Étape par étape : Configuration de l'authentification multifacteur (MFA) dans Azure AD

Étape par étape : Configuration de l'authentification multifacteur (MFA) dans Azure AD

02/01/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et la mise en œuvre de l'authentification multifacteur (MFA) dans Azure Active Directory (maintenant Microsoft Entra ID). MFA est une couche de sécurité essentielle qui oblige les utilisateurs à fournir au moins deux formes de vérification pour prouver leur identité avant d'y accéder, réduisant ainsi considérablement le risque de compromission de compte [1].

Présentation

Dans le paysage actuel des cybermenaces, les mots de passe seuls ne suffisent plus à protéger les comptes utilisateur. Les attaques de phishing, la pulvérisation de mots de passe et le vol d'identifiants sont des tactiques couramment utilisées par les attaquants. L'authentification multifacteur (MFA) ajoute une couche de sécurité critique en exigeant que les utilisateurs fournissent quelque chose qu'ils connaissent (mot de passe), quelque chose qu'ils possèdent (téléphone, jeton matériel) ou quelque chose qu'ils sont (empreinte digitale, reconnaissance faciale). La mise en œuvre de MFA est l'une des mesures de sécurité les plus efficaces qu'une organisation puisse prendre pour protéger ses ressources dans Microsoft Entra ID et les services associés [2].

Ce guide pratique couvrira les étapes de configuration de MFA dans Azure AD, en se concentrant sur différentes méthodes de mise en œuvre, depuis les configurations de base jusqu'à l'utilisation de stratégies d'accès conditionnel pour un contrôle plus granulaire. Des instructions étape par étape, des exemples de configurations et des méthodes de validation seront fournis pour garantir que le lecteur peut appliquer efficacement l'AMF dans son environnement.

Pourquoi la MFA est-elle cruciale ?

  • Réduction des risques : réduit considérablement la probabilité de compromission du compte, même en cas de vol de mots de passe.
  • Conformité : de nombreuses normes et réglementations de sécurité nécessitent la mise en œuvre de la MFA pour protéger les données sensibles.
  • Protection contre le phishing : ajoute une barrière contre les attaques de phishing, car l'attaquant aurait besoin non seulement du mot de passe, mais également du deuxième facteur.
  • Flexibilité : Azure AD propose plusieurs options de second facteur telles que l'application Microsoft Authenticator, les SMS, les appels téléphoniques et les jetons matériels, permettant aux utilisateurs de choisir la méthode la plus pratique et la plus sécurisée.

Prérequis

Pour configurer MFA dans Azure AD, vous aurez besoin des éléments suivants :

  1. Licence : une licence qui inclut les fonctionnalités Azure AD MFA. Il peut s'agir de licences Azure AD Free (avec paramètres de sécurité par défaut), Azure AD Premium P1 ou P2 (pour accès conditionnel) ou Microsoft 365 incluant Azure AD Premium [3].
  2. Accès administratif : un compte avec les autorisations d'administrateur général ou d'administrateur d'authentification dans le portail Azure (portal.azure.com) ou le centre d'administration Microsoft Entra (entra.microsoft.com).
  3. Appareils de test : au moins un compte utilisateur de test et un appareil (smartphone) pour configurer et valider MFA.
  4. Comptes d'accès d'urgence : Il est de bonne pratique de créer et de sécuriser des comptes à bris de verre exemptés de MFA pour éviter les verrouillages en cas de problèmes avec le système MFA [4].

Étape par étape : configuration de l'authentification multifacteur (MFA) dans Azure AD

Il existe plusieurs façons d’activer MFA dans Azure AD. Nous aborderons les deux plus courants : Valeurs de sécurité par défaut (pour des configurations de base rapides) et Politiques d'accès conditionnel (pour un contrôle granulaire).

Option 1 : Activer l'authentification multifacteur à l'aide des paramètres de sécurité par défaut (recommandé pour les petites et moyennes entreprises)

Les paramètres de sécurité par défaut fournissent un ensemble de politiques de sécurité de base recommandées par Microsoft, notamment l'exigence d'une MFA pour tous les utilisateurs et administrateurs. C'est un moyen simple et efficace d'augmenter rapidement la sécurité.

  1. Accédez au centre d'administration Microsoft Entra : « https://entra.microsoft.com ».
  2. Dans le volet de navigation de gauche, accédez à Protection > Présentation de la sécurité.
  3. Dans la section Activer les paramètres de sécurité par défaut, cliquez sur Gérer les paramètres de sécurité par défaut.
  4. Dans le volet Paramètres de sécurité par défaut, définissez l'option Activer les paramètres de sécurité par défaut sur Oui.
  5. Cliquez sur Enregistrer.

Remarque : Une fois activés, les paramètres de sécurité par défaut nécessiteront que tous les utilisateurs configurent MFA lors de leur prochaine connexion. Il leur sera demandé d'enregistrer l'application Microsoft Authenticator. Les paramètres de sécurité par défaut sont idéaux pour les organisations qui n'ont pasm Licences Azure AD Premium P1 ou P2 et nécessitent une implémentation MFA rapide et standardisée. Il n'est pas possible d'utiliser simultanément l'accès conditionnel et les paramètres de sécurité par défaut ; l'un désactive l'autre.

Option 2 : Activer l'authentification multifacteur à l'aide de stratégies d'accès conditionnel (recommandé pour le contrôle granulaire et les grandes entreprises)

Les politiques d'accès conditionnel (CA) vous permettent de définir des conditions spécifiques dans lesquelles l'authentification multifacteur sera requise, offrant ainsi beaucoup plus de flexibilité que les paramètres de sécurité par défaut. Cette option nécessite une licence Azure AD Premium P1 ou P2.

2.1. Créer un groupe d'utilisateurs de test

C'est une bonne pratique de tester les stratégies d'accès conditionnel sur un petit groupe d'utilisateurs avant de les déployer dans l'ensemble de votre organisation.

  1. Dans le centre d'administration Microsoft Login, accédez à Identité > Groupes > Tous les groupes.
  2. Cliquez sur Nouveau groupe.
  3. Remplissez les détails :
    • Type de groupe : Sécurité
    • Nom du groupe : MFA_Users_Test
    • Les rôles Azure AD peuvent être attribués à un groupe : Non
    • Type d'adhésion : attribué
  4. Ajoutez des utilisateurs de test en tant que membres et cliquez sur Créer.

2.2. Créer une stratégie d'accès conditionnel pour exiger l'authentification multifacteur

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel.
  2. Cliquez sur Nouvelle stratégie > Créer une nouvelle stratégie.
  3. Nom : « Exiger MFA pour tous les utilisateurs » (ou « Exiger MFA pour le groupe de test » en cas de test).
  4. Responsabilités :
    • Utilisateurs d'identité ou charges de travail : sélectionnez Tous les utilisateurs (ou le groupe MFA_Users_Test pour les tests).
    • Supprimer : Il est crucial de supprimer ici vos comptes d'accès d'urgence pour éviter d'être bloqué. Ajoutez également tous les comptes de service qui ne peuvent pas utiliser MFA.
  5. Ressources ou actions cloud : sélectionnez Toutes les applications cloud.
  6. Conditions (Facultatif, pour une granularité supplémentaire) :
    • Vous pouvez configurer des conditions en fonction de l'emplacement, des appareils, des applications clientes, etc. Par exemple, exiger l'authentification MFA uniquement pour un accès depuis l'extérieur du réseau d'entreprise.
  7. Subvention :
    • Sélectionnez Accorder l'accès.
    • Cochez Exiger une authentification multifacteur.
    • Cliquez sur Sélectionner.
  8. Séance (Facultatif) :
    • Vous pouvez configurer le contrôle de la fréquence de connexion ou la persistance de la session.
  9. Activer la stratégie : définissez sur Rapport uniquement pour tester l'impact avant de l'appliquer, ou sur Activé pour l'appliquer immédiatement.
  10. Cliquez sur Créer.

2.3. Configurer les méthodes d'authentification

Il est important de définir quelles méthodes MFA sont disponibles pour les utilisateurs.

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Méthodes d'authentification > Politiques.
  2. Ici, vous pouvez activer ou désactiver des méthodes telles que Microsoft Authenticator, SMS, appel vocal, etc. Il est recommandé d'activer Microsoft Authenticator et SMS comme méthodes principales.
  3. Configurez les options pour chaque méthode, telles que le mode d'enregistrement de l'authentificateur (pas de mot de passe ni de notification push).

Validation et tests

Après avoir configuré MFA, il est essentiel de valider qu’il fonctionne comme prévu.

1. Testez une connexion utilisateur

  1. Ouvrez une fenêtre de navigateur en mode navigation privée/privé.
  2. Accédez à une application couverte par la politique MFA (ex : portal.office.com).
  3. Connectez-vous avec le compte d'un utilisateur inclus dans la politique MFA.
  4. Il doit être demandé à l'utilisateur de configurer MFA (s'il s'agit de la première connexion après l'activation) ou de fournir le deuxième facteur (par exemple, approuver la notification dans Microsoft Authenticator, saisir le code SMS).

2. Vérifiez le statut d'enregistrement MFA

  1. Dans le centre d'administration Microsoft Login, accédez à Identité > Utilisateurs > Tous les utilisateurs.
  2. Cliquez sur un utilisateur, puis sur Méthodes d'authentification.
  3. Vérifiez les méthodes d'authentification enregistrées pour l'utilisateur. Cela confirmera que l’utilisateur a correctement configuré MFA.

3. Utiliser le mode Rapport uniquement (pour l'accès conditionnel)

Si vous avez configuré la stratégie d'accès conditionnel en mode Rapport uniquement, vous pouvez vérifier les résultats sans application.

  1. Dans le centre d'administration Microsoft Login, accédez à Protection > Accès conditionnel.
  2. Cliquez sur la stratégie que vous avez créée et accédez à l'onglet Rapport uniquement.
  3. Analysez les résultats pour voir quels utilisateurs et applications seraient affectés par la stratégie et si l'authentification multifacteur serait nécessaire.

Conseils de sécurité et bonnes pratiques

  • Exiger l'authentification multifacteur pour les administrateurs : exigez toujours l'authentification multifacteur pour les comptes administratifs, quelles que soient les autres politiques. Ces comptes sont des cibles privilégiées pour les attaques.
  • Éducation des utilisateurs : formez les utilisateurs sur l'importance de la MFA et sur la façon de la configurer et de l'utiliser correctement. Expliquez comment identifier et signaler les tentatives de phishing MFA.
  • Microsoft Authenticator : favorisez l'utilisation de l'application Microsoft Authenticator avec des notifications push, car elle est considérée comme l'une des méthodes les plus sûres et les plus simples à utiliser, en plus d'être résistante à certains types d'attaques de phishing.
  • Politiques d'accès conditionnel granulaires : utilisez l'accès conditionnel pour affiner les cas où l'authentification multifacteur est requise (par exemple, en dehors du réseau d'entreprise, pour les applications à haut risque, pour les utilisateurs occupant des rôles privilégiés).
  • Révision périodique : examinez régulièrement vos politiques MFA et vos méthodes d'authentification enregistrées par les utilisateurs pour vous assurer qu'elles restent efficaces et sécurisées.
  • Comptes d'urgence : maintenez un processus rigoureux pour les comptes d'accès d'urgence, y compris le stockage sécurisé des informations d'identification et l'audit régulier de leur utilisation.

Dépannage courant

  • L'utilisateur ne parvient pas à configurer MFA : vérifiez que l'utilisateur dispose d'une licence appropriée et que les méthodes d'authentification souhaitées sont activées. Guidez l’utilisateur à suivre attentivement les instructions d’enregistrement.
  • Utilisateur bloqué après l'activation de MFA : Vérifiez si l'utilisateur a été exclu d'une politique d'accès conditionnel ou s'il y a un problème avec la méthode MFA configurée. Utilisez des comptes d’accès d’urgence si nécessaire.
  • MFA n'est pas demandé : vérifiez que la stratégie d'accès conditionnel est activée et attribuée aux utilisateurs et applications appropriés. Si vous utilisez les paramètres de sécurité par défaut, assurez-vous qu'il n'existe aucune stratégie d'accès conditionnel conflictuelle.
  • Problèmes liés à l'application d'authentification : vérifiez la connectivité réseau de votre appareil mobile et si les notifications sont activées pour l'application. Essayez de supprimer et d'ajouter à nouveau le compte dans l'application.

Conclusion

L'authentification multifacteur est un pilier fondamental de la sécurité des identités moderne. La configuration de MFA dans Azure AD, notamment via des stratégies d’accès conditionnel, offre une défense robuste contre les accès non autorisés. En suivant les directives de cet article, votre organisation sera mieux équipée pour protéger les identités des utilisateurs et les ressources critiques, en atténuant les risques et en renforçant votre posture de sécurité globale. N'oubliez pas que la sécurité est un processus continu qui nécessite une adaptation et une amélioration constantes.

Références :

[1] Microsoft Apprendre. Qu'est-ce que l'authentification multifacteur ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Apprendre. Planifiez un déploiement d'authentification multifacteur Microsoft Entra. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Apprendre. Licence d'authentification multifacteur Microsoft Entra. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Apprendre. Créez des comptes d'accès d'urgence sur Microsoft Entra ID. Disponible sur : https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts