Configurer des seuils de verrouillage intelligent
Le verrouillage intelligent permet d'éviter que des acteurs malveillants essaient de deviner les mots de passe de vos utilisateurs ou utilisent des méthodes de force brute pour rentrer dans vos systèmes. Le verrouillage intelligent peut reconnaître les connexions provenant d’utilisateurs validés et les traiter différemment de celles des attaquants et autres sources inconnues. Le verrouillage intelligent empêche les attaquants de pénétrer dans le système, tout en permettant à vos utilisateurs d’accéder à leurs comptes et de travailler.
Fonctionnement du verrouillage intelligent
Par défaut, le verrouillage intelligent empêche les tentatives de connexion au compte pendant une minute après 10 tentatives infructueuses. Le compte est à nouveau verrouillé après chaque échec de connexion suivant, pendant une minute à la première, puis plus longtemps lors des tentatives suivantes. Afin de minimiser les moyens dont dispose un attaquant pour contourner ce comportement, nous ne divulguons pas le rythme auquel la période de verrouillage s’allonge au fil des tentatives de connexion infructueuses.
Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d’éviter d’incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur entre plusieurs fois le même mot de passe incorrect, le compte n'est pas verrouillé.
Les déploiements fédérés utilisant AD FS 2016 et AD FS 2019 peuvent bénéficier d’avantages similaires à ceux fournis par l’utilisation du verrouillage extranet et du verrouillage intelligent extranet AD FS.
Le verrouillage intelligent est activé en permanence pour les clients Microsoft Entra ID disposant des paramètres par défaut qui offrent la combinaison idéale de sécurité et de facilité d'utilisation. Pour personnaliser les paramètres de verrouillage intelligent avec des valeurs spécifiques à votre organisation, vos utilisateurs ont besoin d'une licence Microsoft Entra ID Premium P1 ou d'une licence de niveau supérieur.
L’utilisation du verrouillage intelligent ne garantit pas qu’un véritable utilisateur n’est jamais verrouillé. Lorsque le verrouillage intelligent verrouille un compte d'utilisateur, nous mettons tout en œuvre pour ne pas verrouiller le véritable utilisateur. Le service de verrouillage veille à ce que des personnes mal intentionnées n’aient pas accès au compte d’un véritable utilisateur. Les considérations suivantes s'appliquent :
- Chaque centre de données Microsoft Entra effectue le suivi des verrous indépendamment. Un utilisateur dispose d'un nombre de tentatives de (
threshold\_limit * datacenter\_count) s'il atteint chaque centre de données. - Le verrouillage intelligent utilise un emplacement familier par opposition à un emplacement inconnu pour faire la différence entre une personne mal intentionnée et le véritable utilisateur. Les emplacements familiers et inconnus disposent tous deux de compteurs de verrouillages distincts.
Le verrouillage intelligent peut être intégré aux déploiements hybrides à l’aide de la synchronisation du hachage de mot de passe ou de l’authentification directe, en vue d’empêcher les comptes Active Directory Domain Services (AD DS) locaux d’être verrouillés par les attaquants. En définissant les stratégies de verrouillage intelligent nécessaires dans Microsoft Entra ID, vous pouvez bloquer les attaques avant même qu’elles atteignent l’instance AD DS locale.
Lorsque l’administrateur configure l’authentification directe, les considérations suivantes s’appliquent :
- Le seuil de verrouillage de Microsoft Entra est inférieur au seuil de verrouillage de compte AD DS. Définissez les valeurs de sorte que le seuil de verrouillage de compte AD DS soit au moins deux ou trois fois supérieur au seuil de verrouillage Microsoft Entra.
- La durée de verrouillage Microsoft Entra doit être définie comme plus longue que celle du verrouillage de compte AD DS. La durée est définie en secondes, tandis que la durée d'AD est définie en minutes.
Si vous souhaitez, par exemple, que la durée du verrouillage intelligent soit supérieure à celle de l'AD DS, Microsoft Entra ID devra être défini sur 120 secondes (2 minutes) alors que l'AD local est défini sur 1 minute (60 secondes). Si vous souhaitez que le seuil de verrouillage soit de 5, le seuil de verrouillage de l'AD local doit être de 10. Cette configuration garantit que le verrouillage intelligent empêche le verrouillage de vos comptes AD locaux par des attaques par force brute sur vos comptes Microsoft Entra.