "Utilisateurs non-MFA : $(($results | Where-Object {$_.MFACapable -eq $false}).Count)" -ForegroundColor Red
Write-Host "Comptes désactivés : $(($results | Where-Object {$_.AccountEnabled -eq $false}).Count)" -ForegroundColor Yellow
Write-Host "Rapport enregistré à : $ExportPath" -ForegroundColor Cyan

# Déconnecter de Microsoft Graph
Disconnect-MgGraph

Exécutez le script depuis PowerShell :

.\Get-MFAStatus.ps1 -ExportPath "C:\Reports\MFA-Report.csv"
Avertissement : Pour les grands locataires (1000+ utilisateurs), ce script peut prendre 10-30 minutes pour se terminer. Exécutez-le en dehors des heures de travail pour éviter d'impacter d'autres tâches administratives.

Vérification : Vérifiez que le fichier CSV est créé à l'emplacement spécifié et contient des colonnes pour DisplayName, UserPrincipalName, MFACapable, et RegisteredMethods.

05

Analyser la conformité MFA à l'aide du filtrage avancé

Après avoir généré votre rapport de statut MFA, vous devez analyser les données pour identifier les lacunes de conformité et les risques de sécurité. Cette étape vous montre comment filtrer et interpréter les résultats efficacement.

Chargez votre fichier CSV exporté dans PowerShell pour l'analyse :

$mfaReport = Import-Csv -Path "C:\Reports\MFA-Report.csv"

# Afficher les utilisateurs sans MFA
Write-Host "Utilisateurs sans capacité MFA :" -ForegroundColor Red
$nonMFAUsers = $mfaReport | Where-Object {$_.MFACapable -eq "False" -and $_.AccountEnabled -eq "True"}
$nonMFAUsers | Select-Object DisplayName, UserPrincipalName, RegisteredMethods | Format-Table -AutoSize

# Montrer les utilisateurs avec uniquement des méthodes d'authentification faibles
Write-Host "\nUtilisateurs avec uniquement l'authentification par email :" -ForegroundColor Yellow
$emailOnlyUsers = $mfaReport | Where-Object {$_.RegisteredMethods -eq "Email" -and $_.AccountEnabled -eq "True"}
$emailOnlyUsers | Select-Object DisplayName, UserPrincipalName | Format-Table -AutoSize

# Afficher les utilisateurs avec des méthodes MFA fortes
Write-Host "\nUtilisateurs avec MFA fort (Authenticator/FIDO2) :" -ForegroundColor Green
$strongMFAUsers = $mfaReport | Where-Object {($_.RegisteredMethods -like "*Microsoft Authenticator*" -or $_.RegisteredMethods -like "*FIDO2*") -and $_.AccountEnabled -eq "True"}
Write-Host "Nombre : $($strongMFAUsers.Count)"

# Calculer le pourcentage de conformité
$totalActiveUsers = ($mfaReport | Where-Object {$_.AccountEnabled -eq "True"}).Count
$mfaCapableUsers = ($mfaReport | Where-Object {$_.MFACapable -eq "True" -and $_.AccountEnabled -eq "True"}).Count
$compliancePercentage = [math]::Round(($mfaCapableUsers / $totalActiveUsers) * 100, 2)

Write-Host "\nRésumé de la conformité MFA :" -ForegroundColor Cyan
Write-Host "Nombre total d'utilisateurs actifs : $totalActiveUsers"
Write-Host "Utilisateurs capables de MFA : $mfaCapableUsers"
Write-Host "Taux de conformité : $compliancePercentage%"

if ($compliancePercentage -lt 95) {
    Write-Host "AVERTISSEMENT : Conformité MFA inférieure à 95% - Action requise avant la date limite d'octobre 2026 !" -ForegroundColor Red
}

Créez un rapport ciblé pour les utilisateurs nécessitant une attention immédiate :

# Générer une liste d'actions prioritaires
$priorityUsers = $mfaReport | Where-Object {
    $_.AccountEnabled -eq "True" -and 
    ($_.MFACapable -eq "False" -or $_.RegisteredMethods -eq "Email")
} | Select-Object DisplayName, UserPrincipalName, RegisteredMethods, UserCreated

# Exporter la liste des priorités
$priorityUsers | Export-Csv -Path "C:\Reports\MFA-Priority-Actions.csv" -NoTypeInformation
Write-Host "Liste d'actions prioritaires exportée vers C:\Reports\MFA-Priority-Actions.csv" -ForegroundColor Yellow
Conseil pro : Configurez des rapports mensuels automatisés en programmant ce script comme une tâche Windows. Cela vous aide à suivre la progression de l'adoption MFA et à identifier les nouveaux utilisateurs nécessitant une configuration MFA.

Vérification : Votre analyse doit montrer des chiffres clairs pour les utilisateurs capables de MFA par rapport aux utilisateurs non-MFA, vous aidant à comprendre votre statut de conformité actuel par rapport à la date limite d'octobre 2026.

06

Utilisez le Centre d'administration Microsoft 365 pour un aperçu rapide de l'AMF

Le Centre d'administration Microsoft 365 offre une méthode alternative pour visualiser le statut MFA, particulièrement utile pour des vérifications rapides et des rapports exécutifs.

Accédez au Centre d'administration Microsoft 365 à l'adresse https://admin.microsoft.com et connectez-vous avec vos identifiants administratifs.

Dans le menu de navigation de gauche, développez Rapports et sélectionnez Utilisation. Recherchez les rapports liés à l'authentification dans les options disponibles.

Cliquez sur Méthodes d'authentification dans la section Sécurité. Ce rapport vous montre les statistiques d'enregistrement et d'utilisation pour diverses méthodes d'authentification à travers votre locataire.

Pour un statut MFA détaillé par utilisateur, accédez à UtilisateursUtilisateurs actifs dans le centre d'administration. Sélectionnez un utilisateur et cliquez sur son profil pour voir ses méthodes d'authentification dans l'onglet Compte.

Astuce pro : Utilisez la fonction "Exporter les utilisateurs" dans la section Utilisateurs actifs pour obtenir une exportation CSV basique qui inclut certains champs liés au MFA, bien qu'elle soit moins complète que la méthode PowerShell.

Pour accéder aux paramètres MFA par utilisateur hérités (toujours disponibles en 2026), allez à UtilisateursUtilisateurs actifs, puis cliquez sur Authentification multifacteur en haut de la liste des utilisateurs. Cela ouvre l'interface de gestion MFA classique.

Dans l'interface MFA par utilisateur, vous pouvez voir trois niveaux de statut :

  • Désactivé : L'utilisateur n'a pas d'application MFA
  • Activé : L'utilisateur doit s'inscrire au MFA lors de la prochaine connexion
  • Appliqué : L'utilisateur doit utiliser le MFA pour toutes les connexions

Vérification : Vous devriez voir un aperçu clair des taux d'enregistrement MFA et pouvez approfondir les détails individuels des utilisateurs. Les rapports ici complètent l'analyse détaillée PowerShell des étapes précédentes.

07

Configurer la surveillance et les alertes MFA automatisées

Établissez une surveillance continue pour suivre l'adoption de l'authentification multifacteur (MFA) et identifier les utilisateurs qui désactivent ou suppriment leurs méthodes d'authentification. Cela est crucial pour maintenir la posture de sécurité à l'approche des échéances de conformité de 2026.

Créez un script de surveillance pouvant être programmé pour s'exécuter chaque semaine :

# MFA-Monitor.ps1
# Surveillance hebdomadaire du statut MFA avec alertes par email

param(
    [string]$SMTPServer = "smtp.office365.com",
    [string]$From = "mfa-monitor@yourdomain.com",
    [string]$To = "security-team@yourdomain.com",
    [string]$ReportPath = "C:\Reports\Weekly-MFA-Monitor.csv"
)

# Connexion à Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All", "UserAuthenticationMethod.Read.All" -NoWelcome

# Obtenir le statut actuel de MFA
$users = Get-MgUser -All -Property DisplayName,UserPrincipalName,Id,AccountEnabled,CreatedDateTime
$currentResults = @()

foreach ($user in $users) {
    if ($user.AccountEnabled) {
        $authMethods = Get-MgUserAuthenticationMethod -UserId $user.Id -ErrorAction SilentlyContinue
        $mfaCapable = $false
        $methodCount = 0
        
        if ($authMethods) {
            foreach ($method in $authMethods) {
                $methodType = $method.AdditionalProperties["@odata.type"]
                if ($methodType -in @(
                    "#microsoft.graph.microsoftAuthenticatorAuthenticationMethod",
                    "#microsoft.graph.phoneAuthenticationMethod",
                    "#microsoft.graph.fido2AuthenticationMethod",
                    "#microsoft.graph.softwareOathAuthenticationMethod",
                    "#microsoft.graph.windowsHelloForBusinessAuthenticationMethod"
                )) {
                    $mfaCapable = $true
                    $methodCount++
                }
            }
        }
        
        $currentResults += [PSCustomObject]@{
            UserPrincipalName = $user.UserPrincipalName
            DisplayName = $user.DisplayName
            MFACapable = $mfaCapable
            MethodCount = $methodCount
            CheckDate = Get-Date -Format "yyyy-MM-dd"
        }
    }
}

# Comparer avec les résultats de la semaine précédente si disponibles
$previousReportPath = $ReportPath -replace "\.csv$", "-Previous.csv"
$newIssues = @()
$resolvedIssues = @()

if (Test-Path $previousReportPath) {
    $previousResults = Import-Csv $previousReportPath
    
    # Trouver les utilisateurs qui ont perdu la capacité MFA
    foreach ($current in $currentResults) {
        $previous = $previousResults | Where-Object {$_.UserPrincipalName -eq $current.UserPrincipalName}
        if ($previous -and $previous.MFACapable -eq "True" -and $current.MFACapable -eq $false) {
            $newIssues += "$($current.DisplayName) ($($current.UserPrincipalName)) a perdu la capacité MFA"
        }
    }
    
    # Trouver les utilisateurs qui ont acquis la capacité MFA
    foreach ($current in $currentResults) {
        $previous = $previousResults | Where-Object {$_.UserPrincipalName -eq $current.UserPrincipalName}
        if ($previous -and $previous.MFACapable -eq "False" -and $current.MFACapable -eq $true) {
            $resolvedIssues += "$($current.DisplayName) ($($current.UserPrincipalName)) a activé MFA"
        }
    }
}

# Exporter les résultats actuels
$currentResults | Export-Csv -Path $ReportPath -NoTypeInformation

# Archiver les résultats précédents
if (Test-Path $ReportPath) {
    Copy-Item $ReportPath $previousReportPath -Force
}

# Envoyer une alerte par email s'il y a des problèmes
if ($newIssues.Count -gt 0 -or $resolvedIssues.Count -gt 0) {
    $emailBody = @"
Mise à jour hebdomadaire du statut MFA
========================

Nouveaux problèmes MFA ($($newIssues.Count)):
$($newIssues -join "`n")

Problèmes résolus ($($resolvedIssues.Count)):
$($resolvedIssues -join "`n")

Statistiques actuelles:
Total des utilisateurs actifs: $($currentResults.Count)
Capables MFA: $(($currentResults | Where-Object {$_.MFACapable -eq $true}).Count)
Utilisateurs non-MFA: $(($currentResults | Where-Object {$_.MFACapable -eq $false}).Count)

Rapport généré: $(Get-Date)
"@

    # Envoyer l'email (nécessite un SMTP configuré)
    try {
        Send-MailMessage -SmtpServer $SMTPServer -From $From -To $To -Subject "Alerte hebdomadaire du statut MFA" -Body $emailBody
        Write-Host "Email d'alerte envoyé avec succès" -ForegroundColor Green
    }
    catch {
        Write-Warning "Échec de l'envoi de l'alerte par email: $($_.Exception.Message)"
    }
}

Disconnect-MgGraph

Programmez ce script pour s'exécuter chaque semaine à l'aide du Planificateur de tâches Windows :

# Créer une tâche planifiée pour la surveillance hebdomadaire de MFA
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MFA-Monitor.ps1"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Monday -At 9:00AM
$settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount

Register-ScheduledTask -TaskName "Surveillance hebdomadaire du statut MFA" -Action $action -Trigger $trigger -Settings $settings -Principal $principal
Avertissement : N'oubliez pas que la date limite d'octobre 2026 pour l'application de MFA sur le portail Azure approche. Les utilisateurs sans MFA perdront l'accès aux ressources Azure, donc une surveillance proactive est essentielle.

Vérification : Testez d'abord le script de surveillance manuellement, puis vérifiez que la tâche planifiée apparaît dans le Planificateur de tâches et s'exécute avec succès selon le calendrier désigné.

Questions Fréquentes

Quelle est la différence entre MFA capable et MFA appliqué dans Microsoft Entra ID ?+
Capable MFA signifie qu'un utilisateur a enregistré au moins une méthode d'authentification forte (comme Microsoft Authenticator ou téléphone) mais peut ne pas être obligé de l'utiliser. MFA appliqué signifie que l'utilisateur doit effectuer une authentification multi-facteurs pour chaque connexion. Avec l'approche des échéances de 2026, Microsoft se dirige vers une application automatique pour tout accès au portail Azure, indépendamment des paramètres par utilisateur.
Puis-je vérifier le statut MFA pour les utilisateurs invités dans mon locataire Microsoft Entra ID ?+
Oui, les utilisateurs invités apparaissent dans les rapports d'état MFA, mais leurs méthodes d'authentification sont gérées par leur locataire d'origine. Les scripts PowerShell de ce tutoriel afficheront les utilisateurs invités, mais vous ne pouvez pas modifier leurs paramètres MFA. Les utilisateurs invités doivent configurer MFA dans le locataire de leur propre organisation pour répondre à vos exigences d'accès conditionnel.
Pourquoi mon script PowerShell affiche-t-il des numéros MFA différents de ceux du centre d'administration ?+
Les écarts se produisent généralement en raison de différences de synchronisation des données ou de critères de filtrage différents. Le centre d'administration peut mettre en cache les données pour des raisons de performance, tandis que PowerShell interroge les données en temps réel de l'API Graph. De plus, certains rapports incluent des comptes désactivés tandis que d'autres les filtrent. Vérifiez toujours que vos critères de filtrage correspondent entre les méthodes.
Que se passe-t-il pour les utilisateurs sans MFA après la date limite du portail Azure d'octobre 2026 ?+
À partir du 1er octobre 2026, les utilisateurs sans MFA seront bloqués pour accéder au portail Azure, à Azure CLI, à Azure PowerShell et à l'application mobile Azure. Ils recevront des invites pour s'inscrire au MFA mais ne pourront pas continuer tant qu'ils n'auront pas terminé l'inscription. Cette application est automatique et ne peut pas être désactivée, rendant le déploiement proactif du MFA essentiel.
À quelle fréquence devrais-je exécuter des rapports de statut MFA pour mon organisation ?+
Pour les organisations approchant des échéances de 2026, une surveillance hebdomadaire est recommandée pour suivre les progrès d'adoption et identifier les utilisateurs qui suppriment des méthodes d'authentification. Des rapports mensuels sont suffisants pour la maintenance après avoir atteint la conformité totale. Configurez une surveillance automatisée à l'aide des scripts PowerShell fournis pour détecter immédiatement les changements et garantir une conformité continue.
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#mfa#entra-id#powershell

Intelligence Complémentaire

Approfondissez vos connaissances

Comment désactiver la synchronisation Active Directory dans Microsoft Entra ID
tutorial
Cloud Computing

Comment désactiver la synchronisation Active Directory dans Microsoft Entra ID

Explorer
Comment importer en masse des utilisateurs Active Directory à partir d'un CSV en utilisant PowerShell
tutorial
DevOps

Comment importer en masse des utilisateurs Active Directory à partir d'un CSV en utilisant PowerShell

Explorer
Comment surveiller la santé d'Active Directory avec des scripts PowerShell
tutorial
Cybersecurity

Comment surveiller la santé d'Active Directory avec des scripts PowerShell

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...