Paramètres de sécurité par défaut dans Azure AD

Microsoft rend les paramètres de sécurité par défaut accessibles à tous, car la gestion de la sécurité peut être difficile. Les attaques liées à l’identité, comme la pulvérisation de mots de passe, la relecture et le hameçonnage, sont courantes dans l’environnement actuel. L’utilisation de l’authentification multifacteur (MFA) et le blocage de l’authentification héritée permettent d’arrêter plus de 99,9 % de ces attaques liées à l’identité. Le but est de s’assurer que toutes les organisations ont au moins un niveau de sécurité de base activé, sans coût supplémentaire.

Les paramètres de sécurité par défaut facilitent la protection de votre organisation contre ces attaques liées à l’identité avec des paramètres de sécurité préconfigurés :

À qui cela s’adresse-t-il ?

  • Les organisations qui souhaitent augmenter leur niveau de sécurité, mais ne savent pas comment ou où commencer.
  • Les organisations qui utilisent le niveau gratuit de la licence Azure Active Directory.

Qui devrait utiliser l’accès conditionnel ?

  • Si vous êtes une organisation qui utilise actuellement des stratégies d’accès conditionnel, les valeurs par défaut de sécurité ne sont probablement pas appropriées pour vous.
  • Si vous êtes une organisation utilisant des licences Azure Active Directory Premium, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.
  • Si votre organisation a des exigences de sécurité complexes, vous devriez envisager l’accès conditionnel.

Activation des paramètres de sécurité par défaut

Si votre locataire a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire. Pour protéger tous nos utilisateurs, les paramètres de sécurité par défaut sont déployés sur tous les nouveaux locataires créés.

Pour activer les paramètres de sécurité par défaut dans votre annuaire :

  1. Connectez-vous au portail Azure en tant qu’administrateur de la sécurité, administrateur de l’accès conditionnel ou administrateur général.
  2. Accédez à Azure Active Directory>Propriétés.
  3. Sélectionnez Gérer les paramètres de sécurité par défaut.
  4. Définissez Activer les paramètres de sécurité par défaut sur Oui à l’aide du bouton bascule.
  5. Sélectionnez Enregistrer.

Capture d’écran du Portail Azure avec le bouton bascule pour activer les paramètres de sécurité par défaut

Stratégies de sécurité appliquées

Exiger que tous les utilisateurs s’inscrivent à Azure AD Multi-Factor Authentication

Tous les utilisateurs de votre locataire doivent s’inscrire à l’authentification multifacteur (MFA) via le formulaire de l’authentification multifacteur Azure AD. Les utilisateurs disposent de 14 jours pour s’inscrire à Azure AD Multi-Factor Authentication à l’aide de l’application Microsoft Authenticator ou de toute application prenant en charge OATH TOTP. Au bout de ces 14 jours, l’utilisateur n’est plus en mesure de se connecter, jusqu’à ce que l’inscription soit effectuée. Ainsi, la période de 14 jours d’un utilisateur commence après la première connexion interactive réussie, une fois les paramètres de sécurité par défaut activés.

Obliger les administrateurs à effectuer l’authentification multifacteur

Les administrateurs ont un accès accru à votre environnement. En raison de l’importance de ces comptes hautement privilégiés, vous devez leur accorder une attention particulière. Une méthode courante pour améliorer la protection de comptes privilégiés consiste à demander une forme de vérification de compte plus stricte pour se connecter. Dans Azure AD, vous pouvez obtenir une vérification plus sévère des comptes en exigeant l’authentification multifacteur.

Conseil

Nous vous recommandons de disposer de comptes distincts pour les tâches d’administration et les tâches de productivité standard afin de réduire considérablement le nombre de fois où vos administrateurs sont invités à utiliser l’authentification multifacteur.

Une fois l’inscription à Azure AD Multi-Factor Authentication terminée, les rôles Administrateur Azure AD suivants sont nécessaires pour effectuer une authentification supplémentaire chaque fois qu’ils se connectent :

  • Administrateur général
  • Administrateur d’application
  • Administrateur d’authentification
  • Administrateur de facturation
  • Administrateur d’application cloud
  • Administrateur de l’accès conditionnel
  • Administrateur Exchange
  • Administrateur du support technique
  • Administrateur de mots de passe
  • Administrateur d’authentification privilégié
  • Administrateur de sécurité
  • Administrateur SharePoint
  • Administrateur d’utilisateurs

Exiger des utilisateurs qu’ils effectuent l’authentification multifacteur si nécessaire

Nous avons tendance à considérer que les comptes administrateur sont les seuls qui nécessitent des couches d’authentification supplémentaires. Les administrateurs ont largement accès à des informations sensibles et peuvent modifier des paramètres à l’échelle d’un abonnement. Pourtant, les attaquants ciblent souvent les utilisateurs finaux.

Une fois que ces personnes malveillantes ont accès, elles peuvent demander l’accès aux informations privilégiées pour le compte du détenteur du compte d’origine. Elles peuvent même télécharger l’annuaire entier pour effectuer une attaque par hameçonnage sur l’ensemble de votre organisation.

Une méthode courante pour améliorer la protection de tous les utilisateurs consiste à demander une forme de vérification de compte plus stricte, telle que l’authentification multifacteur, pour tous. Lorsque les utilisateurs ont terminé l’inscription, ils sont invités à fournir une authentification supplémentaire chaque fois que c’est nécessaire. Azure AD décide quand un utilisateur est invité à procéder à une authentification multifacteur, en fonction de facteurs tels que l’emplacement, l’appareil, le rôle et la tâche. Cette fonctionnalité protège toutes les applications inscrites avec Azure AD, y compris les applications SaaS.

Notes

Dans le cas d’utilisateurs de connexion directe B2B, toute exigence d’authentification multifacteur en lien avec les paramètres de sécurité par défaut activés dans le locataire de ressource doit être satisfaite, y compris l’inscription de l’authentification multifacteur par l’utilisateur de connexion directe dans son locataire de base.

Bloquer les protocoles d’authentification hérités

Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, Azure AD prend en charge un éventail de protocoles d’authentification, notamment l’authentification héritée. L’authentification héritée est un terme qui fait référence à une requête d’authentification effectuée par :

  • Les clients Office qui n'utilisent pas l'authentification moderne (par exemple, un client Office 2010).
  • Tout client qui utilise d’anciens protocoles de messagerie tels que IMAP, SMTP ou POP3.

Aujourd’hui, la plupart des tentatives de connexion compromettantes ont pour origine l’authentification héritée. L’authentification héritée ne prend pas en charge l’authentification multifacteur. Même si une stratégie d’authentification multifacteur est activée sur votre annuaire, un attaquant peut s’authentifier à l’aide d’un protocole plus ancien et contourner l’authentification multifacteur.

Lorsque les paramètres de sécurité par défaut sont activés dans votre locataire, toutes les demandes d’authentification effectuées par un protocole hérité sont bloquées. Les paramètres par défaut de sécurité bloquent l’authentification de base Exchange Active Sync.

Avertissement

Avant d’activer les paramètres de sécurité par défaut, assurez-vous que vos administrateurs n’utilisent aucun protocole d’authentification plus anciens. Pour plus d’informations, voir Comment se passer de l’authentification héritée.

Protéger les activités privilégiées, telles que l’accès au portail Azure

Les organisations utilisent divers services Azure managés par le biais de l’API Azure Resource Manager, entre autres :

  • Portail Azure
  • Azure PowerShell
  • Azure CLI

Utiliser Azure Resource Manager pour gérer vos services est une action très privilégiée. Azure Resource Manager peut modifier des configurations à l’échelle du locataire, telles que les paramètres de service et la facturation de l’abonnement. L’authentification à facteur unique est vulnérable à diverses attaques comme le hameçonnage et la pulvérisation de mots de passe.

Il est important de vérifier l’identité des utilisateurs qui souhaitent accéder aux configurations Azure Resource Manager et de mise à jour. Vous vérifiez leur identité en exigeant une authentification supplémentaire avant d’autoriser l’accès.

Une fois que vous avez activé les paramètres de sécurité par défaut dans votre locataire, tous les utilisateurs qui accèdent aux services suivants doivent effectuer l’authentification multifacteur :

  • Portail Azure
  • Azure PowerShell
  • Azure CLI

Cette stratégie s’applique à tous les utilisateurs accédant aux services Azure Resource Manager, qu’ils soient administrateurs ou utilisateurs.

Notes

L’authentification moderne est désactivée par défaut pour les locataires Exchange Online antérieurs à 2017. Pour éviter la possibilité d’une boucle de connexion lors de l’authentification par le biais de ces locataires, vous devez activer l’authentification moderne.

Notes

Le compte de synchronisation Azure AD Connect est exclu des paramètres de sécurité par défaut et ne sera pas invité à s’inscrire ou à effectuer une authentification multifacteur. Les organisations ne doivent pas utiliser ce compte à d’autres fins.

Points à prendre en considération pour le déploiement

Méthodes d’authentification

Les utilisateurs des paramètres de sécurité par défaut doivent s’inscrire et utiliser l’authentification multifacteur Azure AD en utilisant l’application Microsoft Authenticator avec des notifications. Les utilisateurs peuvent utiliser des codes de vérification de l’application Microsoft Authenticator, mais ils peuvent uniquement s’inscrire à l’aide de l’option de notification. Les utilisateurs peuvent également utiliser n’importe quelle application tierce utilisant OATH TOTP pour générer des codes.

Avertissement

Ne désactivez pas les méthodes de votre organisation si vous utilisez les paramètres de sécurité par défaut. La désactivation de ces méthodes peut vous empêcher ensuite d’accéder à votre locataire. Laissez toutes les méthodes disponibles pour les utilisateurs activées dans le portail des paramètres du service MFA.

Comptes d’administrateur de secours

Chaque organisation doit avoir au moins deux comptes d’administrateur de secours configurés. Il s’agit en quelque sorte de « comptes d’accès d’urgence ».

Ces comptes peuvent être utilisés dans les scénarios où vous ne pouvez pas vous servir de vos comptes administrateur habituels. Par exemple : La personne avec l’accès Administrateur général le plus récent a quitté l’organisation. Azure AD empêche la suppression du dernier compte Administrateur général, mais n’empêche pas ce compte d’être supprimé ou désactivé localement. Chacune de ces situations peut rendre impossible la récupération du compte par l’organisation.

Les comptes d’accès d’urgence :

  • Sont des droits d’administrateur général attribués dans Azure AD.
  • Ne sont pas utilisés tous les jours.
  • Sont protégés par un mot de passe long et complexe.

Les informations d’identification de ces comptes d’accès d’urgence doivent être stockées hors connexion en lieu sûr comme un coffre-fort ignifuge. Seules les personnes autorisées doivent avoir accès à ces informations d’identification.

Pour créer un compte d’accès d’urgence :

  1. Connectez-vous au portail Azure en tant qu’administrateur général Azure AD existant.
  2. Accédez à Azure Active Directory>Utilisateurs.
  3. Sélectionnez Nouvel utilisateur.
  4. Sélectionnez Create user (Créer un utilisateur).
  5. Donnez un Nom d’utilisateur à votre compte.
  6. Donnez un Nom à votre compte.
  7. Créez un mot de passe long et complexe pour le compte.
  8. Sous Rôles, attribuez le rôle Administrateur général.
  9. Dans Lieu d’utilisation, sélectionnez l’endroit souhaité.
  10. Sélectionnez Créer.

Vous pouvez choisir de désactiver l’expiration du mot de passe pour ces comptes en utilisant Azure AD PowerShell.

Pour plus d’informations détaillées sur les comptes d’accès d’urgence, consultez l’article Gérer les comptes d’accès d’urgence dans Azure AD.

Utilisateurs B2B

Tout utilisateur invité B2B ou utilisateur de connexion directe B2B accédant à votre annuaire est traité comme les utilisateurs de votre organisation.

État MFA désactivé

Si votre organisation utilisait précédemment Azure AD Multi-Factor Authentication par utilisateur, ne vous inquiétez pas de ne pas voir les utilisateurs à l’état Activé ou Appliqué lorsque vous examinez la page d’état de MFA. L’état Désactivé est approprié pour les utilisateurs utilisant les paramètres de sécurité par défaut ou Azure AD Multi-Factor Authentication basé sur l’accès conditionnel.

Accès conditionnel

Vous pouvez utiliser l’accès conditionnel pour configurer des stratégies similaires aux paramètres de sécurité par défaut, mais avec une plus grande granularité. Les stratégies d’accès conditionnel permettent de sélectionner d’autres méthodes d’authentification et d’exclure des utilisateurs, ce que ne permettent pas les paramètres de sécurité par défaut. Si vous utilisez l’accès conditionnel dans votre environnement actuel, les paramètres de sécurité par défaut ne seront pas disponibles pour vous.

Message d’avertissement indiquant que vous pouvez avoir des paramètres de sécurité par défaut ou un accès conditionnel, mais pas les deux

Si vous souhaitez activer l’accès conditionnel pour configurer un ensemble de stratégies constituant un bon point de départ pour la protection de vos identités :

Désactivation des paramètres de sécurité par défaut

Les organisations choisissant d’implémenter des stratégies d’accès conditionnel qui remplacent les paramètres de sécurité par défaut doivent désactiver les paramètres de sécurité par défaut.

Message d’avertissement relatif à la désactivation des paramètres de sécurité par défaut pour activer l’accès conditionnel

Pour désactiver les paramètres de sécurité par défaut dans votre annuaire :

  1. Connectez-vous au portail Azure en tant qu’administrateur de la sécurité, administrateur de l’accès conditionnel ou administrateur général.
  2. Accédez à Azure Active Directory>Propriétés.
  3. Sélectionnez Gérer les paramètres de sécurité par défaut.
  4. Définissez Activer les paramètres de sécurité par défaut sur Non à l’aide du bouton bascule.
  5. Sélectionnez Enregistrer.

Étapes suivantes