Renforcer la résilience grâce à la gestion des informations d’identification
Lorsqu’une information d’identification est présentée à Microsoft Entra ID dans une demande de jeton, plusieurs dépendances peuvent être disponibles pour la validation. Le premier facteur d’authentification repose sur l’authentification Microsoft Entra et, dans certains cas, sur une dépendance externe (non-Entra ID), telle que l’infrastructure sur site. Pour plus d’informations sur les architectures d’authentification hybride, consultez Renforcer la résilience de votre infrastructure hybride.
La stratégie d’informations d’identification la plus résiliente et sécurisée consiste à utiliser l’authentification par mot de passe. Les clés de sécurité Windows Hello Entreprise et Passkey (FIDO 2.0) ont moins de dépendances que d’autres méthodes MFA. Pour les utilisateurs macOS, les clients peuvent activer les informations d’identification de la plateforme pour macOS. Lorsque vous implémentez ces méthodes, les utilisateurs sont en mesure d’effectuer une authentification multifacteur (MFA) sans mot de passe et résistante au hameçonnage.
Conseil
Pour obtenir une présentation approfondie du déploiement de ces méthodes d’authentification, consultez l’authentification résistante au hameçonnage dans Microsoft Entra ID
Si vous implémentez un second facteur, les dépendances du second facteur sont ajoutées aux dépendances de la première. Par exemple, si votre premier facteur est l’authentification directe (PTA) et que votre deuxième facteur est le SMS, vos dépendances sont les suivantes.
- Services d’authentification Microsoft Entra
- Service d’authentification multifacteur (MFA) Microsoft Entra
- Infrastructure locale
- Opérateur téléphonique
- Appareil de l’utilisateur (non représenté)
Votre stratégie d’informations d’identification doit prendre en compte les dépendances de chaque type d’authentification et approvisionner des méthodes qui évitent un point de défaillance unique.
Comme les méthodes d’authentification ont des dépendances différentes, il est judicieux d’autoriser les utilisateurs à s’inscrire à autant d’options de deuxième facteur que possible. Veillez à inclure des seconds facteurs avec des dépendances différentes dans la mesure du possible. Par exemple, les appels vocaux et les SMS en tant que seconds facteurs partagent les mêmes dépendances, de sorte que les avoir comme seules options ne réduit pas le risque.
En ce qui concerne les seconds facteurs, l’application Microsoft Authenticator ou d’autres applications d’authentification utilisant un mot de passe à usage unique et à durée définie (TOTP) ou des jetons matériels OAuth ont le moins de dépendances, et sont donc plus résilientes.
Détails supplémentaires sur les dépendances externes (non entra)
| Méthode d’authentification | Dépendance externe (non entra) | Informations supplémentaires |
|---|---|---|
| Authentification par certificat (CBA) | Dans la plupart des cas (en fonction de la configuration), l’adaptateur CBA nécessite une vérification de révocation. Cela ajoute une dépendance externe au point de distribution de liste de révocation de certificats (CDP) | Présentation du processus de révocation de certificat |
| Authentification directe (PTA) | PTA utilise des agents locaux pour traiter l’authentification par mot de passe. | Comment fonctionne l’authentification directe de Microsoft Entra ? |
| Fédération | Les serveurs de fédération doivent être en ligne et disponibles pour traiter la tentative d’authentification | Déploiement des services AD FS haute disponibilité par-delà les frontières dans Azure avec Azure Traffic Manager |
| Méthodes d’authentification externes (EAM) | EAM fournit un chemin d’accès pour que les clients utilisent des fournisseurs MFA externes. | Gérer une méthode d’authentification externe dans Microsoft Entra ID (préversion) |
Comment des informations d’identification multiples contribuent-elles à la résilience ?
L’approvisionnement de plusieurs types d’informations d’identification offre aux utilisateurs des options qui prennent en compte leurs préférences et leurs contraintes environnementales. Par conséquent, l’authentification interactive où les utilisateurs sont invités à l’authentification multifacteur est plus résistante aux dépendances spécifiques qui ne seront pas disponibles au moment de la demande. Vous pouvez optimiser les invites de réauthentification pour l’authentification multifacteur.
En plus de la résilience des utilisateurs individuels décrite ci-dessus, les entreprises doivent prévoir des mesures d’urgence en cas de perturbations à grande échelle, telles que les erreurs opérationnelles qui introduisent une erreur de configuration, une catastrophe naturelle ou une panne de ressources à l’échelle de l’entreprise pour un service de fédération local (surtout lorsqu’il est utilisé pour l’authentification multifacteur).
Comment implémenter des informations d’identification résilientes ?
- Déployer des identifiants sans mot de passe. Préférez les méthodes résistantes au hameçonnage telles que les Windows Hello Entreprise, les clés secrètes (à la fois la connexion à authenticator passkey et les clés de sécurité FIDO2) et l’authentification basée sur des certificats (CBA) pour augmenter la sécurité tout en réduisant les dépendances.
- Déployez l’application Microsoft Authenticator en tant que second facteur.
- Migrez de la fédération vers l’authentification cloud pour supprimer la dépendance vis-à-vis du fournisseur d’identité fédéré.
- Activez la synchronisation de hachage du mot de passe pour les comptes hybrides qui sont synchronisés à partir de Windows Server Active Directory. Cette option peut être activée en même temps que les services de fédération tels que services de fédération Active Directory (AD FS) fournit une solution de repli en cas d’échec du service de fédération.
- Analysez l’utilisation des méthodes d’authentification multifacteur pour améliorer l’expérience des utilisateurs.
- Implémentez une stratégie résiliente de contrôle d’accès
Étapes suivantes
Ressources de résilience pour les administrateurs et les architectes
- Renforcer la résilience grâce aux états des appareils
- Renforcer la résilience en utilisant Évaluation continue de l’accès (CAE)
- Renforcer la résilience de l’authentification des utilisateurs externes
- Renforcer la résilience de votre authentification hybride
- Renforcer la résilience de l’accès aux applications avec Proxy d’application