Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD
Pour réduire le risque quand un mot de passe est compromis

Le , par Christian Olivier, Chroniqueur Actualités
Microsoft va bientôt imposer l’activation par défaut de l’authentification multifacteurs (MFA) pour tous les comptes Azure AD à privilèges élevés, a récemment annoncé la firme technologique. Cette mesure obligera les comptes administrateur à privilèges élevés à adopter la MFA, à moins que cette fonctionnalité ne soit volontairement désactivée pour une organisation donnée. La fonctionnalité MFA actuellement au stade de préversion publique devrait, à terme, être incluse dans la « politique sécuritaire de base » d’Azure AD.


Rappelons que depuis 2017, Microsoft recommande vivement à ses partenaires d’exiger l’application de la solution Multi-Factor Authentication (MFA) pour tous les comptes administrateur puisque cette précaution permet de réduire le risque d’attaque quand le mot de passe d’un compte est compromis. La firme de Redmond précisait en outre qu’il était possible d’exiger que les utilisateurs se soumettent à une authentification MFA lors de leur connexion ou qu’ils fassent une demande d’authentification MFA lorsqu’ils activent un rôle dans Azure AD PIM (Privileged Identity Management).

D’une manière générale, il existe deux options permettant de valider l’authentification multifacteurs lorsqu’un utilisateur active un rôle. L’une s’appuie sur Azure MFA pour les utilisateurs qui activent un rôle privilégié, tandis que l’autre s’applique surtout aux utilisateurs qui s’authentifient en local. Dans le dernier cas, il est possible de faire en sorte que ce soit le fournisseur d’identité qui est responsable de l’authentification MFA.

Microsoft précise d’ailleurs que « quand vous gérez des identités dans PIM en tant qu’administrateur de rôle privilégié, vous pouvez voir des alertes qui recommandent l’authentification MFA pour des comptes privilégiés ».

Dans sa version finale, la fonctionnalité MFA devrait inviter certains utilisateurs Azure AD à privilèges élevés à configurer les paramètres d’authentification multifacteurs pour certains rôles. Il s’agit pour l’essentiel des administrateurs généraux, SharePoint, Exchange, d’accès conditionnel et de sécurité.


Les options d’authentification multifacteurs Azure AD incluent : les appels téléphoniques, les codes de sécurité SMS, les notifications via l’application mobile ainsi que les codes de vérification OATH depuis l’application mobile.

En parallèle, Microsoft a annoncé la préversion publique de deux autres outils Azure AD. Le premier se nomme Azure AD Password Protection. Il a été conçu pour aider les clients à éliminer les mots de passe trop faciles à deviner de leurs configurations. Le second se nomme Azure AD Smart Lockout. Il s’agit d’un outil qui détecte les attaques par force brute et verrouille temporairement l’accès aux comptes ciblés.

Signalons au passage que depuis 2016, Microsoft proscrit l’usage de mots de passe qui figurent dans des listes de mots de passe divulgués provenant de violations de données dans d’autres sociétés. À l’époque, Microsoft a déclaré que son infrastructure traitait plus de 13 milliards d’authentifications par jour, dont 1,3 milliard pour les comptes Azure AD. Sur ces 13 milliards, Microsoft a déclaré que plus de 10 millions de demandes d’authentification étaient de nature malveillante.

Source : Bleeping Computer, Microsoft

Et vous ?

Qu’en pensez-vous de cette mesure ?

Voir aussi

Microsoft annonce la disponibilité générale d'Azure Container Instances son service d'informatique sans serveur
Microsoft ajoute le service Managed Instance sur SQL Server dans Azure pour faciliter la migration des charges de travail vers le cloud
Apprendre à déployer son Bot sur Microsoft Azure et à utiliser le Bot Channels Registration, un tutoriel d'Hinault Romaric


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil