Voici le cinquième article de la série dédiée à la suite EMS (Enterprise Mobility + Security). Au cours des articles précédents, nous avons posé l’ensemble des briques nécessaires à l’utilisation des composants EMS, et allons à présent nous focaliser sur les fonctionnalités proposées par cette solution, en commençant par celles liées à Azure AD Premium.
Azure AD est le moteur d’authentification de l’ensemble des offres Online de Microsoft, il est par conséquent inclus de facto dès lors que l’on dispose d’un abonnement à l’une de ces offres et permet de faire ce que l’on en attend : authentifier les utilisateurs lorsqu’ils accèdent à un service. En revanche, les services à valeur ajoutée de Azure AD ne sont proposés que dans des souscriptions payantes, à choisir parmi les éditions suivantes :
|
Azure AD Free |
Fonctionnalités de base de gestion d’identité destinée à l’usage des offres Online |
|
Azure AD Basic |
Ajout des fonctionnalités de réinitialisation des mots de passe pour les comptes « cloud », de la gestion des accès aux applications pour les groupes, du service de publication « Azure Application Proxy » et d’un SLA de 99,9% |
|
Azure AD Premium P1 |
Ajout des fonctionnalités « Azure Multifactor Authentication », d’une meilleure gestion des identités (groupes dynamiques), de la licence On-Premise « Microsoft Identity Manager », du service « self-service password reset » avec réécriture On-Premise, du service « Cloud App Discovery », du service « Connect Health », de rapports de sécurité avancés |
|
Azure AD Premium P2 |
Ajout du service « Azure Identity Protection », de la fonctionnalité « Privileged Identity Management » |
Le détail des fonctionnalités disponibles par édition est disponible sur cette page. Pour aujourd’hui, gros plan sur la fonctionnalité réinitialisation des mots de passe en livre service avec réécriture locale.
Réinitialisation des mots de passe en libre-service avec Password WriteBack.
Cette fonctionnalité offre un portail en libre-service permettant la réinitialisation des mots de passe en cas d’oubli ou d’expiration. La réinitialisation des mots de passe nécessite une inscription préalable (authentification par SMS, adresse mail alternative, questions secrètes) et permet aux utilisateurs de réinitialiser leur mot de passe oublié ou expiré. La réinitialisation se fait sur un portail dédié de la plateforme Azure AD et se répercute sur l’annuaire Active Directory grâce à la fonctionnalité Password Writeback de l’outil Azure AD Connect.
Le fonctionnement s’appuie sur les composants suivants :
- Le portail SSPR (Self Service Password Reset)
- Le Service Bus
- Le Password Reset Endpoint
La fonctionnalité SSPR permet d’envisager les scénarios suivants :
| L’utilisateur connait son pot de passe mais souhaite le changer | Changement du mot de passe (expiré ou non) en libre-service sans avoir à contacter le HelpDesk |
| L’utilisateur a oublié son mot de passe | Réinitialisation du mot de passe en libre-service sans avoir à contacter le HelpDesk |
| L’utilisateur a verrouillé son compte et souhaite le déverrouiller | Déverrouillage du compte utilisateur en libre-service sans avoir à contacter le HelpDesk |
| L’administrateur souhaite avoir un suivi d’activité sur la réinitialisation des mots de passe | Des rapports d’activité sont fournis sur le portail Azure |
La logique est la suivante :
- L’utilisateur joint le portail de réinitialisation des mots de passe (SSPR)
- L’utilisateur est challengé par authentification SMS et atteint l’écran de réinitialisation de son mot de passe.
- L’utilisateur choisit un nouveau mot de passe et le confirme
- Le mot de passe est chiffré par une clé symétrique générée lors de la mise en service de la fonctionnalité
- Le mot de passe chiffré est transmis par un canal SSL au « Service Bus »
- Après réception du mot de passe chiffré, le Service Bus notifie le Password Reset Endpoint d’une requête en attente
- Le Password Reset Endpoint identifie l’utilisateur OnPremise correspondant à l’utilisateur Cloud à l’origine de la demande.
- Après identification, le mot de passe de l’utilisateur correspondant est modifié dans la forêt Active Directory
- Si la modification aboutit, l’utilisateur en est notifié
- Si l’opération échoue, l’utilisateur peut recommencer. L’opération peut notamment échouer si le mot de passe choisi ne correspond pas aux règles de mot de passe en vigueur dans l’entreprise (complexité, longueur, période de renouvellement …)
La fonctionnalité Password WriteBack de l’outil Azure AD Connect permet de réécrire les mots de passe dans la forêt Active Directory. Pour activer cette fonctionnalité, il suffit de choisir l’option Password Writeback dans les options de synchronisation que j’ai décrites sur cet article
L’activation de SSPR peut être faite depuis le portail Azure Classic ou le portail Azure moderne. Dans l’exemple ci-dessous, je présente l’activation avec le portail Azure moderne. Dans l’espace Azure AD, il faut choisir l’option Réinitialisation des mots de passe.
SSPR peut être activé Tout le monde ou pour un groupe d’utilisateurs particulier :
Il faut ensuite choisir les options de sécurité liées à la réinitialisation. SSPR propose les méthodes suivantes:
- Adresse de messagerie secondaire
- Téléphone mobile
- Téléphone fixe
- Questions de sécurité
Les questions de sécurité peuvent être choisis parmi un panel de questions prédéfinies, il est également possible de définir ses propres questions.
On peut ensuite choisir le mode d’inscription proposé aux utilisateurs, forcé ou non. En mode forcé, les utilisateurs seront obligés de s’inscrire lors de la prochaine connexion à Azure AD, dans le cas contraire, ils pourront s’inscrire en se rendant sur l’URL du portail SSPR lorsqu’ils le souhaiteront, mais ne pourront pas utiliser le service SSPR tant que cette opération ne sera pas finalisée.
Il reste à choisir les options de notification, permettant de notifier les utilisateurs en cas de réinitialisation de leur mot de passe.
Une fois ces options en place, les utilisateurs devront s’enregistrer avant de pouvoir utiliser la fonctionnalité SSPR.
Si l’option d’inscription en mode forcé a été choisie, cet enregistrement sera proposé et nécessaire sitôt que l’utilisateur se connectera à une application liée à Azure AD. Dans le cas contraire, il sera possible de s’enregistrer sur la page https://account.activedirectory.windowsazure.com/passwordreset/register.aspx. La procédure est similaire dans les 2 cas :
En premier lieu, il est nécessaire de confirmer le mot de passe actuel :
Nous sommes ensuite redirigés vers le portail d’authentification de l’entreprise, qui peut être de type fédéré (ADFS) ou managé (portail Azure)
Nous devons ensuite nous conformer aux exigences de sécurité liées au processus d’inscription, dans le cas présent, il nous est demandé de valider au moins 2 des 3 options proposées :
Fourniture d’une adresse de messagerie alternative :
Nous recevons sur cette adresse un code de vérification à usage unique :
Il suffit de recopier le code reçu dans le formulaire de saisie :
L’option est validée :
Nous choisissons ensuite une autre option, dans le cas présent, la réponse aux questions secrètes :
Les deux options sont validées, ce qui est suffisant pour terminer l’enregistrement :
En cas d’oubli du mot de passe, il nous sera possible de le réinitialiser. Pour cela, rendez-vous sur la page https://passwordreset.microsoftonline.com/ :
Deux options sont possibles :
- Le mot de passe est oublié et on souhaite le réinitialiser
- Le compte est verrouillé et on souhaite le déverrouiller
Il faut alors se confronter aux règles de sécurité de la fonctionnalité SSPR, et renseigner les options qui avaient été saisies lors de l’inscription. Dans notre exemple : une adresse de messagerie et des questions secrètes.
Nous recevons en premier lieu un code à usage unique par e-mail, à renseigner dans le formulaire :
Nous devons ensuite répondre juste aux questions de sécurité préalablement renseignées:
Si l’étape de validation aboutit, il faut alors choisir un nouveau mot de passe et le confirmer :
Le mot de passe est alors réinitialisé :
Cette option ayant été choisie, nous recevons une confirmation par e-mail :
Voilà pour cet aperçu de la fonctionnalité SSPR, nous aborderons les autres fonctionnalités offertes par Azure AD Premium dans les prochains articles.