Planifier un déploiement de l’authentification multifacteur Azure Active Directory

Azure Active Directory (Azure AD) Multi-Factor Authentication permet de protéger l’accès aux données et aux applications en fournissant une autre couche de sécurité via une deuxième forme d’authentification. Les organisations peuvent activer l’authentification multifacteur (MFA) avec l’accès conditionnel pour adapter la solution à leurs besoins spécifiques.

Ce guide de déploiement explique comment planifier et implémenter un déploiement d’Azure AD Multi-Factor Authentication.

Prérequis pour le déploiement d’Azure AD Multi-Factor Authentication

Avant de commencer le déploiement, vérifiez que vous répondez aux prérequis suivants pour les scénarios appropriés.

Scénario	Configuration requise
Environnement d’identité cloud uniquement avec authentification moderne	Aucune tâche prérequise
Scénarios d’identité hybride	Déployez Azure AD Connect et synchronisez les identités des utilisateurs entre les services AD DS (Active Directory Domain Services) locaux et Azure AD.
Applications héritées locales publiées pour l’accès au cloud	Déployer le proxy d’application Azure AD

Choisir les méthodes d’authentification pour l’authentification MFA

De nombreuses méthodes peuvent être utilisées pour une authentification à deux facteurs. Vous pouvez effectuer votre choix parmi la liste des méthodes d’authentification disponibles, en évaluant chacune d’elles sur le plan de la sécurité, de la facilité d’utilisation et de la disponibilité.

Important

Activez plusieurs méthodes MFA pour que les utilisateurs disposent d’une méthode de secours au cas où leur méthode principale ne serait pas disponible. Méthodes incluses :

• Windows Hello Entreprise
• Application Microsoft Authenticator
• Clés de sécurité FIDO2 (préversion)
• Jetons matériels OATH (version préliminaire)
• Jetons logiciels OATH
• Vérification par SMS
• Vérification par appel téléphonique

Au moment de choisir les méthodes d’authentification à utiliser dans votre locataire, tenez compte de la sécurité et de la facilité d’utilisation des méthodes suivantes :

Pour en savoir plus sur la force et la sécurité de ces méthodes ainsi que sur leur fonctionnement, consultez les ressources suivantes :

• Quelles sont les méthodes d’authentification et de vérification disponibles dans Azure Active Directory ?
• Vidéo : Choisir les méthodes d’authentification appropriées pour garantir la sécurité de l’organisation

Vous pouvez utiliser ce script PowerShell pour analyser les configurations d’authentification multifacteur des utilisateurs et suggérer la méthode d’authentification multifacteur appropriée.

Pour une flexibilité et une facilité d’utilisation optimales, utilisez l’application Microsoft Authenticator. Cette méthode d’authentification offre une expérience utilisateur optimale, ainsi que plusieurs modes (authentification sans mot de passe, notifications push MFA et codes OATH, notamment). L’application Microsoft Authenticator répond également aux impératifs de l’Authenticator Assurance Level 2 du National Institute of Standards and Technology (NIST).

Vous pouvez contrôler les méthodes d’authentification disponibles dans votre locataire. Ainsi, vous pouvez bloquer certaines méthodes moins sécurisées, par exemple l’envoi de SMS.

Méthode d'authentification	Gérer à partir de	Scoping
Microsoft Authenticator (notification Push et connexion par téléphone sans mot de passe)	Paramètres MFA ou stratégie de méthodes d’authentification	La connexion par téléphone sans mot de passe à Authenticator peut être limitée à l’étendue des utilisateurs et des groupes
Clé de sécurité FIDO2	Stratégie des méthodes d’authentification	Peut être limitée à l’étendue des utilisateurs et des groupes
Jetons OATH logiciels ou matériels	Paramètres d’authentification multifacteur
Vérification par SMS	Paramètres d’authentification multifacteur Gestion de la connexion par SMS pour l’authentification principale dans la stratégie d’authentification	La connexion par SMS peut être limitée à l’étendue des utilisateurs et des groupes.
Les appels vocaux	Stratégie des méthodes d’authentification

Planifier les stratégies d’accès conditionnel

Azure AD Multi-factor Authentication est appliqué avec des stratégies d’accès conditionnel. Ces stratégies d’accès conditionnel vous permettent d’inviter les utilisateurs à procéder à une authentification multifacteur pour des besoins de sécurité, ou pas s’il n’y a en pas besoin.

Dans le portail Azure, vous pouvez configurer les stratégies d’accès conditionnel sous Azure Active Directory>Sécurité>Accès conditionnel.

Pour en savoir plus sur la création de stratégies d’accès conditionnel, consultez Stratégie d’accès conditionnel permettant d’activer Azure AD Multi-Factor Authentication quand un utilisateur se connecte au portail Azure. Ainsi, vous pourrez :

• Vous familiariser avec l’interface utilisateur
• Obtenir une première impression du fonctionnement de l’accès conditionnel

Pour obtenir des conseils d’aide de bout en bout sur le déploiement de l’accès conditionnel avec Azure AD, consultez le plan de déploiement de l’accès conditionnel.

Stratégies courantes pour Azure AD Multi-Factor Authentication

Voici les cas d’usage courants nécessitant Azure AD Multi-Factor Authentication :

• Pour les administrateurs
• Pour des applications spécifiques
• Pour tous les utilisateurs
• Pour la gestion d’Azure
• Pour les accès à partir d’emplacements réseau auxquels vous ne faites pas confiance

Emplacements nommés

Pour gérer vos stratégies d’accès conditionnel, la condition d’emplacement d’une stratégie d’accès conditionnel vous permet de lier les paramètres de contrôle d’accès aux emplacements réseau des utilisateurs. Nous vous recommandons d’utiliser des emplacements nommés pour pouvoir créer des regroupements logiques de plages d’adresses IP, ou de pays et de régions. Cela entraîne la création d’une stratégie qui bloque la connexion à partir de cet emplacement nommé pour toutes les applications. Veillez à exempter vos administrateurs de cette stratégie.

Stratégies basées sur les risques

Si votre organisation utilise Azure AD Identity Protection pour détecter les signaux de risque, utilisez des stratégies basées sur les risques à la place des emplacements nommés. Vous pouvez créer des stratégies pour forcer le changement de mot de passe en cas de menace de compromission d’identité, ou pour exiger MFA quand une connexion est considérée comme à risque, par exemple en cas de fuite d’informations d’identification, de connexions à partir d’adresses IP anonymes, etc.

Les stratégies basées sur les risques comprennent les contrôles suivants :

• Exiger que tous les utilisateurs s’inscrivent à Azure AD Multi-Factor Authentication
• Exiger un changement de mot de passe pour les utilisateurs à risque élevé
• Exiger MFA pour les utilisateurs dont la connexion est à risque moyen ou élevé

Convertir des utilisateurs de l’authentification multifacteur par utilisateur à l’authentification multifacteur basée sur l’accès conditionnel

Si vos utilisateurs passent par une MFA activée par utilisateur et appliquée, le script PowerShell suivant peut vous aider à effectuer la conversion en MFA basé sur l’accès conditionnel.

Exécutez ce script PowerShell dans une fenêtre ISE ou enregistrez-le en tant que fichier .PS1 à exécuter localement. L’opération peut uniquement être effectuée à l’aide du module MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Planifier la durée de vie des sessions utilisateur

Lorsque vous planifiez votre déploiement d’authentification multifacteur, il est important de réfléchir à la fréquence à laquelle vous souhaitez solliciter vos utilisateurs. Demander aux utilisateurs d’entrer des informations d’identification semble souvent être une chose à faire, mais cela peut avoir l’effet inverse. Si les utilisateurs sont formés pour entrer leurs informations d’identification sans les penser, ils peuvent les fournir involontairement à une invite d’informations d’identification malveillante. Azure AD a plusieurs paramètres qui déterminent la fréquence à laquelle vous devez vous réauthentifier. Déterminez les besoins de votre entreprise et de vos utilisateurs, puis configurez les paramètres qui offrent le meilleur compromis pour votre environnement.

Nous recommandons l’utilisation d’appareils avec des jetons d’actualisation PRT (Primary Refresh Tokens) permettant d’améliorer l’expérience de l’utilisateur final et de réduire la durée de vie de la session avec une stratégie de fréquence de connexion, uniquement pour les cas d’usage métier spécifiques.

Pour plus d’informations, consultez Optimiser les invites de réauthentification et comprendre le fonctionnement de la durée de vie des sessions Azure AD Multi-Factor Authentication.

Planifier l’inscription des utilisateurs

Une étape majeure dans chaque déploiement d’authentification multifacteur consiste à inscrire les utilisateurs pour qu’ils utilisent Azure AD Multi-Factor Authentication. Les méthodes d’authentification telles que les appels vocaux et les SMS permettent d’effectuer une préinscription, alors que d’autres méthodes, par exemple l’application Authenticator, nécessitent une interaction de l’utilisateur. Les administrateurs doivent déterminer comment les utilisateurs inscrivent leurs méthodes.

Inscription combinée pour SSPR et Azure AD MFA

L’expérience d’inscription combinée pour l’authentification multifacteur Azure AD et la réinitialisation de mot de passe en libre-service (SSPR) permet aux utilisateurs de s’inscrire à la fois simultanément à l’authentification multifacteur et à la réinitialisation de mot de passe en libre-service (SSPR) dans une expérience unifiée. La fonctionnalité SSPR permet aux utilisateurs de réinitialiser leur mot de passe de manière sécurisée avec les mêmes méthodes dont ils se servent pour Azure AD Multi-Factor Authentication. Pour vous assurer de bien comprendre la fonctionnalité et l’expérience utilisateur final, consultez Concepts de l’inscription combinée des informations de sécurité.

Il est essentiel d’informer les utilisateurs sur les changements à venir, les conditions d’inscription et toute action utilisateur nécessaire. Nous fournissons des modèles de communication et une documentation utilisateur afin de préparer vos utilisateurs à la nouvelle expérience et de garantir un déploiement réussi. Dirigez les utilisateurs vers https://myprofile.microsoft.com pour qu’ils s’inscrivent en sélectionnant le lien Informations de sécurité sur cette page.

Inscription avec Identity Protection

Azure AD Identity Protection contribue à la fois à une stratégie d'inscription et à des stratégies de détection et de correction automatisées des risques pour l'historique d'Azure AD Multi-Factor Authentication. Vous pouvez créer des stratégies pour forcer le changement de mot de passe en cas de menace de compromission d’identité, ou pour imposer une authentification MFA quand une connexion est considérée comme risquée. Si vous utilisez Azure AD Identity Protection, configurez la stratégie d’inscription Azure AD MFA pour inviter les utilisateurs à s’inscrire la prochaine fois qu’ils se connecteront de manière interactive.

Inscription sans Identity Protection

Si vous ne disposez pas de licences permettant d’activer Azure AD Identity Protection, les utilisateurs sont invités à s’inscrire la prochaine fois que l’authentification multifacteur est requise au moment de la connexion. Pour imposer l’authentification MFA aux utilisateurs, vous pouvez utiliser des stratégies d’accès conditionnel et cibler les applications fréquemment utilisées, par exemple les systèmes de gestion RH. Si le mot de passe d’un utilisateur est compromis, une personne peut s’en servir pour s’inscrire à l’authentification multifacteur et prendre le contrôle du compte. Nous vous recommandons donc de sécuriser le processus d’inscription avec des stratégies d’accès conditionnel nécessitant des appareils et des emplacements approuvés. Vous pouvez renforcer la sécurisation du processus en imposant également un passe d’accès temporaire. Il s’agit d’un code secret à durée limitée émis par un administrateur, qui répond aux impératifs de l’authentification forte et qui peut être utilisé pour intégrer d’autres méthodes d’authentification, notamment les méthodes d’authentification sans mot de passe.

Augmenter la sécurité des utilisateurs inscrits

Si des utilisateurs sont inscrits à l’authentification MFA basée sur des SMS ou des appels vocaux, vous pouvez les déplacer vers des méthodes plus sécurisées, par exemple l’application Microsoft Authenticator. Microsoft propose désormais une préversion publique des fonctionnalités qui vous permettent d’inviter les utilisateurs à configurer l’application Microsoft Authenticator durant la connexion. Vous pouvez définir ces invites par groupe, en contrôlant les personnes invitées, et en activant des campagnes ciblées pour déplacer les utilisateurs vers la méthode la plus sécurisée.

Planifier des scénarios de récupération

Comme indiqué, vérifiez que les utilisateurs sont inscrits à plusieurs méthodes MFA pour qu’ils aient une solution de secours au cas où l’une de ces méthodes ne seraient pas disponibles. Si les utilisateurs ne disposent pas d’une méthode de secours, vous pouvez :

• Leur fournir un passe d’accès temporaire pour qu’ils puissent gérer leurs propres méthodes d’authentification. Vous pouvez également fournir un passe d’accès temporaire pour permettre l’accès temporaire aux ressources.
• Mettre à jour leurs méthodes en tant qu’administrateur. Pour ce faire, sélectionnez l’utilisateur concerné dans le portail Azure, sélectionnez Méthodes d’authentification, puis mettez à jour ses méthodes.

Planifier l’intégration avec les systèmes locaux

Les applications qui s’authentifient directement auprès d’Azure AD et qui disposent d’une authentification moderne (WS-Fed, SAML, OAuth, OpenID Connect) peuvent tirer parti des stratégies d’accès conditionnel. Certaines applications héritées et locales ne s’authentifient pas directement auprès d’Azure AD et demandent des étapes supplémentaires pour utiliser Azure AD Multi-Factor Authentication. Vous pouvez les intégrer à l’aide du proxy d’application Azure AD ou des services de stratégie réseau.

Effectuer l’intégration aux ressources AD FS

Nous vous recommandons de migrer les applications sécurisées avec les services de fédération Active Directory (AD FS) vers Azure AD. Toutefois, si vous n’êtes pas prêt à les migrer vers Azure AD, vous pouvez utiliser l’adaptateur Azure Multi-Factor Authentication avec AD FS 2016 ou ultérieur.

Si votre organisation est fédérée avec Azure AD, vous pouvez configurer Azure AD Multi-Factor Authentication en tant que fournisseur d’authentification avec des ressources AD FS à la fois localement et dans le cloud.

Clients RADIUS et Azure AD Multi-Factor Authentication

En ce qui concerne les applications qui utilisent l’authentification RADIUS, nous vous recommandons de déplacer les applications clientes vers des protocoles modernes tels que SAML, OpenID Connect ou OAuth sur Azure AD. Si l’application ne peut pas être mise à jour, vous pouvez déployer un serveur NPS (Network Policy Server) avec l’extension Azure MFA. L’extension NPS (Network Policy Server) sert d’adaptateur entre les applications RADIUS et Azure AD MFA pour fournir un deuxième facteur d’authentification.

Intégrations courantes

De nombreux fournisseurs prennent désormais en charge l’authentification SAML pour leurs applications. Dans la mesure du possible, nous vous recommandons de fédérer ces applications avec Azure AD et d’appliquer l’authentification MFA via l’accès conditionnel. Si votre fournisseur ne prend pas en charge l’authentification moderne, vous pouvez utiliser l’extension NPS. Les intégrations courantes de clients RADIUS incluent des applications telles que les passerelles des services Bureau à distance et les serveurs VPN.

D’autres peuvent inclure :

• Citrix Gateway

  Citrix Gateway prend en charge l’intégration des extensions RADIUS et NPS ainsi que l’intégration de SAML.

• Cisco VPN

  • Cisco VPN prend en charge à la fois l’authentification RADIUS et l’authentification SAML pour SSO.
  • En passant de l’authentification RADIUS à SAML, vous pouvez intégrer Cisco VPN sans déployer l’extension NPS.

• Tous les VPN

Déployer Azure AD Multi-Factor Authentication

Votre plan de déploiement d’Azure AD Multi-Factor Authentication doit inclure un déploiement pilote suivi par des vagues de déploiement compatibles avec votre capacité de prise en charge. Commencez le déploiement en appliquant vos stratégies d’accès conditionnel à un petit groupe d’utilisateurs pilotes. Après avoir évalué l’impact sur les utilisateurs pilotes, le processus utilisé et les comportements d’inscription, vous pouvez ajouter d’autres groupes à la stratégie ou ajouter d’autres utilisateurs aux groupes existants.

Effectuez les étapes ci-dessous :

1. Respecter les prérequis nécessaires
2. Configurez les méthodes d’authentification choisies.
3. Configurez vos stratégies d’accès conditionnel.
4. Configurer les paramètres de durée de vie de session
5. Configurer les stratégies d’inscription Azure AD MFA

Gérer Azure AD Multi-Factor Authentication

Cette section fournit des informations sur la création de rapports et la résolution de problèmes pour Azure AD Multi-Factor Authentication.

Rapports et supervision

Azure AD propose des rapports qui fournissent des insights techniques et métier, suivent la progression de votre déploiement et vérifient si les utilisateurs réussissent à se connecter avec l’authentification MFA. Demandez à vos propriétaires d’applications métier et techniques de s’attribuer la propriété de ces rapports et de les consommer en fonction des exigences de votre organisation.

Vous pouvez superviser l’inscription et l’utilisation des méthodes d’authentification dans votre organisation à l’aide du tableau de bord d’activité des méthodes d’authentification. Cela vous permet de comprendre quelles sont les méthodes inscrites et comment elles sont utilisées.

Rapport de connexion pour passer en revue les événements MFA

Les rapports de connexion Azure AD incluent les détails d’authentification des événements quand un utilisateur est soumis à MFA, et indiquent si des stratégies d’accès conditionnel étaient en vigueur. Vous pouvez également utiliser PowerShell pour avoir des rapports sur les utilisateurs inscrits à Azure AD Multi-Factor Authentication.

L’extension NPS et les journaux AD FS pour l’activité MFA cloud sont désormais inclus dans les journaux de connexion et ne sont plus publiés dans Sécurité>Authentification multifacteur>Rapport d’activité.

Pour plus d’informations et plus de rapports Azure AD Multi-Factor Authentication, consultez Passer en revue les événements Azure AD Multi-Factor Authentication.

Résoudre les problèmes d’Azure AD Multi-Factor Authentication

Pour les problèmes courants, consultez Résolution des problèmes d’Azure AD Multi-Factor Authentication.

Étapes suivantes

Déployer d’autres fonctionnalités d’identité