Office 365: Authentication Multifacteur et Sécurité des Mots de Passe (fr-FR)
Note : Cet article est une traduction.
Lorsque vous surfez sur votre tenant Office 365, vous pouvez obtenir une alerte qui vous dit que votre mot de passe va expirer dans XX jours.
http://gokanx.files.wordpress.com/2014/01/1.png?w=600&h=214
J'ai essayé de changer/réinitialiser le mot de passe mais sans succès. Sur Microsoft Answers j'ai découvert qu'on pouvait gérer une stratégie d'expiration de mot de passe en se rendant dans : Centre d'administration de Office 365 > paramètres de service > mots de passe.
http://gokanx.files.wordpress.com/2014/01/11.png?w=1200&h=360
Mais dans cette interface utilisateur, nous ne pouvons paramétrer un compte comme ne pouvant « pas expirer ». Toutefois, en guise de solution, nous pouvons définir le nombre de jours avant l'expiration des mots de passe avec un maximum de 730 jours (2 ans). Ça pourrait être une solution de contournement, mais ce n'est pas le cas. J'ai besoin de le désactiver.
Après avoir cherché un certain temps, il semble qu'avec Office 365, tout semble être (très) facile avec du PowerShell. J'ai aussi constaté que dans office 365, vous avez seulement besoin de deux lignes pour désactiver la stratégie de mot de passe.
http://gokanx.files.wordpress.com/2014/01/12.png?w=1200&h=360
Tout d'abord, ouvrez le Microsoft Online Services Module pour Windows PowerShell et notez que la même alerte apparaît dans la barre des tâches (Télécharger : 32 bit 
ou 64 bits ).
http://gokanx.files.wordpress.com/2014/01/13.png?w=1200&h=998
Vous devrez vous connecter à votre tenant Office 365 et pour celà vous devez utiliser la commande connect-MsolService. Cela vous ouvrira une pop-up dans laquelle vous devrez insérer votre nom d'utilisateur et votre mot de passe Office365.
- Nom d'utilisateur : gokanx@meloon.onmicrosoft.com
- Mot de passe: ***
Vous devriez maintenant être connecté à votre tenant Office 365. Saisissez la commande suivante pour obtenir un aperçu de votre compte : get-msoluser |fl
http://gokanx.files.wordpress.com/2014/01/14.png?w=600
Vous pouvez voir que l'attribut/propriété **PasswordNeverExpires **ne comporte pas de valeur.Avec la commande PowerShell suivante, vous pouvez l'activer : Get-MsolUser | –PasswordNeverExpires Set-MsolUser $True
http://gokanx.files.wordpress.com/2014/01/15.png?w=1200&h=186
http://gokanx.files.wordpress.com/2014/01/16.png?w=600
Votre utilisateur a désormais un mot de passe qui n'expire jamais, mais toutes les sociétés accepteront-elles cela ? Est-ce assez sécurisé ? J'ai des doutes... Voyons donc ce que nous pouvons faire de plus avec les mots de passe sur Office 365.
Meilleurs Pratiques pour les Mots de Passe
Selon Cogmotive, quelques meilleures pratiques concernant les mot de passe dans Office 365 peuvent être divisées en plusieurs parties comme :
1 - Utiliser des mots de passe longs et complexes
D'après TechNet les mots de passe doivent contenir des caractères appartenant à trois des cinq catégories suivantes :
- Caractères majuscules de l'alphabet anglais (A à Z)
- Caractères minuscules de l'alphabet anglais (a à z)
- Chiffres de la base 10 (0 à 9)
- Caractères non alphabétiques (par exemple, !, $, #, %)
2 - Utiliser un compte géré pour votre utilisateur Admin
Comme pour SharePoint Server, vous pouvez créer des comptes gérés pour votre tenant Office 365.Prenons l'exemple d'un compte Office 365 appelé gokanx@meloon.onmicrosoft.com que vous utilisez partout (Exchange Server, Lync, gestion d'Office365...). Mauvais choix ! Vous devez créer un compte distinct appelé office365ga@meloon.onmicrosoft.com qui a le rôle d'administrateur général et utiliser uniquement ce compte pour vous connecter au portail Microsoft portail et via PowerShell.
Ce compte d'utilisateur n'a même pas besoin d'une licence Office 365, car il est plus que probable qu'il n'aura pas besoin d'une boîte aux lettres. Cela signifie que vous ne serez pas facturé par Microsoft pour ce compte administratif supplémentaire.
Nous allons créer un compte géré générique. Allez dans utilisateurs et groupes dans le centre d'Administration d'Office 365 et cliquez sur le petit "+".
http://gokanx.files.wordpress.com/2014/01/17.png?w=1200&h=216
Saisissez un nom, prénom et un nom d'utilisateur et cliquez sur suivant.
http://gokanx.files.wordpress.com/2014/01/18.png?w=600
Il faut sélectionner un rôle pour notre administrateur global Office 365. Comme nous créons un administrateur général sélectionnez le rôle **Administrateur général **et saisissez une adresse de courriel NON-OnMicrosoft en cas d'oubli de votre mot de passe.
http://gokanx.files.wordpress.com/2014/01/19.png?w=1200&h=468
Cliquez quelques fois sur « Suivant » et votre utilisateur est créé et prêt à l'emploi ! N'oubliez pas de supprimer le rôle d'administrateur général pour toutes les personnes précédentes afin de terminer cette opération.
3 - Activez l'authentification multifacteur
D'après TechNet une authentification multifacteur ajoute une deuxième couche critique de sécurité aux connexions utilisateur et aux transactions. Elle fonctionne en exigeant deux ou plusieurs des méthodes de vérification suivantes :
- Quelque chose vous savez (généralement un mot de passe)
- Quelque chose que vous avez (un dispositif de confiance qui n'est pas facilement dupliqué, comme un téléphone)
- Quelque chose que vous êtes (biométrie)
La sécurité de l'authentification multifacteur réside dans son approche en couches. Compromettre plusieurs facteurs d'authentification présente un défi de taille pour les attaquants. Même si un attaquant parvient à récupérer le mot de passe de l'utilisateur, il est inutile sans avoir également en sa possession l'appareil de confiance. À l'inverse, si l'utilisateur perd l'appareil, la personne ayant trouvé ce dispositif ne sera pas capable de l'utiliser à moins qu'il ou qu' elle connaisse également le mot de passe de l'utilisateur.
Sur le même écran cliquez sur **Installer **en regard de **Authentification multifacteur **au-dessus.
http://gokanx.files.wordpress.com/2014/01/110.png?w=1200&h=216
Sélectionnez l'utilisateur pour lequel vous souhaitez activer l'authentification multifacteur – dans mon cas, il s'agit de l'administrateur général d'365 Office que je viens de créer – et appuyez sur Activer.
http://gokanx.files.wordpress.com/2014/01/111.png?w=1200&h=602
Une pop-up apparaît et il suffit de cliquer sur « activer l'authentification multifacteur» pour cet utilisateur.
http://gokanx.files.wordpress.com/2014/01/112.png?w=1200&h=578
Maintenant que vous avez activé l'authentification multifacteur, nous avons besoin de nous déconnecter et d'ouvrir une session en tant qu'utilisateur qui a été sélectionné ci-dessus.
A la première connexion, on vous demandera de configurer les paramètres d'authentification multifacteur, à savoir un nouveau mot de passe, ainsi que l'ancien de mot de passe.
http://gokanx.files.wordpress.com/2014/01/113.png?w=1200&h=1062
Office 365 ne vous redirige pas comme d'habitude vers le centre d'administration d'Office 365, mais nécessite une petite configuration pour la vérification supplémentaire de sécurité. Cliquez sur "Mettre en place maintenant".
http://gokanx.files.wordpress.com/2014/01/114.png?w=600
Sélectionnez votre pays, fournissez un numéro de téléphone et demandez à recevoir un message texte. Pensez-y et attention, ce n'est pas gratuit ! Les frais standard de téléphone et de SMS s'appliquent.
http://gokanx.files.wordpress.com/2014/01/115.png?w=1200&h=566
Quelques secondes plus tard vous recevrez sur votre smartphone un message texte de Microsoft Online Services avec le code de vérification.
http://gokanx.files.wordpress.com/2014/01/117.png?w=548&h=820
Saisissez le code et cliquez sur "Vérfiier".
http://gokanx.files.wordpress.com/2014/01/118.png?w=1200&h=336
Lorsque vous essayez de vous connecter avec l'utilisateur qui a activé une authentification multifacteur, Office 365 vous demandera votre mot de passe et un code de vérification provenant de Microsoft.
http://gokanx.files.wordpress.com/2014/01/119.png?w=600
Et voilà, votre authentification mutlifacteur est en place ! Vous avez maintenant un mot de passe qui n'expire jamais et besoin d'une vérification d'un code pour vous connecter !
4 - Utiliser un compte administrateur distinct pour l'accès à PowerShell
Ce que nous pouvons faire maintenant, c'est créer un nouveau compte administrateur qui n'a pas activé l'authentification multifacteur et ne l'utiliser que pour accéder à PowerShell.
Ce compte administrateur est désactivé sauf si nous voulons explicitement l'utiliser. Pour la plupart des gens cela ne sera pas un problème car ils se connectent uniquement à Office 365 à l'aide de PowerShell une fois toutes les x semaines.
Créez à nouveau un utilisateur comme indiqué quelques étapes auparavant. Saisissez un nom, prénom et un nom d'utilisateur.
http://gokanx.files.wordpress.com/2014/01/120.png?w=600
Sélectionnez le rôle et fournissez une adresse e-mail.
http://gokanx.files.wordpress.com/2014/01/121.png?w=1200&h=402
Dans l'écran suivant sélectionnez une de ces options et cliquez sur suivant. Maintenant, votre nom d'utilisateur est créé avec l'une des options suivantes.
http://gokanx.files.wordpress.com/2014/01/122.png?w=1200&h=840
Connectez-vous avec un autre utilisateur possédant des droits d'administrateur Global et modifiez les propriétés de l'utilisateur. Vous pouvez maintenant désactiver la connexion de l'utilisateur. Cela signifie que l'administrateur général de PowerShell peut uniquement utiliser PowerShell quand on le souhaite !
http://gokanx.files.wordpress.com/2014/01/123.png?w=1200&h=518
http://gokanx.files.wordpress.com/2014/01/124.png?w=1200&h=492
Autres commandes PowerShell
Si vous voulez changer cela pour un autre utilisateur veuillez utiliser la commande PowerShell suivante
Set-msoluser –UserPrincipalName gokanx@meloon.onmicrosoft.com - PasswordNeverExpires $True
Définir un mot de passe prédéfini pour un utilisateur office 365
Jeu-MsolUserPassword –UserPrincipalName gokanx@meloon.onmicrosoft.com –NewPassword P@ssw0rd - ForceChangePassword $false
Définir un mot de passe temporaire pour un utilisateur spécifique
Jeu-MsolUserPassword –UserPrincipalName gokanx@meloon.onmicrosoft.com –NewPasswordtemPass01 - ForceChangePassword $true
Définir un mot de passe temporaire pour tous les utilisateurs d'office 365
Get-MsolUser | Jeu-MsolUserPassword –NewPassword P@ssw0rd - ForceChangePassword $false
Définir la stratégie de mot de passe d'Office 365
Jeu-MsolPasswordPolicy - nom de domaine meloon.onmicrosoft.com - NotificationDays **720 **–ValidityPeriod 730
Références
- http://technet.Microsoft.com/en-us/library/dn194123.aspx
- http://Community.office365.com/en-US/forums/156/t/199722.aspx
- http://www.o365info.com/2012/09/Manage-Office-365-Users-Password-using.html
- https://www.cogmotive.com/blog/Office-365-Tips/Office-365-Administrator-Account-Best-Practices
Autres Langues
Cet article est également disponible pour les langues suivantes :