Voici le sixième article de la série dédiée à la suite EMS (Enterprise Mobility + Security). Au cours des articles précédents, nous avons posé l’ensemble des briques nécessaires à l’utilisation des composants EMS et abordé la fonctionnalité Self Service Password Reset. Nous allons continuer à examiner les fonctionnalités proposées par cette solution, et pour aujourd’hui ce sera l’authentification multi facteur (Azure MFA).
Authentification multi facteur (MFA)
Azure MFA permet de sécuriser les ouvertures de session traitées par Azure AD et / ou Active Directory à l’aide d’une vérification en deux étapes. L’idée est de renforcer les règles de sécurité pour les authentifications de profils sensibles. L’authentification MFA nécessite au moins deux méthodes de vérification :
- Un élément connu par l’utilisateur (mot de passe)
- Un élément matériel de confiance difficile à dupliquer (téléphone mobile)
- Un élément propre à l’utilisateur (biométrie)
Azure MFA permet de déployer des règles d’authentification forte et simples à utiliser (SMS, appel téléphonique, application mobile). Les méthodes proposées sont les suivantes :
| Méthode de vérification | Description |
| Appel téléphonique | Un appel est passé sur le téléphone de l’utilisateur demandant de vérifier qu’il se connecte. Appuyez sur la touche # pour finaliser le processus de vérification. Cette option est configurable et peut être remplacée par un code que vous spécifiez. |
| SMS | Un SMS sera envoyé sur le smartphone de l’utilisateur avec un code à 6 chiffres. Entrez ce code pour finaliser le processus de vérification. |
| Notification sur l’application mobile | Une demande de vérification sera envoyée sur le smartphone de l’utilisateur lui indiquant de terminer la vérification en sélectionnant Vérifier depuis l’application mobile. Cela se produit si une notification de l’application est la méthode de vérification principale. Si l’utilisateur reçoit cette notification lorsqu’il ne se connecte pas, il peut la signaler comme fraude. |
| Code de vérification avec application mobile | L’application mobile sur l’appareil d’un utilisateur génère un code de vérification. Cela se produit si vous avez sélectionné un code de vérification comme méthode de vérification principale. |
Azure MFA est disponible en trois versions :
| Version | Description |
| MFA pour Office 365 | Cette version fonctionne exclusivement avec les applications Office 365 et est gérée à partir du portail Office 365. De ce fait, les administrateurs peuvent désormais sécuriser leurs ressources Office 365 avec la vérification en deux étapes. Cette version est fournie avec un abonnement à Office 365. |
| MFA pour administrateurs Azure | Le même sous-ensemble de fonctionnalités de vérification en deux étapes pour Office 365 est disponible gratuitement pour l’ensemble des administrateurs Azure. Tout compte administratif dans le cadre d’un abonnement Azure peut activer cette fonctionnalité pour bénéficier d’une protection supplémentaire. Un administrateur qui souhaite accéder au portail Azure afin de créer une machine virtuelle, un site web, gérer le stockage, ou utiliser tout autre service Azure peut ajouter une authentification multi-facteur à son compte d’administrateur. |
| Azure MFA | Azure MFA fournit des options de configuration supplémentaires via le Portail Azure Classic, des fonctions de rapports avancées et la prise en charge d’une sélection d’applications locales et dans le cloud. Azure MFA, fourni avec Azure Active Directory Premium et Enterprise Mobility Suite, peut être déployé localement ou dans le cloud. |
Le détail des fonctionnalités propres à ces différentes versions est le suivant :
| Fonctionnalité | MFA pour Office 365 | MFA pour les administrateurs Azure | Azure MFA (Azure AD Premium et EMS) |
| Les administrateurs peuvent protéger les comptes avec MFA |
x |
Uniquement pour les comptes |
x |
| Application mobile comme second facteur |
x |
x |
x |
| Appel téléphonique comme second facteur |
x |
x |
x |
| SMS comme second facteur |
x |
x |
x |
| Mots de passe d’application pour les clients qui ne prennent pas en charge MFA |
x |
x |
x |
| Contrôle d’administration sur les méthodes d’authentification |
x |
x |
x |
| Mode du code PIN |
|
|
x |
| Alerte de fraude |
|
|
x |
| Rapports MFA |
|
|
x |
| Contournement à usage unique |
|
|
x |
| Messages de bienvenue personnalisés pour les appels téléphoniques |
|
|
x |
| Personnalisation de l’ID d’appelant pour les appels téléphoniques |
|
|
x |
| Confirmation d’événement |
|
|
x |
| Adresses IP approuvées |
|
|
x |
| Mémoriser MFA pour les appareils fiables |
x |
x |
x |
| SDK MFA |
|
|
Requiert un fournisseur MFA et un abonnement Azure |
| MFA pour des applications locales utilisant le serveur MFA |
|
|
x |
La fonctionnalité Azure MFA étant soumise à licence, elle s’active au cas par cas par utilisateur. Cette activation peut se faire depuis le portail Office 365 :
L’activation de Azure MFA peut alors être traitée au cas par cas, ou massivement avec la fonction « Bulk Update » :
Sur ce même portail, il sera possible de définir les paramètres de mémorisation, offrant aux utilisateurs la possibilité de valider Azure MFA pour une durée prédéterminée (dans l’exemple ci-dessous : 1 jour)
Il sera possible de définir des adresses IP de confiance pour lesquelles l’authentification Azure MFA ne sera pas demandée :
- Adresses internes pour les réseaux fédérés (ADFS)
- Adresses externes pour les réseaux gérés (synchronisation des mots de passe)
Il sera également possible d’accéder au paramétrage avancé ainsi qu’aux rapports d’utilisation en ouvrant une console spécifique :
Cette console permet l’administration de la fonctionnalité MFA : configuration, rapports, interaction sur les comptes d’utilisateurs …
Un utilisateur activé en MFA devra enregistrer un périphérique MFA lors du prochain accès à Azure AD (Office 365 ou autre application reposant sur Azure AD) :
Après avoir passé l’authentification principale (ID / mot de passe), l’utilisateur est invité à enregister une méthode MFA :
Un numéro de téléphone mobile est nécessaire, l’utilisateur peut choisir entre le SMS et l’appel téléphonique :
Dans le cas du SMS, l’utilisateur doit saisir le code récu par SMS sur son mobile :
Un mot de passe d’application est généré au cas ou l’utilisateur souhaite utiliser des applications non développées avec ADAL (versions d’office antérieures à 2013 par exemple) :
Une fois l’inscription effectuée, l’utilisateur activé en MFA sera soumis à une double authentification lors de l’accès à une application liée à Azure AD. Si l’option de mémorisation a été définie, l’utilisateur aura le choix de cocher la case permettant de ne pas être soumis au MFA à nouveau durant la période configurée. Ce sera par exemple le cas pour Office 365 :
Une fois la double authentification effectuée, l’utilisateur accède à ses applications :
L’authentification MFA fonctionnera également pour les applications liées à Azure AD par un client riche utilisant ADAL, comme Outlook 2016 :
Il sera possible de définir des exceptions MFA, permettant aux utilisateurs de ne pas être soumis à la double authentification dans certaines conditions :
- Accès effectués depuis des réseaux approuvés
- Accès effectuées depuis des périphériques approuvés
Voilà qui clôture cet aperçu de la fonctionnalité MFA, nous verrons lors du prochain article comment associer des facteurs de risques à l’authentification MFA avec la fonctionnalité d’accès conditionnel.