Microsoft commencera bientôt à déployer des politiques d’accès conditionnel exigeant une authentification multifacteur (MFA) de la part des administrateurs lors de la connexion aux portails d’administration Microsoft tels que Microsoft Entra, Microsoft 365, Exchange et Azure.
La société déploiera également des politiques qui nécessiteront une MFA pour les utilisateurs MFA par utilisateur pour toutes les applications cloud et une qui nécessitera une MFA pour les connexions à haut risque (cette dernière étant uniquement disponible pour les clients Microsoft Entra ID Premium Plan 2).
Ces politiques gérées par Microsoft (créées par Microsoft sur les locataires des clients) seront progressivement ajoutées en mode rapport uniquement aux locataires Microsoft Entra éligibles à partir de la semaine prochaine. Une fois le déploiement atteint leur locataire, les administrateurs disposeront de 90 jours pour les examiner et choisir s’ils souhaitent les activer ou non.
Redmond activera automatiquement ces politiques d’accès conditionnel uniquement sur les locataires pour lesquels elles n’ont pas été désactivées dans les 90 jours suivant le déploiement.
« Faites très attention à la première politique. C’est notre forte recommandation (et une politique que nous déploierons en votre nom) que l’authentification multifacteur protège tous les accès des utilisateurs aux portails d’administration tels que https://portal.azure.com, Microsoft 365 admin. et le centre d’administration Exchange », a déclaré Alex Weinert, vice-président de Microsoft pour la sécurité des identités.
« Veuillez noter que même si vous pouvez vous désinscrire de ces politiques, les équipes de Microsoft exigeront de plus en plus une authentification multifacteur pour des interactions spécifiques, comme elles le font déjà pour certains scénarios de gestion des abonnements Azure, l’Espace partenaires et l’inscription des appareils Microsoft Intune. »
Une fois ajoutés, les administrateurs disposant au moins du rôle d’administrateur d’accès conditionnel peuvent trouver ces stratégies dans le centre d’administration Microsoft Entra sous Protection > Accès conditionnel > Stratégies.
Ils peuvent également modifier l’état (Activé, Désactivé ou Rapport uniquement) de toutes les stratégies gérées par Microsoft, ainsi que les identités exclues (Utilisateurs, Groupes et Rôles) au sein de la stratégie.
Redmond conseille aux organisations d’exclure les comptes d’accès d’urgence ou de bris de glace de ces politiques, tout comme elles le feraient avec d’autres politiques d’accès conditionnel.
Microsoft offre également la possibilité de modifier davantage ces stratégies en les clonant à l’aide du bouton Dupliquer dans la liste des stratégies et en les adaptant comme n’importe quelle autre stratégie d’accès conditionnel, en commençant par les valeurs par défaut recommandées par Microsoft.
« Notre objectif est une authentification multifacteur à 100 pour cent. Étant donné que des études formelles montrent que l’authentification multifacteur réduit le risque de piratage de compte de plus de 99 pour cent, chaque utilisateur qui s’authentifie devrait le faire avec une authentification forte moderne », a déclaré Weinert.
« Notre objectif final est de combiner des informations et des recommandations en matière de politiques basées sur l’apprentissage automatique avec un déploiement automatisé de politiques afin de renforcer votre posture de sécurité en votre nom avec les contrôles appropriés. »