Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. Le verrouillage intelligent peut reconnaître les connexions provenant d’utilisateurs validés et les traiter différemment de celles des attaquants et autres sources inconnues. Le verrouillage intelligent empêche les attaquants de pénétrer dans le système, tout en permettant à vos utilisateurs d’accéder à leurs comptes et de travailler.
Fonctionnement du verrouillage intelligent
Par défaut, le verrouillage intelligent verrouille un compte de la connexion après :
- 10 tentatives ayant échoué dans Azure Public et Microsoft Azure gérés par des abonnés 21Vianet ;
- 3 tentatives ayant échoué pour les abonnés Azure US Government.
Le compte se verrouille à nouveau après chaque tentative de connexion suivante ayant échoué. La période de verrouillage est d’une minute au début, puis plus longue lors des tentatives suivantes. Afin de réduire le nombre de moyens dont dispose un attaquant pour contourner ce comportement, nous ne divulguons pas le rythme auquel la période de verrouillage s’allonge après des tentatives de connexion infructueuses.
Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d’éviter d’incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur saisit plusieurs fois le même mot de passe incorrect, le compte n’est pas verrouillé.
Note
La fonctionnalité de suivi du hachage n’est pas disponible pour les clients sur lesquels l’authentification directe est activée dans la mesure où l’authentification est effectuée localement et pas dans le cloud.
Les déploiements fédérés qui utilisent les services de fédération Active Directory (AD FS) 2016 et AD FS 2019 peuvent permettre des avantages similaires à l’aide du verrouillage extranet AD FS et du verrouillage intelligent Extranet. Il est recommandé de passer à l’authentification managée.
Le verrouillage intelligent est activé en permanence pour tous les clients Microsoft Entra disposant des paramètres par défaut qui offrent la combinaison idéale de sécurité et de convivialité. Pour personnaliser les paramètres de verrouillage intelligent afin de répondre aux besoins de votre organisation, vos utilisateurs doivent disposer d’une licence Microsoft Entra ID P1 ou supérieure.
L’utilisation du verrouillage intelligent ne garantit pas qu’un véritable utilisateur n’est jamais verrouillé. Lorsque le verrouillage intelligent verrouille un compte d’utilisateur, nous mettons tout en œuvre pour ne pas verrouiller le véritable utilisateur. Le service de verrouillage veille à ce que des personnes mal intentionnées n’aient pas accès au compte d’un véritable utilisateur. Les considérations suivantes s’appliquent :
L’état de verrouillage sur l’ensemble des centres de données Microsoft Entra est synchronisé. Toutefois, le nombre total de tentatives de connexion ayant échoué autorisées avant le verrouillage du compte varie légèrement par rapport au seuil de verrouillage configuré. Une fois qu’un compte est verrouillé, il l’est dans tous les centres de données Microsoft Entra.
Le verrouillage intelligent fait la différence entre une personne mal intentionnée et le véritable utilisateur à l’aide d’un emplacement familier par opposition à un emplacement inconnu. Les emplacements familiers ou inconnus disposent tous les deux de compteurs de verrouillages distincts.
Pour empêcher le système de verrouiller un utilisateur qui se connecte à partir d’un emplacement inconnu, il doit utiliser le mot de passe approprié pour éviter d’être verrouillé et avoir fait l’objet d’un faible nombre de tentatives de verrouillages à partir d’emplacements inconnus auparavant. Si l’utilisateur est verrouillé à partir d’un emplacement inconnu, il devrait envisager de réinitialiser le compteur de verrouillages à l’aide de la SSPR.
Après un verrouillage de compte, l’utilisateur peut lancer la réinitialisation de mot de passe en libre-service (SSPR) pour se reconnecter. Si l’utilisateur choisit j’ai oublié mon mot de passe pendant la réinitialisation SSPR, la durée du verrouillage est réinitialisée à 0 secondes. Si l’utilisateur choisit Je connais mon mot de passe pendant la réinitialisation automatique du mot de passe, le minuteur de verrouillage se poursuit et la durée du verrouillage n’est pas réinitialisée. Pour réinitialiser la durée et se reconnecter, l’utilisateur doit modifier son mot de passe.
Le verrouillage intelligent peut être intégré aux déploiements hybrides à l’aide de la synchronisation du hachage de mot de passe ou de l’authentification directe, en vue d’empêcher les comptes Active Directory Domain Services (AD DS) locaux d’être verrouillés par les attaquants. En définissant des stratégies de verrouillage intelligent dans Microsoft Entra ID, vous pouvez bloquer les attaques avant même qu’elles atteignent l’instance locale d’AD DS.
Lorsque vous utilisez l’authentification directe, les considérations suivantes s’appliquent :
- Le seuil de verrouillage Microsoft Entra doit être inférieur au seuil de verrouillage du compte AD DS. Définissez les valeurs de sorte que le seuil de verrouillage de compte AD DS soit au moins deux ou trois fois supérieur à celui de Microsoft Entra.
- La durée de verrouillage de Microsoft Entra doit être supérieure à la durée de verrouillage du compte AD DS. La durée de Microsoft Entra est définie en secondes, tandis que celle d’AD DS est définie en minutes.
Conseil / Astuce
Cette configuration garantit que Microsoft Entra smart lockout empêche vos comptes AD DS locaux d’être verrouillés par des attaques par force brute, comme les attaques par pulvérisation de mot de passe sur vos comptes Microsoft Entra.
Par exemple, si vous souhaitez que la durée de verrouillage intelligent de votre instance Microsoft Entra soit supérieure à celle d’AD DS, Microsoft Entra ID doit être défini sur 120 secondes (2 minutes) tandis que votre instance locale d’AD doit être définie sur 1 minute (60 secondes). Si vous souhaitez que votre seuil de verrouillage Microsoft Entra soit 10, vous souhaitez que votre seuil de verrouillage AD DS local soit de 20.
Important
Un administrateur peut déverrouiller le compte cloud des utilisateurs s’ils ont été verrouillés par la fonctionnalité de verrouillage intelligent, sans avoir à attendre l’expiration de la durée du verrouillage. Pour plus d’informations, consultez Réinitialiser le mot de passe d’un utilisateur à l’aide de l’ID Microsoft Entra.
Vérifier la stratégie de verrouillage d’un compte local
Pour vérifier votre stratégie de verrouillage de compte AD DS locale, effectuez les étapes suivantes à partir d’un système joint à un domaine avec des privilèges d’administrateur :
- Ouvrez l’outil de gestion de stratégie de groupe.
- Modifiez la stratégie de groupe qui inclut la stratégie de verrouillage de compte de votre organisation, telle que la stratégie de domaine par défaut.
- Accédez à Configuration de l'ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de compte>Stratégie de verrouillage de compte.
- Vérifiez vos valeurs de Seuil de verrouillage de compte et Réinitialiser le compteur de verrouillage de compte après.
Gérer les valeurs du verrouillage intelligent Microsoft Entra
En fonction des exigences de votre organisation, vous pouvez personnaliser les valeurs du verrouillage intelligent Microsoft Entra. Pour personnaliser les paramètres de verrouillage intelligent afin de répondre aux besoins de votre organisation, vos utilisateurs doivent disposer d’une licence Microsoft Entra ID P1 ou supérieure. La personnalisation des paramètres de verrouillage intelligent n’est pas disponible pour Microsoft Azure géré par des abonnés 21Vianet.
Pour vérifier ou modifier les valeurs de verrouillage intelligent de votre organisation, procédez aux étapes suivantes :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
Accédez à Entra ID>méthodes d’authentification>protection par mot de passe.
Définissez le seuil de verrouillage, en fonction du nombre d’échecs de connexion autorisés sur un compte avant son premier verrouillage.
La valeur par défaut est 10 pour les locataires publics Azure et 3 pour les locataires Azure US Government.
Définissez la durée de verrouillage en secondes, sur la longueur en secondes de chaque verrouillage.
La valeur par défaut est 60 secondes (une minute).
Note
Si la première connexion après l’expiration d’une période de verrouillage échoue également, le compte est de nouveau verrouillé. Si un compte est verrouillé à plusieurs reprises, la durée de verrouillage augmente.
Test du verrouillage intelligent
Lorsque le seuil de verrouillage intelligent est déclenché, le message suivant s’affiche lors du verrouillage du compte :
Votre compte est temporairement verrouillé pour éviter toute utilisation non autorisée. Réessayez plus tard. Si le problème persiste, contactez votre administrateur.
Lorsque vous testez le verrouillage intelligent, vos demandes de connexion peuvent être traitées par différents centres de données en raison de la gestion géo-distribuée et équilibrée en charge inhérente au service d’authentification Microsoft Entra.
Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d’éviter d’incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur saisit plusieurs fois le même mot de passe incorrect, le compte n’est pas verrouillé.
Protections par défaut
Outre le verrouillage intelligent, Microsoft Entra ID protège également contre les attaques en analysant les signaux, y compris le trafic IP, et en identifiant les comportements anormaux. Microsoft Entra ID bloque ces connexions malveillantes par défaut et retourne AADSTS50053 - Code d’erreur IdsLocked, quelle que soit la validité du mot de passe.
Étapes suivantes
Pour personnaliser davantage l’expérience, vous pouvez configurer des mots de passe interdits personnalisés pour la protection par mot de passe Microsoft Entra.
Pour aider les utilisateurs à réinitialiser ou modifier leur mot de passe à partir d’un navigateur web, vous pouvez configurer la réinitialisation du mot de passe en libre-service Microsoft Entra.