Protection des méthodes d’authentification dans Microsoft Entra ID
Remarque
La valeur Géré par Microsoft pour Authenticator Lite passera de Désactivé à Activé le 26 juin 2023. Tous les locataires restants dans l’état par défaut Géré par Microsoft seront activés pour la fonctionnalité le 26 juin.
Microsoft Entra ID ajoute et améliore les fonctionnalités de sécurité pour mieux protéger les clients contre les attaques croissantes. À mesure que de nouveaux vecteurs d’attaque sont connus, Microsoft Entra ID peut répondre en activant la protection par défaut pour aider les clients à rester en avance sur les menaces de sécurité émergentes.
Par exemple, en réponse à l’augmentation des attaques de fatigue MFA, Microsoft a recommandé des moyens pour les clients de défendre les utilisateurs. Une recommandation pour empêcher les utilisateurs d’approuver accidentellement l’authentification multifacteur (MFA) consiste à activer la correspondance de numéro. Par conséquent, le comportement par défaut pour la correspondance de numéro sera explicitement activé pour tous les utilisateurs de Microsoft Authenticator. Vous pouvez en savoir plus sur les nouvelles fonctionnalités de sécurité, telles que la correspondance des nombres, dans notre billet de blog Les fonctionnalités de sécurité avancées de Microsoft Authenticator sont désormais en disponibilité générale !.
Il existe deux façons d’activer la protection d’une fonctionnalité de sécurité par défaut :
- Une fois qu'une fonctionnalité de sécurité est publiée, les clients peuvent utiliser le centre d'administration Microsoft Entra ou l'API Graph pour tester et déployer la modification selon leur propre calendrier. Pour vous protéger contre de nouveaux vecteurs d’attaque, Microsoft Entra ID peut activer la protection d’une fonctionnalité de sécurité par défaut pour tous les locataires à une certaine date, et il n’y aura pas d’option pour désactiver la protection. Microsoft planifie la protection par défaut bien à l’avance pour donner aux clients le temps de se préparer à la modification. Les clients ne peuvent pas refuser si Microsoft planifie la protection par défaut.
- La protection peut être managée par Microsoft, ce qui signifie que Microsoft Entra ID peut activer ou désactiver la protection en fonction du paysage actuel des menaces de sécurité. Les clients peuvent choisir d’autoriser Microsoft à gérer la protection. Ils peuvent supprimer Managé par Microsoft pour activer ou désactiver la protection de manière explicite à tout moment.
Notes
Seule une fonctionnalité de sécurité critique aura la protection activée par défaut.
Protection par défaut activée par Microsoft Entra ID
La correspondance de numéro est un bon exemple de protection pour une méthode d’authentification actuellement facultative pour les notifications Push dans Microsoft Authenticator dans tous les locataires. Les clients peuvent choisir d’activer la correspondance de numéro pour les notifications Push dans Microsoft Authenticator pour les utilisateurs et les groupes, ou ils peuvent la laisser désactivée. La correspondance de numéro est déjà le comportement par défaut pour les notifications sans mot de passe dans Microsoft Authenticator et les utilisateurs ne peuvent pas refuser.
À mesure que les attaques de fatigue MFA augmentent, la correspondance de numéro devient plus critique pour la sécurité de connexion. Par conséquent, Microsoft modifie le comportement par défaut des notifications Push dans Microsoft Authenticator.
Paramètres managés par Microsoft
En plus de configurer les paramètres de la stratégie Méthodes d’authentification comme Activés ou Désactivés, les administrateurs informatiques peuvent en paramétrer certains de sorte qu’ils soient Managés par Microsoft. Un paramètre configuré comme Managé par Microsoft peut être activé ou désactivé par Microsoft Entra ID.
L’option permettant à Microsoft Entra ID de gérer le paramètre est un moyen pratique pour une organisation d’autoriser Microsoft à activer ou à désactiver une fonctionnalité par défaut. Les organisations peuvent améliorer plus facilement leur posture de sécurité en confiant à Microsoft le soin de gérer le moment où une fonctionnalité doit être activée par défaut. En configurant un paramètre comme Managé par Microsoft (nommé par défautdans les API Graph), les administrateurs informatiques peuvent confier à Microsoft le soin d’activer une fonctionnalité de sécurité qu’ils n’ont pas explicitement désactivée.
Par exemple, un administrateur peut activer l’emplacement et le nom de l’application dans les notifications Push pour donner aux utilisateurs plus de contexte lorsqu’ils approuvent les demandes MFA avec Microsoft Authenticator. Le contexte supplémentaire peut également être explicitement désactivé ou défini comme managé par Microsoft. Aujourd’hui, la configuration Managé par Microsoft pour l’emplacement et le nom de l’application est Désactivée, ce qui désactive efficacement l’option pour tout environnement où un administrateur choisit de laisser Microsoft Entra ID gérer le paramètre.
À mesure que le paysage des menaces de sécurité change au fil du temps, Microsoft peut modifier la configuration Managé par Microsoft pour l’emplacement et le nom de l’application en Activé. Pour les clients qui souhaitent s’appuyer sur Microsoft pour améliorer leur posture de sécurité, définir des fonctionnalités de sécurité sur Managé par Microsoft est un moyen simple de garder une longueur d’avance sur les menaces de sécurité. Ils peuvent faire confiance à Microsoft pour déterminer la meilleure façon de configurer les paramètres de sécurité en fonction du paysage actuel des menaces.
Le tableau suivant liste chaque paramètre qui peut être défini comme étant managé par Microsoft et indique si ce paramètre est activé ou désactivé par défaut.
| Paramètre | Configuration |
|---|---|
| Campagne d’inscription | Activé pour les utilisateurs de messages texte et d'appels vocaux |
| Emplacement dans les notifications Microsoft Authenticator | Désactivé |
| Nom d’application dans les notifications Microsoft Authenticator | Désactivé |
| MFA par défaut du système | activé |
| Authenticator Lite | Enabled |
| Signaler une activité suspecte | Désactivé |
À mesure que les vecteurs de menace changent, Microsoft Entra ID peut annoncer la protection par défaut d’un paramètre managé par Microsoft dans les notes de publication et sur des forums couramment lus comme Tech Community. Par exemple, consultez notre billet de blog Il est temps de dire au revoir aux méthodes d’authentification par téléphone pour obtenir plus d’informations sur la nécessité d’abandonner l’utilisation des SMS et des appels vocaux, ce qui conduisait à l’activation par défaut de la campagne d’inscription afin d’aider les utilisateurs à configurer Authenticator pour l’authentification moderne.
Étapes suivantes
Méthodes d’authentification dans Microsoft Entra ID – Microsoft Authenticator