Présentation des paramètres de sécurité par défautWhat are security defaults?

La gestion de la sécurité peut s’avérer ardue lorsque les attaques courantes liées aux identités, telles que la pulvérisation de mot de passe, la relecture et le hameçonnage, deviennent de plus en plus monnaie courante.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. Les paramètres de sécurité par défaut facilitent la protection de votre organisation contre ces attaques avec des paramètres de sécurité préconfigurés :Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • En exigeant que tous les utilisateurs s’inscrivent pour Azure Multi-Factor AuthenticationRequiring all users to register for Azure Multi-Factor Authentication.
  • En exigeant des administrateurs qu’ils effectuent l’authentification multifacteur.Requiring administrators to perform multi-factor authentication.
  • En restreignant les protocoles d’authentification hérités.Blocking legacy authentication protocols.
  • En exigeant des utilisateurs qu’ils effectuent l’authentification multifacteur, lorsque cela est nécessaire.Requiring users to perform multi-factor authentication when necessary.
  • En protégeant des activités privilégiées, telles que l’accès au Portail Azure.Protecting privileged activities like access to the Azure portal.

Capture d’écran du Portail Azure avec le bouton bascule pour activer les paramètres de sécurité par défaut

Vous trouverez plus d’informations sur les raisons pour lesquelles les paramètres de sécurité par défaut sont rendus disponibles dans le billet de blog d’Alex Weinert, Introducing security defaults.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

DisponibilitéAvailability

Microsoft met les paramètres de sécurité par défaut à la disposition de tous.Microsoft is making security defaults available to everyone. Le but est de s’assurer que toutes les organisations bénéficient d’un niveau de sécurité de base activé, sans coût supplémentaire.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. Vous activez les paramètres de sécurité par défaut dans le Portail Azure.You turn on security defaults in the Azure portal. Si votre locataire a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient déjà activés dans votre locataire.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. Dans le but de protéger tous nos utilisateurs, les paramètres de sécurité par défaut sont déployés sur tous les nouveaux locataires créés.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

À qui cela s’adresse-t-il ?Who's it for?

  • Si vous êtes une organisation souhaitant augmenter son niveau de sécurité, mais que vous ne savez pas comment ou où commencer, les paramètres de sécurité par défaut sont pour vous.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Si vous êtes une organisation utilisant le niveau gratuit de licences Azure Active Directory, les paramètres de sécurité par défaut sont également appropriés pour vous.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Qui devrait utiliser l’accès conditionnel ?Who should use Conditional Access?

  • Si vous êtes une organisation utilisant actuellement des stratégies d’accès conditionnel pour mettre en place des signaux, prendre des décisions et appliquer des stratégies organisationnelles, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Si vous êtes une organisation utilisant des licences Azure Active Directory Premium, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • Si votre organisation a des exigences de sécurité complexes, vous devriez envisager l’accès conditionnel.If your organization has complex security requirements you should consider Conditional Access.

Stratégies appliquéesPolicies enforced

Inscription Multi-Factor Authentication unifiéeUnified Multi-Factor Authentication registration

Tous les utilisateurs de votre locataire doivent s’inscrire à l’authentification multifacteur (MFA) via le formulaire d’Azure Multi-Factor Authentication.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure Multi-Factor Authentication. Les utilisateurs disposent de 14 jours pour s’inscrire à Azure Multi-Factor Authentication à l’aide de l’application Microsoft Authenticator.Users have 14 days to register for Azure Multi-Factor Authentication by using the Microsoft Authenticator app. Au bout de ces 14 jours, l’utilisateur ne sera plus en mesure de se connecter, jusqu’à ce que l’inscription soit effectuée.After the 14 days have passed, the user won't be able to sign in until registration is completed. Ainsi, la période de 14 jours d’un utilisateur commence après la première connexion interactive réussie, une fois les paramètres de sécurité par défaut activés.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Protection des administrateursProtecting administrators

Les utilisateurs disposant d’un accès privilégié ont un accès plus large à votre environnement.Users with privileged access have increased access to your environment. En raison de l’importance de ces comptes, vous devez leur accorder une attention particulière.Due to the power these accounts have, you should treat them with special care. Une méthode courante pour améliorer la protection de comptes privilégiés consiste à demander une forme de vérification de compte plus stricte pour se connecter.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. Dans Azure AD, vous pouvez obtenir une vérification plus sévère des comptes en exigeant l’authentification multifacteur.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

Une fois l’inscription avec Azure Multi-Factor Authentication terminée, les neuf rôles d’administrateur Azure AD suivants sont nécessaires pour effectuer une authentification supplémentaire chaque fois qu’ils se connectent :After registration with Azure Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • Administrateur généralGlobal administrator
  • Administrateur SharePointSharePoint administrator
  • Administrateur ExchangeExchange administrator
  • Administrateur de l’accès conditionnelConditional Access administrator
  • Administrateur de sécuritéSecurity administrator
  • Administrateur du support techniqueHelpdesk administrator
  • Administrateur de facturationBilling administrator
  • Administrateur d’utilisateursUser administrator
  • Administrateur d’authentificationAuthentication administrator

Protection de tous les utilisateursProtecting all users

Nous avons tendance à considérer que les comptes administrateur sont les seuls qui nécessitent des couches d’authentification supplémentaires.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Les administrateurs ont largement accès à des informations sensibles et peuvent modifier des paramètres à l’échelle d’un abonnement.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Pourtant, les attaquants ciblent souvent les utilisateurs finaux.But attackers frequently target end users.

Une fois que ces personnes malveillantes ont accès, elles peuvent demander l’accès aux informations privilégiées pour le compte du détenteur du compte d’origine.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Elles peuvent même télécharger l’annuaire entier pour effectuer une attaque par hameçonnage sur l’ensemble de votre organisation.They can even download the entire directory to perform a phishing attack on your whole organization.

Une méthode courante pour améliorer la protection de tous les utilisateurs consiste à demander une forme de vérification de compte plus stricte, telle Multi-Factor Authentication, pour tous.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Lorsque les utilisateurs ont terminé l’inscription Multi-Factor Authentication, ils sont invités à fournir une authentification supplémentaire chaque fois que nécessaire.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Cette fonctionnalité protège toutes les applications inscrites avec Azure AD, y compris les applications SaaS.This functionality protects all applications registered with Azure AD including SaaS applications.

Blocage de l’authentification héritéeBlocking legacy authentication

Pour permettre à vos utilisateurs d’accéder facilement à vos applications cloud, Azure AD prend en charge un éventail de protocoles d’authentification, notamment l’authentification héritée.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. L’authentification héritée est un terme qui fait référence à une requête d’authentification effectuée par :Legacy authentication is a term that refers to an authentication request made by:

  • Les clients Office qui n'utilisent pas l'authentification moderne (par exemple, un client Office 2010).Clients that don't use modern authentication (for example, an Office 2010 client).
  • Tout client qui utilise d’anciens protocoles de messagerie tels que IMAP, SMTP ou POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

Aujourd’hui, la majorité des tentatives de connexion compromettantes ont pour origine l’authentification héritée.Today, the majority of compromising sign-in attempts come from legacy authentication. L’authentification héritée ne prend pas en charge Multi-Factor Authentication.Legacy authentication does not support Multi-Factor Authentication. Même si une stratégie Multi-Factor Authentication est activée sur votre annuaire, un attaquant peut s’authentifier à l’aide d’un protocole plus ancien et contourner Multi-Factor Authentication.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

Lorsque les paramètres de sécurité par défaut sont activés dans votre locataire, toutes les demandes d’authentification effectuées par un protocole hérité sont bloquées.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Les paramètres par défaut de sécurité bloquent l’authentification de base Exchange Active Sync.Security defaults blocks Exchange Active Sync basic authentication.

Avertissement

Avant d’activer les paramètres de sécurité par défaut, assurez-vous que vos administrateurs n’utilisent aucun protocole d’authentification plus anciens.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Pour plus d’informations, voir Comment se passer de l’authentification héritée.For more information, see How to move away from legacy authentication.

Protection des actions privilégiéesProtecting privileged actions

Les organisations utilisent divers services Azure managés par le biais de l’API Azure Resource Manager, entre autres :Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Portail AzureAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Utiliser Azure Resource Manager pour gérer vos services est une action très privilégiée.Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager peut modifier des configurations à l’échelle du locataire, telles que les paramètres de service et la facturation de l’abonnement.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. L’authentification à facteur unique est vulnérable à diverses attaques comme le hameçonnage et la pulvérisation de mots de passe.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Il est important de vérifier l’identité des utilisateurs qui souhaitent accéder aux configurations Azure Resource Manager et de mise à jour.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. Vous vérifiez leur identité en exigeant une authentification supplémentaire avant d’autoriser l’accès.You verify their identity by requiring additional authentication before you allow access.

Une fois que vous avez activé les paramètres de sécurité par défaut dans votre locataire, tout utilisateurs accédant au Portail Azure, à Azure PowerShell ou à Azure CLI doit effectuer une authentification supplémentaire.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Cette stratégie s’applique à tous les utilisateurs accédant à Azure Resource Manager, qu’ils soient administrateurs ou utilisateurs.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Notes

L’authentification moderne est désactivée par défaut pour les locataires Exchange Online antérieurs à 2017.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Pour éviter la possibilité d’une boucle de connexion lors de l’authentification par le biais de ces locataires, vous devez activer l’authentification moderne.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Notes

Le compte de synchronisation Azure AD Connect est exclu des paramètres de sécurité par défaut et ne sera pas invité à s’inscrire ou à effectuer une authentification multifacteur.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. Les organisations ne doivent pas utiliser ce compte à d’autres fins.Organizations should not be using this account for other purposes.

Points à prendre en considération pour le déploiementDeployment considerations

Les considérations supplémentaires suivantes concernent le déploiement des paramètres de sécurité par défaut.The following additional considerations are related to deployment of security defaults.

Méthodes d’authentificationAuthentication methods

Ces paramètres de sécurité par défaut gratuits permettent l’inscription et l’utilisation d’Azure Multi-Factor Authentication à l'aide de l’application de Microsoft Authenticator uniquement avec notifications.These free security defaults allow registration and use of Azure Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. L’accès conditionnel permet l'utilisation de n’importe quelle méthode d’authentification que l’administrateur choisit d’activer.Conditional Access allows the use of any authentication method the administrator chooses to enable.

MéthodeMethod Paramètres de sécurité par défautSecurity defaults Accès conditionnelConditional Access
Notification via une application mobileNotification through mobile app XX XX
Code de vérification provenant d’une application mobile ou d’un jeton matérielVerification code from mobile app or hardware token X**X** XX
Message texte vers le téléphoneText message to phone XX
Appel vers le téléphoneCall to phone XX
Mots de passe d'applicationApp passwords X***X***
  • ** Les utilisateurs peuvent utiliser des codes de vérification de l’application Microsoft Authenticator, mais ils peuvent uniquement s’inscrire à l’aide de l’option de notification.** Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • *** Les mots de passe d’application sont uniquement disponibles dans l’authentification multifacteur par utilisateur avec des scénarios d’authentification hérités uniquement s’ils sont activés par des administrateurs.*** App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

État MFA désactivéDisabled MFA status

Si votre organisation utilisait précédemment Azure Multi-Factor Authentication par utilisateur, ne vous inquiétez pas de ne pas voir les utilisateurs à l’état Activé ou Appliqué lorsque vous examinez la page d’état de MFA.If your organization is a previous user of per-user based Azure Multi-Factor Authentication, do not be alarmed to not see users in an Enabled or Enforced status if you look at the Multi-Factor Auth status page. L’état Désactivé est approprié pour les utilisateurs utilisant des paramètres de sécurité par défaut ou Microsoft Azure Multi-Factor Authentication basé sur l’accès conditionnel.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure Multi-Factor Authentication.

Accès conditionnelConditional Access

Vous pouvez utiliser l’accès conditionnel pour configurer des stratégies similaires aux paramètres de sécurité par défaut, mais avec une plus grande granularité, notamment des exclusions d’utilisateurs, non disponibles dans les paramètres de sécurité par défaut.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Si vous utilisez l’accès conditionnel et que des stratégies d’accès conditionnel sont activées dans votre environnement, les paramètres de sécurité par défaut ne seront pas disponibles pour vous.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Si vous disposez d’une licence qui fournit un accès conditionnel, mais que vous n’avez activé aucune stratégie d’accès conditionnel dans votre environnement, vous êtes invité à utiliser les paramètres de sécurité par défaut, tant que vous activez pas des stratégies d’accès conditionnel.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Pour plus d’informations sur les licences Azure AD, consultez la page des tarifs Azure AD.More information about Azure AD licensing can be found on the Azure AD pricing page.

Message d’avertissement indiquant que vous pouvez avoir des paramètres de sécurité par défaut ou un accès conditionnel, mais pas les deux

Voici des guides pas à pas sur la façon dont vous pouvez utiliser l’accès conditionnel pour configurer des stratégies équivalentes à celles rendues possibles par les paramètres de sécurité par défaut :Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Activation des paramètres de sécurité par défautEnabling security defaults

Pour activer les paramètres de sécurité par défaut dans votre annuaire :To enable security defaults in your directory:

  1. Connectez-vous au  portail Azure  en tant qu’administrateur de la sécurité, administrateur de l’accès conditionnel ou administrateur général.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Accédez à  Azure Active Directory > Propriétés.Browse to Azure Active Directory > Properties.
  3. Sélectionnez Gérer les paramètres de sécurité par défaut.Select Manage security defaults.
  4. Définissez Activer les paramètres de sécurité par défaut sur Oui à l’aide du bouton bascule.Set the Enable security defaults toggle to Yes.
  5. Sélectionnez Enregistrer.Select Save.

Désactivation des paramètres de sécurité par défautDisabling security defaults

Les organisations choisissant d’implémenter des stratégies d’accès conditionnel qui remplacent les paramètres de sécurité par défaut doivent désactiver les paramètres de sécurité par défaut.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Message d’avertissement relatif à la désactivation des paramètres de sécurité par défaut pour activer l’accès conditionnel

Pour désactiver les paramètres de sécurité par défaut dans votre annuaire :To disable security defaults in your directory:

  1. Connectez-vous au  portail Azure  en tant qu’administrateur de la sécurité, administrateur de l’accès conditionnel ou administrateur général.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Accédez à  Azure Active Directory > Propriétés.Browse to Azure Active Directory > Properties.
  3. Sélectionnez Gérer les paramètres de sécurité par défaut.Select Manage security defaults.
  4. Définissez Activer les paramètres de sécurité par défaut sur Non à l’aide du bouton bascule.Set the Enable security defaults toggle to No.
  5. Sélectionnez Enregistrer.Select Save.

Étapes suivantesNext steps

Stratégies d’accès conditionnel courantesCommon Conditional Access policies