Microsoft oblige l’authentification multifacteurs sur les comptes admin d’Azure AD

Pour réduire le risque quand un mot de passe est compromis

Microsoft va bientôt imposer l’activation par défaut de l’authentification multifacteurs (MFA) pour tous les comptes Azure AD à privilèges élevés, a récemment annoncé la firme technologique. Cette mesure obligera les comptes administrateur à privilèges élevés à adopter la MFA, à moins que cette fonctionnalité ne soit volontairement désactivée pour une organisation donnée. La fonctionnalité MFA actuellement au stade de préversion publique devrait, à terme, être incluse dans la « politique sécuritaire de base » d’Azure AD.

Rappelons que depuis 2017, Microsoft recommande vivement à ses partenaires d’exiger l’application de la solution Multi-Factor Authentication (MFA) pour tous les comptes administrateur puisque cette précaution permet de réduire le risque d’attaque quand le mot de passe d’un compte est compromis. La firme de Redmond précisait en outre qu’il était possible d’exiger que les utilisateurs se soumettent à une authentification MFA lors de leur connexion ou qu’ils fassent une demande d’authentification MFA lorsqu’ils activent un rôle dans Azure AD PIM (Privileged Identity Management).

D’une manière générale, il existe deux options permettant de valider l’authentification multifacteurs lorsqu’un utilisateur active un rôle. L’une s’appuie sur Azure MFA pour les utilisateurs qui activent un rôle privilégié, tandis que l’autre s’applique surtout aux utilisateurs qui s’authentifient en local. Dans le dernier cas, il est possible de faire en sorte que ce soit le fournisseur d’identité qui est responsable de l’authentification MFA.

Microsoft précise d’ailleurs que « quand vous gérez des identités dans PIM en tant qu’administrateur de rôle privilégié, vous pouvez voir des alertes qui recommandent l’authentification MFA pour des comptes privilégiés ».

Dans sa version finale, la fonctionnalité MFA devrait inviter certains utilisateurs Azure AD à privilèges élevés à configurer les paramètres d’authentification multifacteurs pour certains rôles. Il s’agit pour l’essentiel des administrateurs généraux, SharePoint, Exchange, d’accès conditionnel et de sécurité.

Les options d’authentification multifacteurs Azure AD incluent : les appels téléphoniques, les codes de sécurité SMS, les notifications via l’application mobile ainsi que les codes de vérification OATH depuis l’application mobile.

En parallèle, Microsoft a annoncé la préversion publique de deux autres outils Azure AD. Le premier se nomme Azure AD Password Protection. Il a été conçu pour aider les clients à éliminer les mots de passe trop faciles à deviner de leurs configurations. Le second se nomme Azure AD Smart Lockout. Il s’agit d’un outil qui détecte les attaques par force brute et verrouille temporairement l’accès aux comptes ciblés.

Signalons au passage que depuis 2016, Microsoft proscrit l’usage de mots de passe qui figurent dans des listes de mots de passe divulgués provenant de violations de données dans d’autres sociétés. À l’époque, Microsoft a déclaré que son infrastructure traitait plus de 13 milliards d’authentifications par jour, dont 1,3 milliard pour les comptes Azure AD. Sur ces 13 milliards, Microsoft a déclaré que plus de 10 millions de demandes d’authentification étaient de nature malveillante.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 22 |

Actu en image