Microsoft rend obligatoire l’authentification multifacteur pour ses portails d’administration Azure et Microsoft 365. En imposant la MFA, l’objectif est clair : mieux protéger les administrateurs et les utilisateurs des menaces croissantes de cybersécurité. Cette obligation, qui s’inscrit dans le cadre de l’initiative Secure Future, vise à réduire drastiquement les risques de piratage, en particulier les attaques de phishing, qui continuent de cibler les comptes non protégés.
Pourquoi la MFA est-elle essentielle ?
L’authentification multifacteur constitue une barrière de sécurité supplémentaire, en exigeant non seulement un mot de passe, mais également un deuxième facteur de vérification, comme un code envoyé sur un smartphone ou une authentification biométrique. Selon Microsoft, cette mesure pourrait prévenir jusqu’à 90 % des attaques visant les comptes administrateurs. Les comptes non protégés sont souvent la cible privilégiée des hackers, et la MFA permet de bloquer la majorité des tentatives d’accès frauduleuses.
Qui est concerné par l’obligation de la MFA ?
L’obligation d’activer la MFA s’applique aux :
Utilisateurs se connectant aux outils de gestion Microsoft tels que le Portail Azure, Microsoft Intune, Azure PowerShell, Azure CLI et l’API Graph
Administrateurs gérant les accès et les configurations
Comptes d’accès d’urgence, souvent utilisés en cas de besoin critique
Comptes d’utilisateurs mal utilisés, souvent employés comme comptes de services notamment pour automatiser des tâches ou exécuter des scripts
A noter que les identités non humaines, comme celles utilisées pour les processus non interactifs, ne sont pas affectées par cette obligation.
Les ressources affectées par la MFA obligatoire
L’obligation d’activer l’authentification multifacteur (MFA) ne concerne pas uniquement les portails d’administration principaux, mais impacte un ensemble d’outils de gestion utilisés quotidiennement par les administrateurs pour gérer leurs environnements Azure et Microsoft 365.
Voici les principales ressources affectées par cette mesure :
Centre d’administration Microsoft
Interface de ligne de commande Azure (Azure CLI)
Azure PowerShell
Infrastructure as Code (IaC)
Application mobile Azure
Portail Azure
Calendrier de mise en œuvre
La mise en place de la double authentification obligatoire se fera en deux vagues successives :
Première vague (15 octobre 2024)
Cette phase couvrira les principaux portails d’administration, tels que le Portail Azure, le Centre d’administration Intune, et le Centre d’administration Microsoft Entra. Tous les utilisateurs se connectant à ces portails devront activer la MFA.
Deuxième vague (début 2025)
Elle inclura des outils plus techniques, tels que Azure CLI, Azure PowerShell, l’application mobile Azure ainsi que les outils d’Infrastructure as Code (IaC).
Actions recommandées par Microsoft pour une transition réussie
Afin d’assurer une transition sans encombre, Microsoft recommande plusieurs actions pour les administrateurs et équipes IT :
Activation immédiate de la MFA pour anticiper les changements et éviter des interruptions de service après les dates butoirs. L’activation est facilitée par des paramètres de sécurité par défaut, accessibles même aux organisations disposant d’un compte Entra ID Free.
Mise en place d’une stratégie d’accès conditionnel. Cette stratégie assure que seules les connexions respectant certaines conditions (comme un appareil conforme ou un emplacement sécurisé) peuvent accéder aux ressources sensibles.
Sécurisation des comptes d’urgence avec une clé de sécurité FIDO2 ou un jeton OTP logiciel. Il est fortement recommandé de tester ces comptes avant l’application de la MFA obligatoire pour éviter toute coupure d’accès en cas d’urgence.