Aller au contenu

Authentification à deux facteurs (MFA)

L'authentification à deux facteurs a pour but de rehausser la sécurité des comptes USherbrooke. Cette double vérification se fait notamment pour tous les services Office 365 et permet que votre compte demeure sécurisé dans le cas où votre mot de passe serait volé ou découvert.

Ainsi une personne mal intentionnée, qui connaîtrait votre mot de passe et votre CIP, ne pourra pas se connecter à votre compte puisqu'elle ne possède pas le deuxième facteur.

Pour qui?

L'authentification à deux facteurs est :

  • obligatoire pour tous les membres du personnel;
  • optionnelle et recommandée pour les autres membres de la communauté universitaire.

Comment l'obtenir?

  1. Prenez connaissance des méthodes possibles pour la vérification du deuxième facteur d'authentification en consultant la page Comment ça fonctionne?.
  2. Accédez à la page Web Mon identité.
  3. Dans la section Authentification à deux facteurs, cliquez sur le bouton Activer l'authentification à deux facteurs.
  4. Une fenêtre apparaîtra, cliquez sur le bouton Activer.
  5.  Vous serez dirigé vers une page de Microsoft pour configurer vos options pour la deuxième authentification. Sélectionnez les méthodes que vous souhaiterez utiliser en suivant la procédure de configuration.

Il est recommandé de configurer vos options dès l'activation de l'authentification à deux facteurs. Vous bénéficiez toutefois d'un délai de 14 jours pour le faire.

Foire aux questions

Solutions aux problèmes les plus fréquemment rencontrés

Ce problème est dû aux comportements des applications natives du iPhone pour la gestion des courriels, des tâches et des notes.

Pour éviter de rencontrer ce problème, la solution est d'installer la version mobile pour iOS de Microsoft OutlookMicrosoft To Do et Microsoft OneNote.

Assurez-vous également de supprimer la configuration de votre compte USherbrooke dans les paramètres de votre iPhone en suivant les étapes ci-dessous :

  1.  Dans les Réglages, sélectionner Mots de passe et comptes.
  2. Sélectionnez votre compte USherbrooke.
  3. Au bas de l'écran, cliquez sur Supprimer le compte.

Si vous recevez une demande d'authentification non prévue, commencez par vérifier si une application reliée à votre compte Office365/UdeS (ex. Outlook, Teams, etc.) est ouverte sur un de vos appareils (ordinateur, cellulaire, tablette, etc.) et demande le renouvellement de votre authentification. Si c'est le cas, vous pouvez approuver la connexion.

Sachez que les applications qui requièrent l'authentification à deux facteurs reçoivent des jetons de connexion d'une durée de vie limitée. Ainsi, des requêtes sont faites périodiquement pour approuver la connexion à nouveau, d'où les demandes ponctuelles, non initiées directement par vous.

À noter que chaque instance de chaque logiciel a des jetons différents, ce qui veut dire que si Teams est ouvert sur votre cellulaire et sur votre ordinateur, deux validations différentes seront requises.

Dans le cas où vous n'avez pas tenté de vous connecter à un service informatique, vous devez refuser les demandes de connexion par le bouton Refuser ou en raccrochant tout simplement.

Pour savoir d’où proviennent ces demandes de connexion, accédez à la page Web Mon Identité et dans la section Authentification à deux facteurs, cliquez sur le bouton Mes dernières connexions. Vous obtiendrez de l’information sur l’origine de la dernière connexion infructueuse. Il se peut qu’une demande de connexion provienne d’un attaquant qui connait votre mot de passe ou encore d’un ordinateur qui n’a pas été fermé et qui tente de se reconnecter aux applications déjà ouvertes.

Dans une telle circonstance, si vous choisissez de déclarer cet événement comme une fraude par l’option de l’application mobile ou par la touche « 0 » lors d’un appel téléphonique, l’accès à votre compte sera complètement bloqué pour une durée de 30 minutes. Des investigations seront effectuées et un membre de l'équipe de soutien informatique vous contactera en cas d’activités suspectes.

Afin de sécuriser davantage l'accès à l'application Microsoft Authenticator, celle-ci est verrouillée par défaut. Ainsi pour l'ouvrir ou autoriser une demande d'authentification, il vous faut utiliser le même moyen de connexion que lorsque vous accédez à votre appareil mobile (code secret, Touch ID, etc.).

Bien qu'il soit suggéré de conserver cette sécurité supplémentaire, il est possible de désactiver cette option de verrou. Pour ce faire : 

  1. Ouvrez l'application Microsoft Authenticator.
  2. Déverrouillez l'application.
  3. Ouvrez le menu à partir du bouton situé en haut à gauche.
  4. Cliquez sur Paramètres.
  5. Désactivez la dernière option dans la section Sécurité, nommée Verrou d'application.

Vous devrez vous authentifier à nouveau pour confirmer la désactivation.

Général

  • Tous les services Office 365. Voici une liste des principaux :
    • Connexion à votre adresse de courriel @USherbrooke.ca que ce soit par :
      • Outlook
      • Application mobile Outlook
      • Mail pour iPhone
      • Interface Web Office 365 (messagerie.usherbrooke.ca)
    • Produits de la suite Office (Word, Excel, PowerPoint, OneNote, etc.)
    • OneDrive
    • Teams
    • Interface Web Office 365
  • Le réseau privé virtuel (RPV)

Lors de l'installation de la suite Office 365 sur votre poste ou lors de l'utilisation de Microsoft Edge pour accéder à un service Office 365, il est possible que la fenêtre ci-contre se soit affichée à l'écran.

En cliquant sur le bouton OK, vous avez alors activé l'authentification à deux facteurs sur votre compte. Pour ne pas activer celle-ci lorsque cette fenêtre s'affiche, il faut cliquer sur le lien Non, se connecter à cette application uniquement.

Lorsque votre ordinateur a été enregistré avec Azure AD, il est possible que l'authentification à deux facteurs ait été forcée et impossible à désactiver. Cette situation a été créée lorsque vous avez cliqué sur OK à la question «Restez connecté à toutes vos applications» (voir la FAQ Pourquoi l'authentification à deux facteurs s'est-elle activée automatiquement sur mon compte?

Une fois votre ordinateur enregistré avec Azure AD, l'authentification à deux facteurs devient obligatoire pour des raisons de sécurité. Si vous passez d’un statut d’étudiant actif à étudiant diplômé, vos licences Office365 seront remplacées avec des licences «ALUMNI»  qui vous permettront de conserver votre boîte de courriel, mais vous perdrez les fonctionnalités de l’authentification à deux facteurs. Cependant, si vous avez un appareil enregistré avec Azure AD, vous ne serez plus capable de vous connecter à votre compte, et ce, même si vous avez désactivé l’authentification à deux facteurs via la page monIdentite

Pour déconnecter votre ordinateur de Microsoft Azure AD, veuillez suivre les étapes suivantes :

  • Allez dans les paramètres de votre ordinateur -> Comptes -> Accès Professionnel ou Scolaire.
  • Cliquez sur la ressource en question puis sur Déconnecter.
  • Une fenêtre de confirmation s’affiche. Cliquez sur Oui après en avoir pris connaissance.

Configuration

Accédez à la page Web Mon identité et dans la section Authentification à deux facteurs, cliquez sur le bouton Modifier mes options.

Pour modifier votre option préférée :

  1. Sélectionnez la nouvelle option à utiliser dans le menu déroulant sous Quelle est votre option préférée.
  2. Cliquez sur le bouton Enregistrer au bas de la fenêtre.
  3. Une vérification du bon fonctionnement de la nouvelle option sélectionnée est alors requise, cliquez sur le bouton Vérifier l'option préférée.
  4. Exécutez les étapes de vérification, selon l'option choisie.
  5. Une fois les mises à jour réussies, cliquez sur le bouton Fermer.

Pour modifier les autres options, référez-vous à la section Configurer vos méthodes de vérification alternatives de la procédure de configuration.

Vous pouvez choisir comme option l'appel sur une ligne de téléphone fixe (bureau, domicile, etc.).

Sachez qu'il est possible de configurer les appels que vous recevez à votre poste téléphonique de l'Université sur votre ordinateur. Pour en savoir plus, consultez le service Téléphone logiciel.

Vous pouvez également choisir l'option d'utiliser un code de vérification à partir d'un logiciel installé sur votre ordinateur (1Password ou OTP Manager).

Le numéro de téléphone de bureau qui figure dans la page de configuration de l'authentification à deux facteurs (accessible à l'adresse https://www.usherbrooke.ca/services-informatiques/monidentite-mfa) est en lien avec le numéro qui apparait dans le bottin de l'Université de Sherbrooke. Si cette information est incomplète, vous devrez revoir vos coordonnées dans votre dossier employé. Un délai pouvant aller jusqu'à une heure peut être nécessaire pour que les systèmes synchronisent l'information vers la page de configuration de l'authentification à deux facteurs.

Le code d'appel '+1' est un code commun pour les appels au Canada et aux États-Unis. Bien que la région "Canada (+1)" est spécifiée, après une sauvegarde des paramètres, l'interface réaffiche les États-Unis.

Ce bogue dans l'interface ne fait pas de différence sur le fonctionnement et l'utilisation de l'authentification à deux facteurs.

Dans certains cas, les cellulaires Android doivent être redémarrés après l'installation de l'application Microsoft Authenticator. Dans le cas contraire, la phase de configuration peut échouer par une erreur inattendue. Le symptôme se produit à la suite de la saisie du code QR avec la caméra du cellulaire pour jumeler l'appareil avec le compte. Un long délai se produit pour la validation et le jumelage se termine alors en erreur. Après avoir fait un redémarrage du cellulaire, le jumelage de l'application cellulaire avec le compte se déroule normalement.

Une procédure détaillée est disponible pour configurer adéquatement vos options pour le deuxième facteur d'authentification afin qu'il utilise l'application mobile de votre nouveau téléphone intelligent.

Non, l'Université n'offre pas cette option.

Authentification

  • Lorsque la fenêtre pour approuver la connexion s'affiche, cliquez sur Connectez-vous d'une autre façon.
  • Une fenêtre s'affichera avec les autres options que vous avez configurées (voir image 2).
  • Sélectionnez l'option à utiliser.

Les autres méthodes de vérification proposées sont seulement celles qui ont été configurées. Il est donc important de configurer plus d'une option si possible

Si la demande d'approbation ne s'affiche pas sur votre téléphone intelligent, vous pouvez indiquer le code affiché dans votre application mobile manuellement.

Pour ce faire :

  1. Dans la fenêtre «Approuver une demande de connexion», cliquez sur le lien Connectez-vous d'une autre façon.
  2. Sélectionnez Utiliser un code de vérification de mon appli Microsoft Authenticator.
  3. Entrez le code affiché dans l'application mobile dans le champ Code et cliquez sur le bouton Vérifier.

L'approbation de connexion se fait par application et par appareil.

Ainsi, si vous avez coché Ne plus poser la question pour une période de 14 jours au moment de vous connectez à Office 365 avec un navigateur Internet, vous n'aurez pas à fournir votre 2e facteur pendant cette durée avec ce même navigateur sur cet appareil. Toutefois, une connexion à Office365 sur un autre ordinateur ou à partir d'un autre navigateur ou application, par exemple Teams, vous demandera d’approuver à nouveau la connexion avec votre 2e facteur.

Il est à noter que l'information permettant de ne pas redemander le 2e facteur avant une période de 14 jours est conservé dans un fichier cookie. Ainsi, si les fichiers cookies de votre navigateur sont supprimés, votre 2e facteur vous sera demandé à nouveau.

L'authentification à deux facteurs signifie qu'une autre méthode que le mot de passe doit être utilisée pour réussir une connexion valide à son compte. Elle ne signifie pas qu'elle doit se faire obligatoirement à partir d'appareils différents.

Accédez à la page Web Mon identité et dans la section Authentification à deux facteurs, cliquez sur le bouton Mes dernières connexions.

Des paramètres du pare-feu de l'antivirus McAfee doivent être modifiés pour pouvoir se connecter au RPV.

Pour modifier ces paramètres, voici les étapes à suivre :

  1. Cliquer sur l'icône de l'Antivirus McAfee, un menu s'affichera.
  2. Sélectionner Modifier les paramètres > Pare-feu.
  3. Cliquer sur Connexion internet pour les programmes.
  4. Modifier les paramètres des programmes commençant par Cisco Any Connect, principalement Cisco AnyConnect Web Helper. Pour ce faire :
    1. Trier les programmes en ordre alphabétique en cliquant deux fois sur le titre de la colonne Programme.
    2. Sélectionner le programme à modifier (Cisco AnyConnect Web Helper pour le premier).
    3. Défiler jusqu'au bas de la page et cliquer sur le bouton Modifier.
    4. Pour l'option Accès : Entrant et sortant, sélectionner Exécuter sur tous les appareils et cliquer sur Enregistrer.
    5. Tenter la connexion au RPV, si ça ne fonctionne pas, refaire ces quatre étapes pour les programmes Cisco AnyConnect Secure Mobility Client Downloader et Cisco AnyConnect User Interface.
  5. Une fois les paramètres des programmes modifiés, se connecter au RPV, la connexion devrait être fonctionnelle. Si ce n'est pas le cas, redémarrer l'ordinateur.