27/12/2024

Entreprise

Microsoft va activer des paramètres de sécurité sur tous les tenants Azure AD

Microsoft a fait une annonce importante au sujet d'Azure Active Directory (Azure AD) et qui s'adresse à toutes les entreprises qui possèdent un tenant ! La firme de Redmond va activer, par défaut, certaines fonctionnalités de sécurité sur tous les tenants d'ici la fin juin 2022.

Depuis octobre 2019, chaque nouveau tenant est livré dans une configuration un peu plus stricte afin d'avoir un niveau de sécurité par défaut satisfaisant. Cela est forcément bénéfique aux entreprises qui n'ont pas une équipe IT ou qui n'ont pas suffisamment de compétences sur la gestion d'Azure AD. Deux ans plus tard, ce sont près de 30 millions d'entreprises qui utilisent un tenant Azure AD avec ces paramètres par défaut activé.

Microsoft veut aller plus loin afin de protéger tous les tenants contre ces attaques basiques à destination des comptes utilisateurs, en s'intéressant aux tenants existants. De ce fait, Alex Weinert de chez Microsoft précise :"C'est pourquoi nous sommes ravis d'annoncer le déploiement de la sécurité par défaut pour les tenants existants, en ciblant ceux qui n'ont pas modifié leurs paramètres de sécurité depuis le déploiement.".

Quand Microsoft va commencer le déploiement de cette configuration, les administrateurs (rôle Administrateur Global) seront informés et pourront, soit activer les paramètres de sécurité par défaut, soit en suspendre l'application pendant 14 jours, après quoi ils seront activés automatiquement.

Lorsque Microsoft parle d'activer par défaut les options de sécurité (security defaults), cela fait référence à l'activation de l'authentification multifacteurs (MFA) sur tous les comptes et à l'utilisation exclusive des méthodes d'authentification modernes. Un client qui ne supporte pas le MFA, ne pourra plus s'authentifier avec les méthodes d'authentification classique.

Si vous n'êtes pas convaincu quant à l'utilisation du MFA, sachez que d'après les données télémétriques de Microsoft, le fait d'imposer le MFA à ses utilisateurs permet d'empêcher 99,9% des attaques de compromission de comptes. Les entreprises ont toujours la possibilité de désactiver ces fonctionnalités.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “Microsoft va activer des paramètres de sécurité sur tous les tenants Azure AD

  • Bonjour, même si Microsoft active le MFA par défaut sur l’ensemble d’un tenant, pensez vous qu’il sera possible de revenir à une authentification classique par mot de passe? Merci d’avance.

    Répondre
  • Et si on a une pki ? Un certificat ? Mfa en plus ou pas ?

    Répondre
  • Bonjour, savez par quel moyen le MFA sera imposé (règle de condition d’accès ?) et quelles sont les mesures pour le contourner temporairement ?
    Merci

    Répondre
    • Bonjour, j’ai finalement obtenu une réponse de Microsoft:

      L’activation de MFA va être distribuée graduellement sur tous les tenants d’ici la fin juin 2022 et non pas 30 septembre 2022.
      Pour votre question à a la base :
      Que se passe-t-il si un client veut accepter les risques et souhaite laisser les paramètres de sécurité par défaut désactivés ?

      Si vous comprenez et acceptez les risques de ne pas utiliser un niveau de sécurité de base pour votre organisation, vous pouvez désactiver les paramètres de sécurité par défaut via les propriétés Azure Active Directory ou via le centre d’administration Microsoft 365. Lorsque vous désactivez les paramètres de sécurité par défaut.

      Donc vous pouvez toujours désactiver la MFA même après cette date-là pour n’importe quel utilisateur

      Répondre
  • La question qui se pose c’est : Quid de la responsabilité en cas de hacking notamment pour les services basés sur de la consommation ??
    Car si Microsoft propose une solution de MFA (et non l’impose), l’idée c’est de sécuriser un minimum les environnements clients.

    Pour avoir déjà vu des situations un peu compliquées sur AWS et Azure pour des clients qui se sont fait hackés leurs comptes admin qui n’étaient pas assez sécurisés notamment via un système d’authentification forte. Quand ils se retrouvent avec une facture qui fait x1000 en 2 semaines (et ce n’est pas une blague), blâmer le fournisseur de service n’est pas très opportun d’autant plus si le client a été négligeant sur ses comptes utilisateur et sensibles.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.