Blocage de l’authentification héritéeBlocking legacy authentication

Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, Azure Active Directory (Azure AD) prend en charge un large éventail de protocoles d’authentification, notamment l’authentification héritée.To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. L’authentification héritée est un terme qui fait référence à une requête d’authentification effectuée par :Legacy authentication is a term that refers to an authentication request made by:

  • D’anciennes versions de clients Office qui n’utilisent pas l’authentification moderne (par exemple, le client Office 2010)Older Office clients that do not use modern authentication (for example, Office 2010 client)
  • Tout client qui utilise des protocoles de messagerie hérités tels que IMAP/SMTP/POP3Any client that uses legacy mail protocols such as IMAP/SMTP/POP3

Aujourd’hui, la majorité des tentatives de connexion compromettantes ont pour origine l’authentification héritée.Today, the majority of all compromising sign-in attempts come from legacy authentication. L’authentification héritée ne prend pas en charge l’authentification multifacteur (MFA).Legacy authentication does not support multi-factor authentication (MFA). Même si l’une de vos stratégies d’authentification multifacteur est activée dans votre annuaire, un individu mal intentionné peut s’authentifier à l’aide d’un protocole hérité et contourner l’authentification multifacteur.Even if you have an MFA policy enabled on your directory, a bad actor can authenticate using a legacy protocol and bypass MFA. La meilleure façon de protéger votre compte contre les requêtes d’authentification malveillantes provenant de protocoles hérités est de bloquer toutes les requêtes de ce type.The best way to protect your account from malicious authentication requests made by legacy protocols is to block these attempts altogether.

Identifier l’utilisation de l’authentification héritéeIdentify legacy authentication use

Avant de pouvoir bloquer l’authentification héritée dans votre annuaire, vous devez savoir si vos utilisateurs disposent d’applications qui utilisent l’authentification héritée, puis déterminer quel impact cela a sur l’ensemble de votre annuaire.Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Les journaux de connexion Azure AD peuvent servir à déterminer si vous utilisez une authentification héritée.Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. Accédez au portail Azure > Azure Active Directory > Connexions.Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. Si elle n’est pas affichée, ajoutez la colonne Application cliente en cliquant sur  Colonnes > Application cliente.Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. Filtrez par Application cliente > cochez toutes les options Clients d’authentification hérités présentées.Filter by Client App > check all the Legacy Authentication Clients options presented.
  4. Filtrez par État > Réussite.Filter by Status > Success.
  5. Si nécessaire, étendez votre plage de dates en utilisant le filtre Date.Expand your date range if necessary using the Date filter.

Grâce au filtrage, vous afficherez uniquement les tentatives réussies de connexion effectuées via des protocoles d’authentification héritée sélectionnés.Filtering will only show you successful sign-in attempts that were made by the selected legacy authentication protocols. Cliquez sur chaque tentative de connexion pour afficher des détails supplémentaires.Clicking on each individual sign-in attempt will show you additional details. Une fois que vous aurez sélectionné une ligne de données individuelle, la colonne Application client ou le champ Application client sous l’onglet Informations de base indiquera quel protocole d’authentification existant a été utilisé.The Client App column or the Client App field under the Basic Info tab after selecting an individual row of data will indicate which legacy authentication protocol was used. Ces journaux identifient les utilisateurs qui continuent de tirer parti de la fonction d’authentification héritée, ainsi que les applications qui utilisent les protocoles hérités pour effectuer des requêtes d’authentification.These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. Pour les utilisateurs qui ne figurent pas dans ces journaux et dont vous êtes certain qu’ils n’utilisent pas l’authentification héritée, implémentez une stratégie d’accès conditionnel, ou activez la Stratégie de base de référence : Bloquer l’authentification héritée uniquement pour ces utilisateurs.For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy or enable the Baseline policy: block legacy authentication for these users only.

Abandon de l’authentification héritéeMoving away from legacy authentication

Une fois que vous savez qui utilise l’authentification héritée dans votre annuaire et quelles applications en dépendent, l’étape suivante consiste à effectuer une mise à niveau pour que vos utilisateurs utilisent l’authentification moderne.Once you have a better idea of who is using legacy authentication in your directory and which applications depend on it, the next step is upgrading your users to use modern authentication. L’authentification moderne est une méthode de gestion des identités qui offre plus de sécurité pour l’authentification et l’autorisation des utilisateurs.Modern authentication is a method of identity management that offers more secure user authentication and authorization. Si vous disposez d’une stratégie d’authentification multifacteur dans votre annuaire, l’authentification moderne garantit que l’utilisateur sera invité à s’authentifier par le biais de l’authentification multifacteur chaque fois que nécessaire.If you have an MFA policy in place on your directory, modern authentication ensures that the user is prompted for MFA when required. Il s’agit de l’alternative la plus sécurisée aux protocoles d’authentification hérités.It is the more secure alternative to legacy authentication protocols.

Cette section explique chacune des étapes nécessaires à la mise à jour de votre environnement vers l’authentification moderne.This section gives a step-by-step overview on how to update your environment to modern authentication. Avant d’activer une stratégie de blocage de l’authentification héritée au sein de votre organisation, lisez les étapes ci-dessous.Read through the steps below before enabling a legacy authentication blocking policy in your organization.

Étape 1 : Activer l’authentification moderne dans votre annuaireStep 1: Enable modern authentication in your directory

Lorsque vous activez l’authentification moderne, la première étape consiste à vérifier que votre annuaire prend en charge l’authentification moderne.The first step in enabling modern authentication is making sure your directory supports modern authentication. L’authentification moderne est activée par défaut dans les annuaires depuis le 1er août 2017.Modern authentication is enabled by default for directories created on or after August 1, 2017. Si votre annuaire a été créé avant cette date, vous devrez activer manuellement l’authentification moderne pour votre annuaire en effectuant les étapes suivantes :If your directory was created prior to this date, you'll need to manually enable modern authentication for your directory using the following steps:

  1. Vérifiez si votre annuaire prend déjà en charge l’authentification moderne en exécutant Get-CsOAuthConfiguration à partir du module PowerShell de Skype Entreprise sur le web.Check to see if your directory already supports modern authentication by running Get-CsOAuthConfiguration from the Skype for Business Online PowerShell module.
  2. Si votre commande retourne une propriété OAuthServers vide, l’authentification moderne est désactivée.If your command returns an empty OAuthServers property, then Modern Authentication is disabled. Mettez à jour le paramètre pour activer l’authentification moderne à l’aide de Set-CsOAuthConfiguration.Update the setting to enable modern authentication using Set-CsOAuthConfiguration. Si votre propriété OAuthServers contient une entrée, vous êtes prêt.If your OAuthServers property contains an entry, you're good to go.

Veillez à effectuer cette étape avant de poursuivre.Be sure to complete this step before moving forward. Il est essentiel de modifier les configurations de votre annuaire en premier, car ce sont elles qui déterminent le protocole qui sera utilisé par tous les clients Office.It's critical that your directory configurations are changed first because they dictate which protocol will be used by all Office clients. Même si vous utilisez des clients Office qui prennent en charge l’authentification moderne, ceux-ci utiliseront par défaut les protocoles hérités si l’authentification moderne est désactivée dans votre annuaire.Even if you're using Office clients that support modern authentication, they will default to using legacy protocols if modern authentication is disabled on your directory.

Étape 2 : Applications OfficeStep 2: Office applications

Une fois que vous avez activé l’authentification moderne dans votre annuaire, vous pouvez commencer la mise à jour des applications en activant l’authentification moderne pour les clients Office.Once you have enabled modern authentication in your directory, you can start updating applications by enabling modern authentication for Office clients. Les clients Office 2016 ou version ultérieure prennent en charge l’authentification moderne par défaut.Office 2016 or later clients support modern authentication by default. Aucune étape supplémentaire n’est nécessaire.No extra steps are required.

Si vous n’utilisez pas les clients Windows Office 2013 (ou version antérieure), nous vous recommandons d’effectuer une mise à niveau vers Office 2016 ou version ultérieure.If you are using Office 2013 Windows clients or older, we recommend upgrading to Office 2016 or later. Même après l’activation de l’authentification moderne dans votre annuaire, les anciennes versions d’applications Office continueront à utiliser les protocoles d’authentification hérités.Even after completing the prior step of enabling modern authentication in your directory, the older Office applications will continue to use legacy authentication protocols. Si vous utilisez des clients Office 2013 et n’êtes pas encore en mesure d’effectuer une mise à niveau vers Office 2016 ou ultérieur, suivez les étapes décrites dans l’article suivant :  Activer l’authentification moderne pour Office 2013 sur les appareils Windows.If you are using Office 2013 clients and are unable to immediately upgrade to Office 2016 or later, follow the steps in the following article to Enable Modern Authentication for Office 2013 on Windows devices. Pour protéger votre compte quand vous utilisez l’authentification héritée, nous vous recommandons d’utiliser des mots de passe forts dans l’ensemble de votre annuaire.To help protect your account while you're using legacy authentication, we recommend using strong passwords across your directory. Pour interdire les mots de passe faibles dans votre annuaire, consultez Protection de mot de passe Azure AD .Check out Azure AD password protection to ban weak passwords across your directory.

Office 2010 ne prend pas en charge l’authentification moderne.Office 2010 does not support modern authentication. Vous devez effectuer une mise à niveau pour tous les utilisateurs d’Office 2010.You will need to upgrade any users with Office 2010 to a more recent version of Office. Nous vous recommandons d’effectuer une mise à niveau vers Office 2016 ou une version ultérieure, car il bloque par défaut l’authentification héritée.We recommend upgrading to Office 2016 or later, as it blocks legacy authentication by default.

Si vous utilisez macOS, nous vous recommandons d’effectuer une mise à niveau vers Office pour Mac 2016 ou ultérieur.If you are using macOS, we recommend upgrading to Office for Mac 2016 or later. Si vous utilisez le client de messagerie natif, macOS version 10.14 ou ultérieure devra être installé sur tous les appareils.If you are using the native mail client, you will need to have macOS version 10.14 or later on all devices.

Étape 3 : Exchange et SharePointStep 3: Exchange and SharePoint

Pour que les clients Outlook Windows utilisent l’authentification moderne, l’authentification moderne doit également être activée dans Exchange Online.For Windows-based Outlook clients to use modern authentication, Exchange Online must be modern authentication enabled as well. Si ce n’est pas le cas, les clients Outlook Windows qui prennent en charge l’authentification moderne (Outlook 2013 ou version ultérieure) utiliseront l’authentification de base pour se connecter aux boîtes aux lettres Exchange Online.If modern authentication is disabled for Exchange Online, Windows-based Outlook clients that support modern authentication (Outlook 2013 or later) will use basic authentication to connect to Exchange Online mailboxes.

L’authentification moderne est activée par défaut dans SharePoint Online.SharePoint Online is enabled for modern authentication default. Pour les annuaires créés après le 1er août 2017, l’authentification moderne est activée par défaut dans Exchange Online.For directories created after August 1, 2017, modern authentication is enabled by default in Exchange Online. Toutefois, si vous aviez déjà désactivé l’authentification moderne ou si vous utilisez un annuaire ayant été créé avant cette date, suivez les étapes décrites dans l’article suivant :  Activer l’authentification moderne dans Exchange Online.However, if you had previously disabled modern authentication or are you using a directory created prior to this date, follow the steps in the following article to Enable modern authentication in Exchange Online.

Étape 4 : Skype EntrepriseStep 4: Skype for Business

Si vous souhaitez bloquer les requêtes d’authentification héritée provenant de Skype Entreprise, vous devez activer l’authentification moderne pour Skype Entreprise sur le web.To prevent legacy authentication requests made by Skype for Business, it is necessary to enable modern authentication for Skype for Business Online. Pour les annuaires créés après le 1er août 2017, l’authentification moderne est activée par défaut dans Skype Entreprise.For directories created after August 1, 2017, modern authentication for Skype for Business is enabled by default.

Nous vous suggérons de passer à Microsoft Teams, qui prend en charge l’authentification moderne par défaut.We suggest you transition to Microsoft Teams, which supports modern authentication by default. Toutefois, si vous ne pouvez pas encore migrer vers Microsoft Teams, vous devrez activer l’authentification moderne pour Skype Entreprise sur le web, afin que les clients Skype Entreprise commencent à utiliser l’authentification moderne.However, if you are unable to migrate at this time, you will need to enable modern authentication for Skype for Business Online so that Skype for Business clients start using modern authentication. Pour savoir comment activer l’authentification moderne dans Skype Entreprise, suivez les étapes de l’article  Topologies Skype Entreprise prenant en charge l’authentification moderne.Follow the steps in this article Skype for Business topologies supported with Modern Authentication, to enable Modern Authentication for Skype for Business.

Après avoir activé l’authentification moderne pour Skype Entreprise sur le web, nous vous recommandons d’activer l’authentification moderne pour Exchange Online lorsque vous l’activez pour Skype Entreprise.In addition to enabling modern authentication for Skype for Business Online, we recommend enabling modern authentication for Exchange Online when enabling modern authentication for Skype for Business. Vous pourrez ainsi synchroniser l’état de l’authentification moderne d’Exchange Online avec celui de Skype Entreprise sur le web, et éviter ainsi l’affichage de plusieurs invites de connexion à Skype Entreprise.This process will help synchronize the state of modern authentication in Exchange Online and Skype for Business online and will prevent multiple sign-in prompts for Skype for Business clients.

Étape 5 : Utilisation des appareils mobilesStep 5: Using mobile devices

Les applications de votre appareil mobile doivent elles aussi bloquer l’authentification héritée.Applications on your mobile device need to block legacy authentication as well. Nous vous recommandons d’utiliser Outlook pour mobile.We recommend using Outlook for Mobile. Outlook pour mobile prend en charge l’authentification moderne par défaut, et respecte d’autres stratégies de protection de base de référence MFA.Outlook for Mobile supports modern authentication by default and will satisfy other MFA baseline protection policies.

Pour utiliser le client de messagerie iOS natif, vous devrez exécuter iOS version 11.0 ou ultérieure afin de garantir que le client de messagerie bloquera l’authentification héritée.In order to use the native iOS mail client, you will need to be running iOS version 11.0 or later to ensure the mail client has been updated to block legacy authentication.

Étape 6 : Clients locauxStep 6: On-premises clients

Si vous êtes un client hybride utilisant à la fois Exchange Server et Skype Entreprise localement, vous devez mettre à jour ces deux services afin qu’ils permettent l’authentification moderne.If you are a hybrid customer using Exchange Server on-premises and Skype for Business on-premises, both services will need to be updated to enable modern authentication. Quand vous utilisez l’authentification moderne dans un environnement hybride, l’authentification des utilisateurs se fait toujours localement.When using modern authentication in a hybrid environment, you're still authenticating users on-premises. La méthode qui est employée pour les autoriser à accéder aux ressources (fichiers ou e-mails) n’est plus la même.The story of authorizing their access to resources (files or emails) changes.

Avant de commencer l’activation de l’authentification moderne en local, vérifiez que vous avez respecté les conditions préalables.Before you can begin enabling modern authentication on-premises, please be sure that you have met the pre-requisites. Vous êtes maintenant prêt à activer l’authentification moderne localement.You're now ready to enable modern authentication on-premises.

Pour connaître les étapes nécessaires à l’activation de l’authentification moderne, consultez les articles suivants :Steps for enabling modern authentication can be found in the following articles:

Étapes suivantesNext steps