Décrire les méthodes d’authentification Azure
L’authentification est le processus qui consiste à établir l’identité d’un utilisateur, d’un service ou d’un appareil. Cela nécessite que la personne, le service ou l’appareil fournisse un type de justificatif pour prouver qui il est. L’authentification est semblable à la présentation de votre pièce d’identité quand vous voyagez. Cela ne confirme pas que vous êtes en possession d’un billet, cela prouve simplement que vous êtes la personne que vous prétendez être. Azure prend en charge plusieurs méthodes d’authentification, notamment les mots de passe standard, l’authentification unique (SSO), l’authentification multifacteur (MFA) et l’authentification sans mot de passe.
Pendant très longtemps, sécurité et commodité semblaient contradictoires. Heureusement, de nouvelles solutions d’authentification offrent à la fois sécurité et commodité.
Le diagramme suivant montre le niveau de sécurité par rapport à la commodité. Notez que l’authentification sans mot de passe offre des niveaux élevés de sécurité et de commodité, tandis que les mots de passe seuls offrent un niveau de sécurité faible, mais un niveau de commodité élevé.
Qu’est-ce que l’authentification unique ?
L’authentification unique (SSO) permet à un utilisateur de se connecter une fois et d’utiliser ces informations d’identification pour accéder à plusieurs ressources et applications auprès de différents fournisseurs. Pour que l’authentification unique fonctionne, les différentes applications et fournisseurs doivent approuver l’authentificateur initial.
Plus il y a d’identités, plus il y a de mots de passe à mémoriser et à changer. Les stratégies de mot de passe peuvent varier selon les applications. À mesure que les exigences de complexité augmentent, il devient de plus en plus difficile pour les utilisateurs de les mémoriser. Plus le nombre de mots de passe que l’utilisateur doit gérer est important, plus le risque d’un incident de sécurité lié aux informations d’identification est grand.
Considérez le processus de gestion de toutes ces identités. C’est une charge accrue pour le support technique qui doit alors gérer les verrouillages des comptes et les demandes de réinitialisation des mots de passe. Quand un utilisateur quitte une organisation, il faut pouvoir retrouver toutes ces identités et les désactiver, ce qui n’est pas toujours facile. Si une identité est oubliée, elle peut autoriser un accès alors qu’elle aurait dû être éliminée.
Avec l’authentification unique, vous n’avez besoin de mémoriser qu’un seul ID et un seul mot de passe. L’accès aux applications est accordé à une identité unique liée à un utilisateur, ce qui simplifie le modèle de sécurité. Quand un utilisateur change de rôle ou quitte l’organisation, l’accès est lié à une identité unique. Cette modification réduit considérablement le travail nécessaire pour changer ou désactiver les comptes. L’authentification unique permet aux utilisateurs de gérer leurs identités et au service informatique de gérer les utilisateurs plus facilement.
Important
L’authentification unique n’est sécurisée que dans la mesure où l’authentificateur initial l’est, car toutes les connexions ultérieures reposent sur la sécurité de l’authentificateur initial.
Qu’est-ce que l’authentification multifacteur ?
L’authentification multifacteur est le processus consistant à inviter un utilisateur à fournir une forme (ou facteur) supplémentaire d’identification pendant le processus de connexion. L’AMF aide à se protéger contre une compromission du mot de passe dans les situations où le mot de passe a été compromis mais que le deuxième facteur ne l’a pas été.
Réfléchissez à la façon dont vous vous connectez aux sites web, à la messagerie ou aux services en ligne. Après avoir entré votre nom d’utilisateur et votre mot de passe, vous est-il déjà arrivé d’avoir à entrer un code qui vous a été envoyé sur votre téléphone ? Si c’est le cas, vous avez utilisé l’authentification multifacteur pour vous connecter.
L’authentification multifacteur renforce la sécurité de vos identités en exigeant au moins deux éléments pour une authentification complète. Ces éléments se répartissent en trois catégories :
- Quelque chose que l’utilisateur sait : il peut s’agir d’une question d’identification.
- Quelque chose que l’utilisateur a : il peut s’agir d’un code envoyé sur le téléphone mobile de l’utilisateur.
- Quelque chose que l’utilisateur est : il s’agit généralement d’une propriété biométrique, comme une empreinte digitale ou un scan du visage.
L’authentification multifacteur renforce la sécurité des identités en limitant l’impact de l’exposition des informations d’identification (par exemple, noms d’utilisateurs et mots passe subtilisés). Si l’authentification multifacteur est activée, un attaquant qui connaît le mot de passe d’un utilisateur doit aussi disposer de son téléphone ou de son empreinte digitale pour s’authentifier complètement.
Comparons l’authentification multifacteur et l’authentification à facteur unique. Avec l’authentification à facteur unique, un attaquant n’a besoin que d’un nom d’utilisateur et d’un mot de passe pour s’authentifier. L’authentification multifacteur devrait être activée chaque fois que cela est possible, car elle apporte d’énormes avantages en termes de sécurité.
Qu’est-ce que l’authentification multifacteur Microsoft Entra ?
L’authentification multifacteur Microsoft Entra est un service Microsoft qui offre des fonctionnalités d’authentification multifacteur. L’authentification multifacteur Microsoft Entra permet aux utilisateurs de choisir une autre forme d’authentification pendant la connexion, par exemple un appel téléphonique ou une notification d’application mobile.
Qu’est-ce que l’authentification sans mot de passe ?
Les fonctionnalités telles que l’authentification MFA sont un excellent moyen de sécuriser votre organisation, mais les utilisateurs sont souvent frustrés par la couche de sécurité supplémentaire qui s’ajoute à la nécessité de se souvenir de leurs mots de passe. Les gens sont plus susceptibles de se conformer à l’authentification quand il est facile et pratique de le faire. Les méthodes d’authentification sans mot de passe sont plus pratiques, car le mot de passe est supprimé et remplacé par quelque chose que vous avez, en plus de quelque chose que vous êtes ou que vous savez.
L’authentification sans mot de passe doit être configurée sur un appareil pour qu’elle puisse fonctionner. Par exemple, votre ordinateur est quelque chose que vous avez. Une fois qu’il est inscrit, Azure sait qu’il est associé à vous. Maintenant que l’ordinateur est connu, une fois que vous fournissez quelque chose que vous connaissez ou que vous êtes (par exemple, un code confidentiel ou une empreinte digitale), vous pouvez être authentifié sans utiliser de mot de passe.
Chaque organisation a des besoins différents en matière d’authentification. Microsoft Azure international et Azure Government proposent les trois options d’authentification sans mot de passe suivantes qui s’intègrent à Microsoft Entra ID :
- Windows Hello Entreprise
- Application Microsoft Authenticator
- Clés de sécurité FIDO2
Windows Hello Entreprise
Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre PC Windows. Les identifiants biométriques et PIN sont directement liés au PC de l’utilisateur, ce qui empêche l’accès à quiconque autre que le propriétaire. Avec l’intégration de l’infrastructure à clé publique (PKI)et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello Entreprise propose une méthode d’accès pratique aux ressources d’entreprise localement et dans le cloud.
Application Microsoft Authenticator
Vous pouvez également autoriser le téléphone de votre employé à devenir une méthode d’authentification sans mot de passe. Vous utilisez peut-être déjà l’application Microsoft Authenticator comme option d’authentification multifacteur pratique en plus d’un mot de passe. Vous pouvez également utiliser l’application Authenticator comme option sans mot de passe.
L’application Authenticator transforme n’importe quel téléphone iOS ou Android en informations d’identification fortes et sans mot de passe. Les utilisateurs peuvent se connecter à n’importe quelle plateforme ou n’importe quel navigateur en obtenant une notification sur leur téléphone, en faisant correspondre un nombre affiché à l’écran à celui affiché sur leur téléphone, puis en utilisant leurs données biométriques (tactiles ou faciales) ou un code confidentiel pour confirmer. Pour plus d’informations sur l’installation, consultez Télécharger et installer l’application Microsoft Authenticator.
Clés de sécurité FIDO2
La FIDO (Fast Identity Online) Alliance permet de promouvoir les normes d’authentification ouverte et de réduire l’utilisation des mots de passe en tant qu’authentification. FIDO2 est la dernière norme qui incorpore la norme d’authentification Web (WebAuthn).
Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe conforme aux normes et impossible à pirater, qui peut prendre n’importe quelle forme. Fast Identity Online (FIDO) est une norme ouverte d’authentification sans mot de passe. Elle permet aux utilisateurs et aux organisations de tirer parti de la norme pour se connecter à leurs ressources sans nom d’utilisateur ou mot de passe, en utilisant une clé de sécurité externe ou une clé de plateforme intégrée à un appareil.
Les utilisateurs peuvent enregistrer, puis sélectionner une clé de sécurité FIDO2 dans l’interface de connexion en tant que principal moyen d’authentification. Ces clés de sécurité FIDO2 sont généralement des périphériques USB, mais elles peuvent également utiliser les technologies Bluetooth ou NFC. Avec un périphérique matériel gérant l’authentification, la sécurité d’un compte augmente car il n’existe aucun mot de passe qui pourrait être exposé ou deviné.