En tant qu'administrateur, vous pouvez appliquer des règles de mot de passe pour protéger les comptes Google gérés des utilisateurs et répondre aux exigences de conformité de votre organisation. Vous pouvez également contrôler le niveau de sécurité des mots de passe utilisateur afin de repérer ceux qui ne sont pas suffisamment sécurisés.
Important : Si vous disposez d'un ancien profil SSO et qu'il est activé pour votre organisation, veuillez noter que les règles de mot de passe ne s'appliqueront à aucun de vos utilisateurs. Pour les appliquer et pour vous assurer que vos utilisateurs respectent des exigences de sécurité spécifiques, vous devez désactiver votre ancien profil SSO et migrer vers les profils SSO. Pour en savoir plus, consultez Migrer de l'ancien SSO vers les profils SSO.
Contribuer à sécuriser les comptes utilisateur
- Exigez un mot de passe sécurisé : vous pouvez exiger que les utilisateurs ayant défini un mot de passe peu sécurisé le modifient. Vous pouvez également exiger que les mots de passe disposent d'un nombre minimal de caractères.
- Empêchez les utilisateurs de réutiliser d'anciens mots de passe.
- Expliquez l'importance des mots de passe sécurisés : pour aider les utilisateurs à créer des mots de passe sécurisés, communiquez-leur ces conseils.
Avant de commencer
Lorsque les règles de mots de passe ne s'appliquent pas
- Google ne peut pas appliquer d'exigences de longueur et de niveau de sécurité aux mots de passe définis à l'aide d'une méthode de hachage (par exemple, les mots de passe créés avec l'outil d'importation groupée d'utilisateurs, l'API Directory, ou des outils de synchronisation comme Password Sync ou Google Cloud Directory Sync. Pour en savoir plus, consultez le SDK Admin Google Workspace ou À propos de Password Sync.
- Les exigences de longueur et de niveau de sécurité des mots de passe ne s'appliquent pas aux mots de passe utilisateur que vous réinitialisez manuellement. Si vous réinitialisez manuellement un mot de passe, assurez-vous de cocher la case Inviter l'utilisateur à modifier son mot de passe à la connexion.
- Les règles de mot de passe que vous configurez ne s'appliquent pas lorsque les utilisateurs s'authentifient par le biais d'un fournisseur d'identité tiers (IdP) à l'aide de SAML ou d'OIDC.
Conditions pour qu'un mot de passe soit sécurisé
Si vous appliquez des règles de mots de passe sécurisés, Google se sert d'un algorithme d'évaluation du niveau de sécurité du mot de passe pour s'assurer des conditions suivantes :
- Le caractère aléatoire du mot de passe doit être élevé, ce que l'on appelle entropie du mot de passe. Pour cela, choisissez une longue chaîne de caractères de types différents, comme des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Remarque : Il n'est pas nécessaire qu'un mot de passe sécurisé contienne un nombre précis de caractères d'un certain type.
- Il ne doit pas s'agir d'un mot de passe peu sécurisé courant, comme "123456" ou "motdepasse123".
- Il ne doit pas être facile à deviner, comme les mots ou expressions simples, ni être identique au nom d'utilisateur.
- Il ne doit pas être compromis, c'est-à-dire qu'il ne doit figurer dans aucune base de données de comptes piratés.
Fonctionnement de l'expiration du mot de passe
L'expiration du mot de passe est désactivée par défaut, car les recherches ont montré qu'elle avait peu d'impact positif sur la sécurité. Vous pouvez définir l'expiration du mot de passe des utilisateurs après un certain nombre de jours (par exemple, 90 ou 180 jours) si des raisons de conformité l'exigent.
L'expiration du mot de passe n'est appliquée qu'aux connexions aux applications basées sur le navigateur. Elle ne s'applique pas aux utilisateurs qui utilisent uniquement des téléphones ou qui sont connectés à l'aide d'applications authentifiées par OAuth.
Alertes de mot de passe
Si vous définissez un délai d'expiration du mot de passe, les utilisateurs reçoivent une alerte pop-up (mais aucun rappel par e-mail) dans leurs services Google, comme Gmail et Agenda, 30 jours avant l'expiration de leur mot de passe. Ils peuvent alors modifier le mot de passe ou fermer l'alerte. Si un utilisateur ne change pas son mot de passe, l'alerte s'affiche lors de sa prochaine connexion à son compte. L'alerte cesse de s'afficher après que l'utilisateur l'a fermée trois fois. Toutefois, une fois que le mot de passe aura expiré, l'utilisateur devra le modifier lors de sa prochaine connexion.
Délai de modification du mot de passe utilisateur
Lorsque vous configurez une règle d'expiration du mot de passe pour la première fois, certains utilisateurs peuvent être invités à modifier leur mot de passe immédiatement, tandis que d'autres n'auront pas besoin de le faire tout de suite. Exemple :
- Si vous avez configuré une règle d'expiration de 90 jours et qu'un utilisateur a modifié son mot de passe il y a 100 jours, celui-ci expire dès que vous configurez la règle. L'utilisateur sera invité à modifier son mot de passe lors de sa prochaine tentative de connexion à son compte.
- Si vous avez configuré une règle d'expiration de 90 jours et qu'un utilisateur a modifié son mot de passe il y a 30 jours, celui-ci n'a pas encore expiré. Au bout de 60 jours, l'utilisateur sera invité à modifier son mot de passe lors de sa prochaine tentative de connexion.
Définir le niveau de sécurité du mot de passe
-
Dans la console d'administration Google, accédez à Menu
Sécurité
Authentification
Gestion des mots de passe.Le droit d'administrateur Paramètres de sécurité est requis.
Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir les règles de mot de passe.
Pour les définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Sinon, sélectionnez une autre organisation pour définir ses paramètres. Par défaut, une organisation hérite des paramètres de son parent.
Dans la section Niveau de sécurité, cochez l'option Appliquer un mot de passe sécurisé.
En savoir plus sur les mots de passe sécurisés
Dans la section Longueur, saisissez une longueur minimale et maximale pour les mots de passe de vos utilisateurs. Le mot de passe doit comprendre entre 8 et 100 caractères.
(Facultatif) Pour obliger les utilisateurs à modifier leur mot de passe, cochez l'option Appliquer les règles relatives aux mots de passe lors de la prochaine connexion.
Si vous n'activez pas cette option, les utilisateurs dont le mot de passe est peu sécurisé pourront continuer à accéder aux services Google de votre organisation jusqu'à ce qu'ils décident de le modifier.
(Facultatif) Pour autoriser les utilisateurs à réutiliser un ancien mot de passe, cochez l'option Autoriser la réutilisation des mots de passe.
Vous ne pouvez pas configurer l'historique de mots de passe que Google passe en revue pour empêcher leur réutilisation.
Dans la section Expiration, sélectionnez le délai au bout duquel les mots de passe expireront.
Remarque : Si un compte utilisateur a ajouté un utilisateur délégué, celui-ci pourra toujours accéder au compte, même si le mot de passe a expiré. Pour empêcher un accès permanent, réinitialisez le mot de passe du compte ou supprimez l'utilisateur délégué.
Cliquez sur Remplacer pour conserver le paramètre même si le paramètre parent est modifié.
Si l'état de l'unité organisationnelle affiche déjà Remplacé, sélectionnez l'une des options suivantes :
- Hériter : rétablit le paramètre du parent
- Enregistrer : permet de conserver votre nouveau paramètre (même si celui du parent est modifié)
Conseillez vos utilisateurs pour les aider à créer un mot de passe sécurisé.
Contrôler le niveau de sécurité du mot de passe des utilisateurs
-
Dans la console d'administration Google, accédez à Menu
Rapports
Rapports utilisateur
Comptes.Vous devez disposer du droit d'administrateur Rapports.
- (Facultatif) Pour afficher le niveau de sécurité des mots de passe sous forme de graphique, accédez à Rapports
Rapports sur les applications
Comptes. En savoir plus sur les rapports sur les comptes