Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs

Les comptes auxquels des rôles d’administration privilégiés sont des cibles fréquentes des attaquants. Exiger une authentification multifactorielle (MFA) résistante au phishing sur ces comptes est un moyen facile de réduire le risque de compromission de ces comptes.

Attention

Avant de créer une stratégie nécessitant une authentification multifacteur résistante au hameçonnage, assurez-vous que vos administrateurs disposent des méthodes appropriées inscrites. Si vous activez cette stratégie sans effectuer cette étape, vous risquez de vous verrouiller hors de votre locataire. Les administrateurs peuvent Configurer un Passe d’accès temporaire pour inscrire des méthodes d’authentification sans mot de passe ou suivre les étapes dans Inscrire une clé d’accès (FIDO2).

Microsoft vous recommande d’exiger au minimum une authentification multifacteur résistante au hameçonnage sur les rôles suivants :

  • Administrateur général
  • Administrateur d’application
  • Administrateur d’authentification
  • Administrateur de facturation
  • Administrateur d'applications cloud
  • Administrateur de l’accès conditionnel
  • Administrateur Exchange
  • Administrateur du support technique
  • Administrateur de mots de passe
  • Administrateur d’authentification privilégié
  • Administrateur de rôle privilégié
  • Administrateur de sécurité
  • Administrateur SharePoint
  • Administrateur d'utilisateurs

Il est possible que des organisations choisissent d’inclure ou d’exclure des rôles en fonction de leurs propres exigences.

Les organisations peuvent utiliser cette stratégie en combinaison avec des fonctionnalités telles que Azure Active Directory Privileged Identity Management (PIM) et sa capacité à exiger l’authentification multifacteur (MFA) pour une activation de rôle.

Force de l’authentification

Les conseils de cet article aident votre organisation à créer une stratégie MFA pour votre environnement à l’aide des forces d’authentification. Microsoft Entra ID fournit trois forces d’authentification intégrées :

  • Force d’authentification multifacteur (moins restrictive)
  • Force de l’authentification multifacteur sans mot de passe
  • Force MFA résistante au hameçonnage (la plus restrictive) recommandée dans cet article

Vous pouvez utiliser l’une des forces intégrées ou créer une force d’authentification personnalisée basée sur les méthodes d’authentification que vous souhaitez exiger.

Pour les scénarios d’utilisateur externe, les méthodes d’authentification MFA qu’un locataire de ressource peut accepter varient selon que l’utilisateur termine l’authentification multifacteur dans son locataire domestique ou dans le locataire de ressource. Pour plus d’informations, consultez La force d’authentification pour les utilisateurs externes.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

  • Accès d’urgence ou comptes de secours pour empêcher le verrouillage en raison d’une configuration incorrecte de la stratégie. Dans le scénario peu probable, tous les administrateurs sont verrouillés, votre compte d’administration d’accès d’urgence peut être utilisé pour se connecter et prendre des mesures pour récupérer l’accès.
  • Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
    • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Déploiement de modèle

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou à l’aide des modèles d’accès conditionnel.

Créer une stratégie d’accès conditionnel

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel>Stratégies.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez rôles d’annuaire et choisissez au moins les rôles précédemment répertoriés.

      Avertissement

      Les stratégies d’accès conditionnel prennent en charge les rôles intégrés. Les stratégies d’accès conditionnel ne sont pas appliquées pour d’autres types de rôles, y compris les rôles limités à une étendue d’unité administrative ou les rôles personnalisés.

    2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.

  6. Sous Ressources cibles>(anciennement applications cloud)>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
  7. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Exiger la force d’authentification, puis sélectionnez Force MFA résistante au hameçonnage dans la liste.
    2. Sélectionnez Sélectionner.
  8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  9. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.