Microsoft impose l’authentification multifacteurs aux administrateurs Azure AD

Microsoft-Authenticator
09Août, 2018

Microsoft va bientôt imposer l’activation par défaut de l’authentification multifacteurs (MFA) pour tous les comptes Azure AD et Office 365 à privilèges élevés, a récemment annoncé la firme de Redmond. Cette mesure obligera les comptes administrateur à privilèges élevés à adopter la MFA, à moins que cette fonctionnalité ne soit volontairement désactivée. La fonctionnalité MFA actuellement au stade de préversion publique devrait, à terme, être incluse dans la politique de securité d’Azure AD et Office 365.

MFA-OFFICE365
MFA-OFFICE365

Rappelons que depuis 2017, Microsoft recommande vivement à ses partenaires d’exiger l’application de la solution Multi-Factor Authentication (MFA) pour tous les comptes administrateur. Cette précaution permet de réduire le risque d’attaque quand le mot de passe d’un compte est compromis. La firme de Redmond précisait en outre qu’il était possible d’exiger que les utilisateurs se soumettent à une authentification MFA lors de leur connexion. L’utilisateur peux faire la demande d’authentification MFA lorsqu’ils activent un rôle dans Azure AD PIM (Privileged Identity Management).

D’une manière générale, il existe deux options permettant de valider l’authentification multifacteurs lorsqu’un utilisateur active un rôle. L’une s’appuie sur Azure MFA pour les utilisateurs qui activent un rôle privilégié, tandis que l’autre s’applique surtout aux utilisateurs qui s’authentifient en local. Dans le dernier cas, il est possible de faire en sorte que ce soit le fournisseur d’identité qui est responsable de l’authentification MFA.

Microsoft précise d’ailleurs que « quand vous gérez des identités dans PIM en tant qu’administrateur de rôle privilégié, vous pouvez voir des alertes qui recommandent l’authentification MFA pour des comptes privilégiés ».

Et la version final ?

Dans sa version finale, la fonctionnalité MFA devrait inviter certains utilisateurs Azure AD à privilèges élevés à configurer les paramètres d’authentification multifacteurs pour certains rôles. Il s’agit pour l’essentiel des administrateurs généraux, SharePoint, Exchange, d’accès conditionnel et de sécurité.

Les options d’authentification multifacteurs Azure AD incluent : les appels téléphoniques, les codes de sécurité SMS, les notifications via l’application mobile ainsi que les codes de vérification OATH depuis l’application mobile.

En parallèle, Microsoft a annoncé la préversion publique de deux autres outils Azure AD. Le premier se nomme Azure AD Password Protection. Il a été conçu pour aider les clients à éliminer les mots de passe trop faciles à deviner de leurs configurations. Le second se nomme Azure AD Smart Lockout. Il s’agit d’un outil qui détecte les attaques par brute force et verrouille temporairement l’accès aux comptes ciblés.

Signalons au passage que depuis 2016, Microsoft proscrit l’usage de mots de passe qui figurent dans des listes de mots de passe divulgués provenant de violations de données dans d’autres sociétés. À l’époque, Microsoft a déclaré que son infrastructure traitait plus de 13 milliards d’authentifications par jour, dont 1,3 milliard pour les comptes Azure AD ou Office 365. Sur ces 13 milliards, Microsoft a déclaré que plus de 10 millions de demandes d’authentification étaient de nature malveillante.

Comment contourner l’obligation

Même si cela est lourdement recommandé par Microsoft, il vous est possible de vous preparer à ce passage obligatoire en le contournant.
Cela peux vous servir pour vos comptes de services par exemple, qui ne supporterons pas la double authentification (MFA).

1 – Connectez vous au portail Microsoft Azure (https://portal.azure.com/)

2 – Cliquez ensuite sur Azure Active Directory

Tableau-de-bord-Microsoft-AzureTableau-de-bord-Microsoft-Azure
Tableau-de-bord-Microsoft-Azure

3  – Une fois dans l’outil Azure Active Directory, cliquez sur Accès conditionnel.

Tableau-de-bord-Microsoft-Azure-Active-Directory
Tableau-de-bord-Microsoft-Azure-Active-Directory

4 – Ensuite cliquez sur la stratègie  » Baseline policy : Require MFA for admins (préversion) « .

Stratégies-Microsoft-Azure
Stratégies-Microsoft-Azure

5 – Enfin pour exclure des utilisateurs er/ou groupes de la strategie MFA cliquez sur « Exclure des utilisateurs et groupes« .

Baseline-policy-Require-MFA-for-admins-(préversion)-Microsoft-Azure
Baseline-policy-Require-MFA-for-admins-(préversion)-Microsoft-Azure

6 – Selectionnez ensuite les utilisateurs que vous souhaitez exclure de la strategie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *