[Azure AD] L’authentification multi-facteur (MFA) : mise en œuvre

Nous avons vu dans le précédent article ce qu’est l’authentification multi-facteur (MFA), le principe sur lequel est repose ainsi que les fonctionnalités disponibles selon votre niveau de licence Azure AD (Free, Office 365 ou Premium). Maintenant, je vais vous présenter comment elle peut être mise en œuvre dans un tenant Azure AD Free puis Premium.

Prérequis rôles d’administration (RBAC)

La première chose à faire sera d’accéder au centre d’administration du service Azure Active Directory au travers du portail Azure.
Pour cela, vous devez avoir les droits nécessaires, soit l’un des rôles suivants :

L’authentification multi-facteur par défaut (Azure AD Free et Premium)

Si vous disposez d’un tenant Microsoft Azure AD créé à partir du 22 octobre 2019 et aujourd’hui : bonne nouvelle, l’authentification multi-facteur est activée par défaut lors de sa création et sans surcoût. En effet, Microsoft souhaite que l’ensemble de ses clients et utilisateurs disposent d’un niveau de sécurité de base renforcé.

Quels sont les options disponibles avec les options de sécurité par défaut ?

  • Demande d’enregistrement d’un second moyen d’authentification à l’ensemble des utilisateurs sous 14 jours
  • MFA obligatoire pour les administrateurs
  • Protocoles d’authentification obsolètes désactivés (mot de passe d’application disponible)
  • MFA déployé lors d’une authentification aux services liés au tenant Azure AD (Services Microsoft 365, portails d’administration de services, service tiers utilisant Azure AD comme fournisseur d’identité, …)

Pour vérifier si les options de sécurité par défaut sont activées, connectez-vous au portail Azure > Azure Active Directory > Propriétés > Gérer les paramètres de sécurité par défaut. L’option sera positionné soit sur oui (Actif) ou non (inactif).

Gérer l’authentification MFA

Pour gérer l’authentification MFA auprès de vos utilisateurs, rendez-vous sur l’Azure AD > Utilisateurs et cliquer sur MFA par utilisateur. Le portail d’administration MFA s’ouvre dans un nouvel onglet.

Le portail est composé de 2 onglets. Le premier : Utilisateurs et paramètres du service.

Utilisateurs : Cet onglet permet de voir l’activation de manière individuelle. Cependant, l’activation du MFA au travers des paramètres de sécurité par défaut étant une propriété valable à l’intégralité du tenant, il n’est pas possible de voir l’état du MFA pour vos utilisateurs sur cette vue.
Ici, il s’agit par exemple d’activer le MFA de manière personnalisée à un utilisateur dans un cas où le MFA n’est pas actif au sein de votre organisation. Cela est utile si vous faites un déploiement progressif auprès de vos utilisateurs.

Paramètres du service : Cet onglet vous permet de définir les options du service MFA.

  • Autoriser ou non les mots de passe d’application : Ces mots de passe permettent à vos utilisateurs utilisant une applications ne prenant pas en charge l’authentification MFA (aussi appelée moderne), de créer un mot de passe pour cette dernière.
    Le MFA ne sera pas appliquée à une application utilisant ce mot de passe, qui n’est visible qu’une fois.
  • Définir les options de vérification : Selon le niveau de licence possédé par votre organisation, vous pourrez ajouter ou retirer les moyens de double authentification. Dans le cas d’un tenant Azure AD Free, les options disponibles sont :
    • SMS par téléphone
    • Notification via application mobile (Microsoft Authenticator)
    • Code de vérification à partir d’une application ou d’un jeton matériel (clé Yubikey par exemple)

Les différents états du MFA par utilisateur :

  • Désactivé : L’authentification multi-facteur n’est pas active. Connexion avec mot de passe uniquement.
  • Activé : L’authentification multi-facteur est activé à cet utilisateur. Il peut paramétrer ses méthodes d’authentification via son compte Microsoft 365 (https://aka.ms/MFASetup)
  • Appliqué : En plus de l’état Activé, ici l’utilisateur est obligé d’enregistrer un autre moyen d’authentification lors de sa prochaine connexion.

Ces derniers points seront abordés plus en détails prochainement.
D’ici là, je vous souhaite à toutes et tous d’excellentes fêtes de fin d’année 🙂 !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.