Office 365 : synchroniser l’option « L’utilisateur devra changer le mot de passe »
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment permettre le changement de mot de passe depuis Office 365 pour les utilisateurs Azure AD synchronisés depuis l'Active Directory, en activant la synchronisation de l'attribut "L'utilisateur devra changer le mot de passe".
Les infrastructures hybrides, avec d'un côté l'Active Directory local et de l'autre Office 365 avec l'Azure AD sont courantes. La synchronisation des objets, notamment les utilisateurs, est effectuée au travers d'Azure AD Connect. De nombreux attributs sont synchronisés de l'Active Directory local vers Azure AD (Office 365) : le nom, le prénom, l'adresse e-mail, la fonction, le numéro de téléphone, etc....
Si vous cochez l'option "L'utilisateur devra changer le mot de passe" sur un compte de l'Active Directory, cela signifie qu'à la prochaine ouverture de session, l'utilisateur devra définir un nouveau mot de passe. Le problème, c'est que s'il ouvre sa session sur Office 365, il obtiendra un message d'erreur lui indiquant que le mot de passe est incorrect (même si le mot de passe est correct). En fait, c'est à cause de l'option "L'utilisateur devra changer le mot de passe", car l'utilisateur doit changer son mot de passe, mais Office 365 n'en est pas capable.
Concrètement, vous obtenez le message d'erreur : "Votre compte ou mot de passe est incorrect. Si vous avez oublié votre mot de passe, réinitialisez-le maintenant."
Dans ce cas, l'utilisateur doit ouvrir une session sur un poste Windows membre du domaine Active Directory afin de pouvoir définir son nouveau mot de passe. Comment faire si l'on veut que l'utilisateur puisse définir son nouveau mot de passe depuis Office 365 ? C'est ce que nous allons voir dans ce tutoriel.
II. Prérequis
Pour que cela fonctionne, vous devez respecter plusieurs prérequis :
- Activer la synchronisation de l'attribut "pwdLastSet" correspondant à l'option "L'utilisateur devra changer le mot de passe" dans Azure AD Connect
- Activer la réécriture du mot de passe dans Azure AD Connect
- Activer la réinitialisation du mot de passe en libre-service sur les utilisateurs (ce qui nécessite une licence avec cette fonction, comme l'Azure AD Premium P1)
Avertissement : à mon sens, la mise en place de cette fonctionnalité implique que le mot de passe temporaire définit à l'utilisateur, en attendant qu'il le change, soit suffisamment complexe ! Si vous mettez "Password" par défaut en attendant que l'utilisateur le modifie, c'est un gros risque, car quelqu'un pourrait facilement le deviner et se connecter au compte de l'utilisateur depuis l'extérieur via Office 365.
Maintenant, nous allons voir dans la pratique comment mettre en place ces prérequis.
III. Synchroniser "L'utilisateur devra changer le mot de passe"
Afin qu'Azure AD Connect synchronise l'option "L'utilisateur devra changer le mot de passe", nous devons activer un paramètre supplémentaire au sein de l'outil de synchronisation.
Cette modification s'effectue sur le serveur Azure AD Connect à partir d'une console PowerShell. Commencez par exécuter la commande suivante (elle récupère seulement l'état actuel de votre configuration) :
Get-ADSyncAADCompanyFeature
L'option "ForcePasswordChangeOnLogOn" sera certainement définie sur "False", car c'est la configuration par défaut. Nous devons la basculer sur "True" pour activer la synchronisation de l'attribut. Pour cela, exécutez la commande PowerShell suivante :
Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true
Voici ce que ça donne sur mon infra de test :
IV. Activer la réécriture du mot de passe dans Azure AD Connect
Sur votre serveur Azure AD Connect, ouvrez l'exécutable du même nom, puis cliquez sur le bouton "Configurer". Ensuite, dans la liste choisissez "Personnalisation des options de synchronisation" et vous devrez alors vous authentifier.
Au sein des fonctionnalités facultatives, cochez l'option "Réécriture du mot de passe" si ce n'est pas déjà coché.
Cliquez sur "Suivant" et validez cette nouvelle configuration.
V. Réinitialisation du mot de passe en libre-service
Vous devez activer la fonction de réinitialisation du mot de passe en libre-service (SSPR), car c'est un prérequis côté Microsoft. Pour cela, je vous invite à consulter mon tutoriel à ce sujet, cela m'évitera de me répéter inutilement.
VI. Tester
Maintenant que nous respectons tous les prérequis, nous allons pouvoir tester. Ce qui nécessite de cocher l'option "L'utilisateur devra changer le mot de passe" sur un compte de l'Active Directory synchronisé sur Office 365. Ensuite, sur le serveur Azure AD Connect, on va forcer une synchronisation :
Start-ADSyncSyncCycle -PolicyType Delta
Ensuite, il faut ouvrir une page de connexion à Office 365 (portal.office.com), renseigner l'adresse e-mail, puis le mot de passe et cliquer sur "Se connecter".
À la place du message d'erreur que l'on avait toute à l'heure, désormais l'étape "Mettre à jour votre mot de passe" s'affiche. Il ne reste plus qu'à ressaisir le mot de passe actuel, puis le nouveau par deux fois afin de le changer !
Cliquez sur "Se connecter" lorsque c'est fait. Si c'est la première connexion de l'utilisateur, il devra définir son numéro de téléphone ou e-mail de secours pour la réinitialisation du mot de passe en libre-service. Pendant ce temps, son nouveau mot de passe sera réécrit dans l'Active Directory local afin qu'il puisse l'utiliser également pour se connecter sur un poste membre du domaine Active Directory.
Hello,
Faut-il une licence plus haute qu’une 365 Standard?
Hello David,
Il faut une licence Azure AD Premium P1 (ou une qui l’intègre) donc il faut quand même un certain niveau de licence.
A+
Florian