Tutoriel : Événements de connexion utilisateur sécurisée avec Azure AD Multi-Factor Authentication

L’authentification MFA (Azure Multi-Factor Authentication) est un processus dans lequel un utilisateur est invité, au cours d’un événement de connexion, à utiliser des formes d’identification supplémentaires. Il peut s’agir en ce qui le concerne d’entrer un code sur son téléphone portable ou de scanner son empreinte digitale. Quand vous exigez une deuxième forme d’authentification, la sécurité est accrue, car ce facteur supplémentaire n’est pas un élément facile à obtenir ou à dupliquer par un attaquant.

Azure AD Multi-Factor Authentication et les stratégies d’accès conditionnel offrent la flexibilité nécessaire qui permet l’authentification MFA des utilisateurs pendant des événements de connexion spécifiques. Voici une vidéo sur la manière de configurer et appliquer une authentification multifacteur dans votre locataire (Recommandé)

Important

Ce tutoriel montre aux administrateurs comment activer Azure AD Multi-Factor Authentication.

Si votre équipe informatique n’a pas activé la possibilité d’utiliser Azure AD Multi-Factor Authentication, ou si vous rencontrez des problèmes lors de la connexion, contactez votre support technique pour obtenir de l’aide.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Créer une stratégie d’accès conditionnel permettant d’activer AD Azure Multi-Factor Authentication pour un groupe d’utilisateurs
  • Configurer les conditions de stratégie qui demandent l’authentification MFA
  • Tester le processus MFA en tant qu’utilisateur

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

Créer une stratégie d’accès conditionnel

Il est recommandé de se servir des stratégies d’accès conditionnel pour activer et utiliser Microsoft Azure AD Multi-Factor Authentication. L’accès conditionnel vous permet de créer et de définir des stratégies qui réagissent aux événements de connexion en demandant des actions supplémentaires avant d’autoriser un utilisateur à accéder à une application ou à un service.

Diagramme de vue d’ensemble du fonctionnement de l’accès conditionnel pour sécuriser le processus de connexion

Les stratégies d’accès conditionnel peuvent être granulaires et spécifiques, avec pour objectif de permettre aux utilisateurs d’être productifs partout et à tout moment, tout en protégeant votre organisation. Dans ce tutoriel, nous allons créer une stratégie d’accès conditionnel de base pour demander l’authentification MFA lorsqu’un utilisateur se connecte au portail Azure. Dans un prochain tutoriel de cette série, vous configurerez Azure AD Multi-Factor Authentication à l’aide d’une stratégie d’accès conditionnel basée sur le risque.

Tout d’abord, créez une stratégie d’accès conditionnel et affectez votre groupe test d’utilisateurs comme suit :

  1. Connectez-vous au portail Azure à l’aide d’un compte disposant d’autorisations d’administrateur général.

  2. Recherchez et sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche.

  3. Sélectionnez Accès conditionnel, puis choisissez + Nouvelle stratégie.

  4. Entrez le nom de la stratégie, par exemple Pilote MFA.

  5. Sous Affectations, choisissez Utilisateurs et groupes, puis activez la case d’option Sélectionner des utilisateurs et des groupes.

  6. Cochez la case Utilisateurs et groupes, puis choisissez Sélectionner pour parcourir les utilisateurs et les groupes Azure AD disponibles.

  7. Recherchez et sélectionnez votre groupe Azure AD, par exemple MFA-Test-Group, puis choisissez Sélectionner.

    Sélectionner votre groupe Azure AD à utiliser avec la stratégie d’accès conditionnel

  8. Pour appliquer la stratégie d’accès conditionnel au groupe, sélectionnez Terminé.

Configurer les conditions pour l’authentification multifacteur

La stratégie d’accès conditionnel étant créée et un groupe test d’utilisateurs attribué, définissez maintenant les actions ou les applications cloud qui déclenchent la stratégie. Ces actions ou applications cloud représentent les scénarios pour lesquels vous décidez de demander un processus supplémentaire, par exemple pour exiger l’authentification MFA. Ainsi, vous pouvez décider que l’accès à une application financière ou l’utilisation d’outils de gestion nécessite une invite de vérification supplémentaire.

Pour ce tutoriel, configurez la stratégie d’accès conditionnel afin d’exiger l’authentification MFA lorsqu’un utilisateur se connecte au portail Azure.

  1. Sélectionnez Applications ou actions cloud. Vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à Toutes les applications Cloud ou Sélectionner des applications. Pour assurer la flexibilité, vous pouvez également exclure certaines applications de la stratégie.

    Pour ce tutoriel, dans la page Inclure, choisissez la case d’option Sélectionner des applications.

  2. Choisissez Sélectionner, puis parcourez la liste des événements de connexion disponibles qui peuvent être utilisés.

    Pour ce tutoriel, choisissez Gestion Microsoft Azure afin que la stratégie s’applique aux événements de connexion sur le portail Azure.

  3. Pour l’appliquer aux applications sélectionnées, choisissez Sélectionner, puis Terminé.

    Sélectionner l’application Gestion Microsoft Azure à inclure dans la stratégie d’accès conditionnel

Les contrôles d’accès vous permettent de définir les conditions à remplir pour qu’un utilisateur dispose d’un accès, par exemple le besoin d’une application cliente approuvée ou l’utilisation d’un appareil joint à Azure AD Hybride. Dans ce tutoriel, configurez les contrôles d’accès pour demander l’authentification MFA lors d’un événement de connexion sur le portail Azure.

  1. Sous Contrôle d’accès, choisissez Accorder, puis assurez-vous que la case d’option Accorder l’accès est sélectionnée.
  2. Cochez la case Exiger une authentification multifacteur, puis choisissez Sélectionner.

Les stratégies d’accès conditionnel peuvent être définies sur Rapport seul si vous souhaitez voir comment la configuration affecte les utilisateurs, ou sur Désactivée si vous ne voulez pas utiliser la stratégie pour le moment. Étant donné qu’un groupe test d’utilisateurs était ciblé pour ce tutoriel, activez la stratégie, puis testez Azure AD Multi-Factor Authentication.

  1. Basculez Activer la stratégie sur Activé.
  2. Pour appliquer la stratégie d’accès conditionnel, sélectionnez Créer.

Tester Azure AD Multi-Factor Authentication

Nous allons voir à présent votre stratégie d’accès conditionnel et Azure AD Multi-Factor Authentication en action. Tout d’abord, connectez-vous de la façon suivante à une ressource qui ne nécessite pas d’authentification MFA :

  1. Ouvrez une nouvelle fenêtre de navigateur en mode de navigation privée ou InPrivate, et accédez à https://account.activedirectory.windowsazure.com.
  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Il n’y a aucune invite vous demandant de procéder à l’authentification MFA.
  3. Fermez la fenêtre du navigateur.

À présent, connectez-vous au portail Azure. Étant donné que le portail Azure était configuré dans la stratégie d’accès conditionnel pour exiger une vérification supplémentaire, vous obtenez une invite Azure AD Multi-Factor Authentication.

  1. Ouvrez une nouvelle fenêtre de navigateur dans InPrivate ou en mode de navigation privée, et accédez à https://portal.azure.com.

  2. Connectez-vous avec votre utilisateur test non-administrateur, par exemple testuser. Il vous est demandé de vous inscrire et d’utiliser Azure AD Multi-Factor Authentication. Suivez les invites pour aller au bout du processus et vérifiez que vous vous connectez correctement au portail Azure.

    Suivre les invites du navigateur, puis l’invite de votre authentification multifacteur inscrite pour vous connecter

  3. Fermez la fenêtre du navigateur.

Nettoyer les ressources

Si vous ne souhaitez plus utiliser la stratégie d’accès conditionnel pour activer le service Azure AD Multi-Factor Authentication configuré dans le cadre de ce tutoriel, supprimez la stratégie en suivant ces étapes :

  1. Connectez-vous au portail Azure.
  2. Recherchez et sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche.
  3. Sélectionnez Accès conditionnel, puis choisissez la stratégie que vous avez créée, par exemple Pilote MFA.
  4. Choisissez Supprimer, puis confirmez que vous souhaitez supprimer la stratégie.

Étapes suivantes

Dans ce tutoriel, vous avez activé Azure AD Multi-Factor Authentication au moyen de stratégies d’accès conditionnel pour un groupe sélectionné d’utilisateurs. Vous avez appris à :

  • Créer une stratégie d’accès conditionnel permettant d’activer Azure AD Multi-Factor Authentication pour un groupe d’utilisateurs Azure AD
  • Configurer les conditions de stratégie qui demandent l’authentification MFA
  • Tester le processus MFA en tant qu’utilisateur