Microsoft a averti jeudi les administrateurs mondiaux d’Entra d’activer l’authentification multifacteur (MFA) pour leurs locataires jusqu’au 15 octobre pour s’assurer que les utilisateurs ne perdent pas l’accès aux portails d’administration.
Cela fait partie de l’initiative Secure Future (SFI) récemment annoncée par Redmond et vise à garantir que les comptes Azure sont protégés contre les tentatives de phishing et de détournement en appliquant l’authentification multifacteur obligatoire pour toutes les tentatives de connexion Azure.
Les administrateurs ayant besoin de plus de temps pour se préparer à l’exigence de l’AMF peuvent reporter la date d’application pour chaque locataire jusqu’au 15 avril 2025, entre le 15 août et le 15 octobre.
Cependant, « en reportant la date de début de l’application, vous prenez un risque supplémentaire car les comptes qui accèdent aux services Microsoft comme le portail Azure sont des cibles très précieuses pour les auteurs de menaces », a averti Redmond. « Nous recommandons à tous les locataires de configurer MFA maintenant pour sécuriser les ressources cloud. »
Microsoft a envoyé des préavis de 60 jours à tous les administrateurs mondiaux d’Entra par e-mail et des notifications d’intégrité du service Azure pour leur rappeler la date de début de l’application et les actions qu’ils doivent entreprendre jusqu’en octobre.
Si l’authentification multifacteur n’est pas activée et qu’il n’y a aucune demande de report de l’application jusqu’en octobre, les utilisateurs devront configurer l’authentification multifacteur avant de se connecter aux portails d’administration (c’est-à-dire les centres d’administration Entra et Intune et le portail Azure) pour effectuer des opérations de création, de lecture, de mise à jour ou de suppression (CRUD).
L’authentification multifacteur sera également requise lorsque vous tenterez d’accéder à des services accessibles via le centre d’administration Intune, tels que Windows 365 Cloud PC.
Début 2025, Microsoft commencera également à appliquer l’authentification multifacteur pour les connexions Azure pour ceux qui souhaitent accéder aux outils Azure PowerShell, CLI, application mobile et Infrastructure en tant que code (IaC).
»À partir d’octobre, MFA devra se connecter au portail Azure, au centre d’administration Microsoft Entra et au centre d’administration Intune. L’application sera progressivement étendue à tous les locataires du monde entier », ont déclaré Naj Shahid, Chef de produit principal, et Bill DeForeest, chef de produit principal Azure Compute.
« À partir du début de 2025, l’application progressive de l’authentification multifacteur à la connexion pour Azure CLI, Azure PowerShell, Azure mobile app et les outils d’Infrastructure en tant que code (IaC) commencera. »
Les administrateurs peuvent surveiller qui s’est inscrit à l’authentification multifacteur dans leurs locataires à l’aide du rapport d’enregistrement des méthodes d’authentification ou de ce script PowerShell pour obtenir un rapport rapide de l’état de l’authentification multifacteur sur l’ensemble de la base d’utilisateurs.
Le rappel de cette semaine fait suite à une annonce de mai selon laquelle l’authentification multifacteur sera appliquée pour tous les utilisateurs se connectant à Azure pour administrer les ressources en juillet et à une annonce de novembre concernant le déploiement de stratégies d’accès conditionnel exigeant l’authentification multifacteur pour tous les administrateurs se connectant aux portails d’administration Microsoft (par exemple, Entra, Microsoft 365, Exchange et Azure), pour les utilisateurs de toutes les applications cloud et les connexions à haut risque.
Une étude de Microsoft a révélé que la MFA offre une protection solide aux comptes d’utilisateurs contre les cyberattaques, car elle permet à 99,99% des comptes activés par la MFA de résister aux tentatives de piratage et réduit le risque de compromission de 98,56%, même lorsque des attaquants tentent de violer des comptes à l’aide d’informations d’identification volées.
« Notre objectif est une authentification multifacteur à 100%. Étant donné que des études formelles montrent que l’authentification multifacteur réduit le risque de prise de contrôle de compte de plus de 99%, chaque utilisateur qui s’authentifie devrait le faire avec une authentification forte moderne », a déclaré Alex Weinert, vice-président de Microsoft pour la sécurité des identités, en novembre.
GitHub, propriété de Microsoft, a également commencé à appliquer l’authentification à deux facteurs (2FA) pour tous les développeurs actifs en janvier dans le cadre du même effort visant à stimuler l’adoption de l’AMF.