Les outils indispensables de le MFA chez Microsoft : Microsoft Authenticator et Azure AD
Succédant à Azure Authenticator, Microsoft Authenticator est une application disponible sur Android et iOS qui vous offre la possibilité de générer des codes temporaires uniques lorsqu’un service demande une authentification MFA, et stocke vos mots de passe de façon plus sécurisée.
Pour les aficionados du Cloud, la firme de Redmond a mis sur pied le service Azure Active Directory, ou Azure AD. Il étend le MFA à tous les utilisateurs des services Cloud de Microsoft, y compris ceux qui utilisent la suite Office 365.
Vous pouvez ainsi accéder en toute tranquillité aux services Azure et Azure Portal sans risque de piratage.
Azure AD simplifie la protection de votre réseau informatique et évite à l’utilisateur la pénibilité d’une connexion répétée au réseau, via trois éléments d’authentification :
- L’envoi d’un message texte sur votre smartphone muni d’un scanner à code QR code
- Un appel vocal
- L’application Microsoft Authenticator
Comment utiliser MFA et Microsoft ?
Microsoft souhaite vous éviter des authentifications complexes, fastidieuses et difficiles à mettre en œuvre. Pour garantir une authentification multi-facteur aussi sécurisée que peu contraignante, l’éditeur vous propose deux solutions :
- Les paramètres de sécurité par défaut
- Les accès conditionnels.
Paramètres de sécurité par défaut
Outil de choix pour les organisations désirant augmenter leur niveau de protection sans savoir par où commencer, les paramètres de sécurité par défauts sont des règles de connexions strictes qui s’appliquent à tous les utilisateurs et administrateurs de votre réseau.
La règle la plus importante est qu’en activant les paramètres de sécurité par défaut, vos utilisateurs ont 14 jours, pas plus, pour activer le MFA sur leurs comptes. A défaut, ils n’auront plus accès à votre réseau tant qu’ils ne l’auront pas activé.
Plutôt que de prendre ses utilisateurs au dépourvu, nous vous conseillons de les sensibiliser et accompagner en amont, en les informant sur les enjeux actuels de la cybersécurité et sur l’obligation de déployer une solution de MFA dans l’entreprise.
Les autres règles sont tout aussi efficace dans la mise en place d’une stratégie de sécurité d’accès informatique :
- Les administrateurs se doivent de mettre en place une authentification multi facteur
- Les utilisateurs d’anciens protocoles d’identification aux failles connues ne peuvent plus se connecter à votre réseau
- Les utilisateurs doivent basculer vers une authentification MFA en cas d’activités suspectes
Accès conditionnel du MFA
Les paramètres de sécurité par défauts protègent tous vos utilisateurs, mais ont l’inconvénient d’appliquer le même traitement à tous. Imaginez le calvaire du commercial itinérant et qui doit subir une authentification MFA à chaque fois qu’il se connecte à votre réseau à cause de sa géolocalisation variable.
Grâce aux accès conditionnels, vous pouvez créer différents groupes d’utilisateurs avec des conditions de MFA spécifiques pour chacun d’entre eux. Ainsi, vos commerciaux n’auront pas besoin d’une authentification MFA si leur localisation varie, alors que les RH, plus sédentaires, devront au moins faire une authentification à double facteur s’ils se connectent hors de vos locaux.
Plus précisément, le MFA peut être requise en fonction des risques. En cas de risque faible ou inexistant, elle ne sera pas nécessaire. Si le risque est élevé, l’accès aux ressources sera temporairement suspendu jusqu’à ce que l’utilisateur prouve qu’il est le détenteur légitime du compte.
Au final, c’est vous qui déterminez les situations à risque en fonction de votre domaine d’activité, et en définissant les stratégies de conformités et les stratégies d’accès conditionnels de Microsoft Azure AD. Les accès conditionnels conviennent plus particulièrement aux organisations dotées d’éléments de sécurité complexes, et à celles qui utilisent les licences premium de Microsoft Azure AD.