Renforcer la résilience grâce à la gestion des informations d’identification

Lorsqu’une information d’identification est présentée à Microsoft Entra ID dans une demande de jeton, plusieurs dépendances doivent être disponibles pour la validation. Le premier facteur d’authentification repose sur l’authentification Microsoft Entra et, dans certains cas, sur l’infrastructure locale. Pour plus d’informations sur les architectures d’authentification hybride, consultez Renforcer la résilience de votre infrastructure hybride.

Si vous implémentez un second facteur, les dépendances du second facteur sont ajoutées aux dépendances de la première. Par exemple, si votre premier facteur s’effectue via l’authentification directe (PTA) et que votre second facteur est par SMS, vos dépendances sont les suivantes.

  • Services d’authentification Microsoft Entra
  • Service d’authentification multifacteur (MFA) Microsoft Entra
  • Infrastructure locale
  • Opérateur téléphonique
  • Appareil de l’utilisateur (non représenté)

Image of authentication methods and dependencies

Votre stratégie d’informations d’identification doit prendre en compte les dépendances de chaque type d’authentification et approvisionner des méthodes qui évitent un point de défaillance unique.

Comme les méthodes d’authentification ont des dépendances différentes, il est judicieux d’autoriser les utilisateurs à s’inscrire à autant d’options de deuxième facteur que possible. Veillez à inclure des seconds facteurs avec des dépendances différentes dans la mesure du possible. Par exemple, les appels vocaux et les SMS en tant que seconds facteurs partagent les mêmes dépendances, de sorte que les avoir comme seules options ne réduit pas le risque.

La stratégie d’informations d’identification la plus résiliente consiste à utiliser l’authentification par mot de passe. Windows Hello Entreprise et les clés de sécurité FIDO 2.0 ont moins de dépendances que l’authentification forte avec deux facteurs distincts. L’application Microsoft Authenticator, Windows Hello Entreprise et les clés de sécurité FIDO 2.0 sont les plus sécurisées.

En ce qui concerne les seconds facteurs, l’application Microsoft Authenticator ou d’autres applications d’authentification utilisant un mot de passe à usage unique et à durée définie (TOTP) ou des jetons matériels OAuth ont le moins de dépendances, et sont donc plus résilientes.

Comment des informations d’identification multiples contribuent-elles à la résilience ?

L’approvisionnement de plusieurs types d’informations d’identification offre aux utilisateurs des options qui prennent en compte leurs préférences et leurs contraintes environnementales. Par conséquent, l’authentification interactive où les utilisateurs sont invités à l’authentification multifacteur est plus résistante aux dépendances spécifiques qui ne seront pas disponibles au moment de la demande. Vous pouvez optimiser les invites de réauthentification pour l’authentification multifacteur.

En plus de la résilience des utilisateurs individuels décrite ci-dessus, les entreprises doivent prévoir des mesures d’urgence en cas de perturbations à grande échelle, telles que les erreurs opérationnelles qui introduisent une erreur de configuration, une catastrophe naturelle ou une panne de ressources à l’échelle de l’entreprise pour un service de fédération local (surtout lorsqu’il est utilisé pour l’authentification multifacteur).

Comment implémenter des informations d’identification résilientes ?

Étapes suivantes

Ressources de résilience pour les administrateurs et les architectes

Ressources de résilience pour les développeurs