l’authentification sur le vpn passe au mfa du compte unil

L’authentification sur le VPN passe au MFA du compte UNIL

Courant novembre 2025 pour se connecter au VPN il faudra utiliser l’authentification à deux facteurs (MFA) déployée cet été pour protéger MS365 (email, OneDrive, Teams…) au lieu du MFA du compte SWITCH edu-ID. Le changement sera automatique, vous n’aurez rien à faire.

Quel MFA pour m’authentifier sur le VPN UNIL ?

Le MFA du compte personnel SWITCH edu-ID a protégé l’accès au VPN jusqu’à début novembre 2025. Pour mémoire un VPN est un réseau privé virtuel qui permet de se connecter à distance aux ressources internes de l’université de manière sécurisée : concrètement il s’agit généralement de lancer le logiciel Ivanti quand on télétravaille.

Lancement du VPN UNIL : un geste quotidien pour tout adepte du travail flexible à l’UNIL
Lancement du VPN UNIL: un geste quotidien pour tout adepte du travail flexible à l’UNIL
Avant : le MFA de SWITCH edu-ID permettait de s’authentifier sur le VPN de l’UNIL (mire de connexion du compte SWITCH edu-ID)
Avant: le MFA de SWITCH edu-ID permettait de s’authentifier sur le VPN de l’UNIL (mire de connexion du compte SWITCH edu-ID)

Courant novembre 2025, le MFA du compte UNIL – déjà actif sur MS365 – prend la relève pour protéger l’accès au VPN, et il devient le seul MFA imposé par l’UNIL.

Désormais : courant novembre 2025 le MFA du compte UNIL, déjà déployé sur MS365, authentifie l’accès au VPN UNIL (mire de connexion du compte UNIL)
Désormais: courant novembre 2025 le MFA du compte UNIL, déjà déployé sur MS365, va authentifier l’accès au VPN UNIL (mire de connexion du compte UNIL)

Deux comptes, deux usages

  • Compte edu-ID : personnel, géré par SWITCH. Il permet d’accéder à des services comme les portails MyUNIL ou Moodle, le service de wiki, l’intranet administratif SYLVIA…son point fort est de permettre l’intégration de personnes d’autres institutions.
  • Compte UNIL : institutionnel et limité à la communauté UNIL, géré par l’université. Il est utilisé pour les services internes comme MS365 (messagerie, Teams…), le service d’impression central (PrintUNIL)…son point fort est une complète indépendance de gestion pour l’UNIL.

Depuis juillet 2025, le MFA est activé par défaut sur le compte UNIL pour s’authentifier sur MS365 car ce service est critique (qui voudrait que l’accès à son email ou à tous ses documents de travail soit volé ?). Les accès institutionnels sont ainsi efficacement protégés. Le compte edu-ID, quant à lui, imposait le MFA uniquement pour certaines connexions sensibles, comme l’accès au VPN.

Une évolution qui complexifie la situation : le MFA d’edu-ID passe en mode tout ou rien

SWITCH a récemment annoncé la suppression de l’option « MFA on demand » qui permettait de n’activer cet accès renforcé que pour certains services sensibles pour le compte edu-ID (l’UNIL protégeait l’accès à son VPN ainsi). Dès le 5 novembre 2025, les utilisatrices et utilisateurs devront choisir d’activer le MFA edu-ID pour l’ensemble des services ou pour aucun; il ne sera plus possible de définir, service par service, lesquels nécessitent une authentification MFA.

Cette évolution soulève une problématique : la confusion croissante entre les deux comptes. D’un côté, le compte edu-ID est personnel, et l’activation du MFA relève du choix de l’utilisateur. De l’autre, le compte UNIL est institutionnel, et le MFA doit pouvoir être imposé par l’UNIL sur des services jugés sensibles, mais désactivé sur d’autres (par exemple un compte technique qui permet de faire fonctionner une imprimante ne peut pas être protégé par un MFA qui nécessite une interaction humaine). De plus l’UNIL n’a pas à forcer l’activation du MFA sur le compte personnel edu-ID, les utilisatrices et utilisateurs doivent pouvoir décider par eux-mêmes.

SWITCH ne permettra plus dès le 5 novembre 2025 d’activer le MFA par service : ce sera tout ou rien. Le compte edu-ID ne permettra donc plus à l’UNIL de choisir avec finesse quel service mérite quel niveau de protection, seul le compte UNIL en sera désormais capable.
SWITCH ne permettra plus dès le 5 novembre 2025 d’activer le MFA par service : ce sera tout ou rien. Le compte edu-ID ne permettra donc plus à l’UNIL de choisir avec finesse quel service mérite quel niveau de protection, seul le compte UNIL en sera désormais capable.

Vers une simplification : une seule authentification MFA obligatoire

Pour réduire cette complexité, l’UNIL prévoit de migrer l’authentification du VPN vers le compte UNIL, avec le même MFA qui est en vigueur sur MS365. Cette solution présente plusieurs avantages :

  • Un seul MFA obligatoire pour les accès institutionnels sur des services jugés sensibles, géré par l’UNIL
  • Maîtrise et support assuré en interne, facilitant l’accompagnement des utilisatrices et utilisateurs
  • Liberté individuelle d’activer ou non le MFA conservée pour le compte edu-ID, qui reste personnel.

Cette transition permettra de clarifier les rôles des deux comptes et de simplifier l’expérience utilisateur, tout en maintenant un haut niveau de sécurité. Pour rappel ce changement sera automatique, vous n’aurez rien à configurer.

En savoir plus

Accès à Microsoft 365 : l’authentification à deux facteurs devient la norme

Image d’en-tête générée avec DALL·E par Karim Khouw Zegwaart. En savoir plus sur notre utilisation de l’IA générative.