Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les paramètres de sécurité par défaut vous aident à protéger votre organisation des attaques liées à l’identité, telles que la pulvérisation de mot de passe, la relecture et le hameçonnage, pratiques courantes dans les environnements actuels.
Microsoft rend les paramètres de sécurité préconfigurés accessibles à tous, car nous savons que la gestion de la sécurité peut être une tâche difficile. Selon nos connaissances, plus de 99,9 % de ces attaques liées à l’identité sont stoppées en utilisant l’authentification multifacteur et en bloquant l’authentification héritée. Notre but est de s’assurer que toutes les organisations ont au moins un niveau de sécurité de base activé, sans coût supplémentaire.
Ces contrôles de base sont les suivants :
- En exigeant que tous les utilisateurs s’inscrivent à l'authentication multifacteur
- En exigeant des administrateurs qu’ils effectuent l’authentification multifacteur
- En exigeant des utilisateurs qu’ils effectuent l’authentification multifacteur si nécessaire
- En bloquant les protocoles d’authentification hérités.
- En protégeant les activités privilégiées, telles que l’accès au portail Azure.
À qui cela s’adresse-t-il ?
- Les organisations qui souhaitent augmenter leur niveau de sécurité, mais ne savent pas comment ou où commencer.
- Les organisations qui utilisent le niveau gratuit de la licence Microsoft Entra ID.
Qui devrait utiliser l’accès conditionnel ?
- Si vous êtes une organisation utilisant des licences Microsoft Entra ID P1 or P2, les paramètres de sécurité par défaut ne vous conviendront peut-être pas.
- Si votre organisation a des exigences de sécurité complexes, vous devriez envisager l’accès conditionnel.
Activation des paramètres de sécurité par défaut
Si votre locataire a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire. Pour protéger tous nos utilisateurs, les paramètres de sécurité par défaut sont déployés sur tous les nouveaux locataires créés.
Pour aider les organisations à se protéger, nous améliorons en permanence la sécurité des services de compte Microsoft. Dans le cadre de cette protection, les clients sont régulièrement avertis de l’activation automatique des paramètres de sécurité par défaut s’ils :
- Ne disposent d’aucune stratégie d’accès conditionnel
- Ne disposent pas de licences Premium
- N’utilisent pas activement les clients d’authentification hérités
Une fois ce paramètre activé, tous les utilisateurs de l’organisation doivent s’inscrire à l’authentification multifacteur. Pour éviter toute confusion, consultez l’e-mail que vous avez reçu. Vous pouvez également désactiver les paramètres de sécurité par défaut après qu’ils aient été activés.
Pour configurer les valeurs par défaut de sécurité dans votre annuaire, vous devez disposer au moins du rôle Administrateur d’accès conditionnel.
Par défaut, l’utilisateur qui crée un locataire Microsoft Entra est automatiquement affecté au rôle Administrateur global.
Pour activer les paramètres de sécurité par défaut :
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Entra ID>Vue d'ensemble>Propriétés.
- Sélectionnez Gérer les paramètres de sécurité par défaut.
- Définissez Paramètres de sécurité sur Activé.
- Sélectionnez Enregistrer.
Révocation des jetons actifs
Dans le cadre de l’activation des paramètres de sécurité par défaut, les administrateurs doivent révoquer tous les jetons existants pour exiger que tous les utilisateurs s’inscrivent à l’authentification multifacteur. Cet événement de révocation force les utilisateurs précédemment authentifiés à s’authentifier et à s’inscrire à l’authentification multifacteur. Cette tâche peut être effectuée en utilisant la cmdlet PowerShell Revoke-AzureADUserAllRefreshToken.
Stratégies de sécurité appliquées
Exiger que tous les utilisateurs s’inscrivent à l’authentification multifacteur Microsoft Entra.
Note
À compter du 29 juillet 2024, les nouveaux locataires et les locataires existants ont la période de grâce de 14 jours pour que les utilisateurs s’inscrivent à l’authentification multifacteur supprimée. Nous avons apporté cette modification pour réduire le risque de compromission de compte pendant la fenêtre de 14 jours, car l’authentification multifacteur peut bloquer plus de 99,2% d’attaques basées sur des identités.
Lorsque les utilisateurs se connectent et sont invités à effectuer l’authentification multifacteur, un écran leur fournit un numéro à entrer dans l’application Microsoft Authenticator. Cette mesure permet d’empêcher les utilisateurs de tomber dans le piège des attaques de fatigue MFA.
Obliger les administrateurs à effectuer l’authentification multifacteur
Les administrateurs ont davantage d’accès à votre environnement. En raison du pouvoir que ces comptes hautement privilégiés ont, traitez-les avec des soins spéciaux. Une méthode courante pour améliorer la protection de comptes privilégiés consiste à demander une forme de vérification de compte plus stricte pour se connecter, par exemple l'authentification multifacteur.
Conseil
Recommandations pour vos administrateurs :
- Assurez-vous que tous vos administrateurs se connectent après avoir activé les paramètres de sécurité par défaut afin de s’inscrire aux méthodes d’authentification.
- Disposez de comptes distincts pour les tâches d’administration et les tâches de productivité Standard, afin de réduire considérablement le nombre de fois où vos administrateurs sont invités à utiliser l’authentification multifacteur.
Une fois l’inscription terminée, les rôles Administrateur suivants sont nécessaires pour effectuer une authentification supplémentaire chaque fois qu’ils se connectent :
- Administrateur général
- Administrateur d’application
- Administrateur d’authentification
- Administrateur de facturation
- Administrateur d'applications cloud
- Administrateur de l’accès conditionnel
- Administrateur Exchange
- Administrateur du support technique
- Administrateur de mots de passe
- Administrateur d’authentification privilégié
- Administrateur de rôle privilégié
- Administrateur de sécurité
- Administrateur SharePoint
- Administrateur d'utilisateurs
- Administrateur de la stratégie d’authentification
- Administrateur Identity Governance
Exiger des utilisateurs qu’ils effectuent l’authentification multifacteur si nécessaire
Nous avons tendance à considérer que les comptes administrateur sont les seuls qui nécessitent des couches d’authentification supplémentaires. Les administrateurs ont largement accès à des informations sensibles et peuvent modifier des paramètres à l’échelle d’un abonnement. Pourtant, les attaquants ciblent souvent les utilisateurs finaux.
Une fois que ces personnes malveillantes ont accès, elles peuvent demander l’accès aux informations privilégiées pour le compte du détenteur du compte d’origine. Elles peuvent même télécharger l’annuaire entier pour effectuer une attaque par hameçonnage sur l’ensemble de votre organisation.
Une méthode courante pour améliorer la protection de tous les utilisateurs consiste à demander une forme de vérification de compte plus stricte, telle que l’authentification multifacteur, pour tous. Lorsque les utilisateurs ont terminé l’inscription, ils sont invités à fournir une authentification supplémentaire chaque fois que c’est nécessaire. Microsoft décide quand un utilisateur est invité à procéder à une authentification multifacteur, en fonction de facteurs tels que l’emplacement, l’appareil, le rôle et la tâche. Cette fonctionnalité protège toutes les applications inscrites, y compris les applications SaaS.
Note
En cas d’utilisateurs de connexion directe B2B , toute exigence d’authentification multifacteur activée par défaut de sécurité dans le locataire de ressources doit être satisfaite, y compris l’inscription d’authentification multifacteur par l’utilisateur de connexion directe dans son locataire domestique.
Bloquer les protocoles d’authentification hérités
Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, nous prenons en charge un large éventail de protocoles d’authentification, notamment l’authentification héritée. L’authentification héritée est un terme qui fait référence à une requête d’authentification effectuée par :
- Les clients Office qui n'utilisent pas l'authentification moderne (par exemple, un client Office 2010)
- Tout client qui utilise d’anciens protocoles de messagerie tels que IMAP, SMTP ou POP3
Aujourd’hui, la plupart des tentatives de connexion compromettantes ont pour origine l’authentification héritée. L’authentification héritée ne prend pas en charge l’authentification multifacteur. Même si une stratégie d’authentification multifacteur est activée sur votre annuaire, un attaquant peut s’authentifier à l’aide d’un protocole plus ancien et contourner l’authentification multifacteur.
Lorsque les paramètres de sécurité par défaut sont activés dans votre locataire, toutes les demandes d’authentification effectuées par un protocole hérité sont bloquées. Les paramètres par défaut de sécurité bloquent l’authentification de base Exchange Active Sync.
Warning
Avant d’activer les paramètres de sécurité par défaut, assurez-vous que vos administrateurs n’utilisent aucun protocole d’authentification plus anciens. Pour plus d’informations, voir Comment se passer de l’authentification héritée.
Protéger les activités privilégiées, telles que l’accès au portail Azure
Les organisations utilisent divers services Azure managés par le biais de l’API Azure Resource Manager, entre autres :
- Portail Azure
- Centre d'administration Microsoft Entra
- Azure PowerShell
- Azure CLI (Interface de ligne de commande Azure)
Utiliser Azure Resource Manager pour gérer vos services est une action très privilégiée. Azure Resource Manager peut modifier des configurations à l’échelle du locataire, telles que les paramètres de service et la facturation de l’abonnement. L’authentification à facteur unique est vulnérable à diverses attaques comme le hameçonnage et la pulvérisation de mots de passe.
Il est important de vérifier l’identité des utilisateurs qui souhaitent accéder aux configurations Azure Resource Manager et de mise à jour. Vous vérifiez leur identité en exigeant une authentification supplémentaire avant d’autoriser l’accès.
Une fois que vous avez activé les paramètres de sécurité par défaut dans votre locataire, tous les utilisateurs qui accèdent aux services suivants doivent effectuer l’authentification multifacteur :
- Portail Azure
- Centre d'administration Microsoft Entra
- Azure PowerShell
- Azure CLI (Interface de ligne de commande Azure)
Cette stratégie s’applique à tous les utilisateurs accédant aux services Azure Resource Manager, qu’ils soient administrateurs ou utilisateurs. Cette stratégie s’applique aux API Azure Resource Manager, telles que l’accès à votre abonnement, vos machines virtuelles, vos comptes de stockage, etc. Cette stratégie n’inclut pas Microsoft Entra ID ni Microsoft Graph.
Note
Les locataires Exchange Online créés avant 2017 ont une authentification moderne désactivée par défaut. Pour éviter la possibilité d’une boucle de connexion lors de l’authentification par le biais de ces locataires, vous devez activer l’authentification moderne.
Note
Les comptes de synchronisation Microsoft Entra Connect / Microsoft Entra Cloud Sync (ou tout principal de sécurité affecté au rôle « Comptes de synchronisation d’annuaires ») sont exclus des paramètres de sécurité par défaut et ne sont pas invités à s’inscrire ou à effectuer une authentification multifacteur. Les organisations ne doivent pas utiliser ce compte à d’autres fins.
Points à prendre en considération pour le déploiement
Préparation de vos utilisateurs
Il est essentiel d’informer les utilisateurs sur les changements à venir, les conditions d’inscription et toute action utilisateur nécessaire. Nous fournissons des modèles de communication et une documentation utilisateur afin de préparer vos utilisateurs à la nouvelle expérience et de garantir un déploiement réussi. Dirigez les utilisateurs vers https://myprofile.microsoft.com pour qu’ils s’inscrivent en sélectionnant le lien Informations de sécurité sur cette page.
Méthodes d’authentification
Les utilisateurs des paramètres de sécurité par défaut doivent s’inscrire et utiliser l'authentification multifacteur avec l’application Microsoft Authenticator avec des notifications. Les utilisateurs peuvent utiliser des codes de vérification de l’application Microsoft Authenticator, mais ils peuvent uniquement s’inscrire à l’aide de l’option de notification. Les utilisateurs peuvent également utiliser n’importe quelle application non-Microsoft à l’aide de OATH TOTP pour générer des codes.
Warning
Ne désactivez pas les méthodes de votre organisation si vous utilisez des paramètres de sécurité par défaut. La désactivation des méthodes peut entraîner le verrouillage de votre locataire. Laissez toutes les méthodes disponibles pour les utilisateurs activées dans le portail des paramètres du service MFA.
Utilisateurs B2B
Tout utilisateur invité B2B ou utilisateur de connexion directe B2B accédant à votre annuaire est traité comme les utilisateurs de votre organisation.
État MFA désactivé
Si votre organisation utilisait précédemment l'authentification multifacteur par utilisateur, ne vous inquiétez pas de ne pas voir les utilisateurs à l’état Activé ou Appliqué lorsque vous examinez la page d’état de l'authentification multifacteur. L’état Désactivé est approprié pour les utilisateurs utilisant les paramètres de sécurité par défaut ou l'authentification multifacteur basée sur l’accès conditionnel.
Désactivation des paramètres de sécurité par défaut
Les organisations choisissant d’implémenter des stratégies d’accès conditionnel qui remplacent les paramètres de sécurité par défaut doivent désactiver les paramètres de sécurité par défaut.
Désactivez les paramètres de sécurité par défaut dans votre répertoire :
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Entra ID>Vue d'ensemble>Propriétés.
- Sélectionnez Gérer les paramètres de sécurité par défaut.
- Définissez Paramètres de sécurité par défaut sur Désactivé (non recommandé).
- Sélectionnez Enregistrer.
Passer des paramètres de sécurité par défaut à l’accès conditionnel
Bien que les valeurs par défaut de sécurité soient une bonne base de référence pour établir votre posture de sécurité, elles n’autorisent pas la personnalisation dont de nombreuses organisations ont besoin. Les stratégies d’accès conditionnel fournissent une gamme complète de personnalisations dont les organisations plus complexes ont besoin.
| Paramètres de sécurité par défaut | Accès conditionnel | |
|---|---|---|
| Licences requises | Aucune | Au moins Microsoft Entra ID P1 |
| Personnalisation | Aucune personnalisation (activée ou désactivée) | Entièrement personnalisable |
| Activé par | Microsoft ou administrateur | Administrateurs |
| Complexité : | Simple à utiliser | Entièrement personnalisable en fonction de vos besoins |
Étapes recommandées pour passer des paramètres de sécurité par défaut
Les organisations qui souhaitent tester les fonctionnalités de l’accès conditionnel peuvent s’inscrire à une version d’évaluation gratuite pour commencer.
Une fois que les administrateurs ont désactivé les paramètres de sécurité par défaut, les organisations doivent activer immédiatement les stratégies d’accès conditionnel pour protéger leur organisation. Ces stratégies doivent inclure au moins celles de la catégorie bases sécurisées des modèles d’accès conditionnel. Les organisations disposant de licences Microsoft Entra ID P2 incluant la protection Microsoft Entra ID peuvent élargir cette liste en incluant des stratégies basées sur les risques de connexion et d’utilisateur pour renforcer davantage leur posture.
Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence exclusivement destinés au cloud auxquels le rôle Administrateur global est attribué de manière permanente. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont réservés aux situations d'urgence ou aux cas exceptionnels où les comptes normaux ne peuvent pas être utilisés ou lorsque tous les autres administrateurs sont accidentellement bloqués. Ces comptes doivent être créés conformément aux recommandations relatives aux comptes d'accès d'urgence.
Étapes suivantes
- Blog : Présentation des paramètres de sécurité par défaut
- Pour plus d’informations sur les licences, consultez la page de tarification de Microsoft Entra.