Microsoft rend l’authentification multifacteur (MFA) – « l’une des mesures de sécurité les plus efficaces disponibles » – obligatoire pour toutes les connexions Azure.
Préparation à la MFA obligatoire pour Azure
Le plan prévoit que le changement se déroule en deux phases :
- Octobre 2024 : MFA sera nécessaire pour se connecter au portail Azure, au centre d’administration Microsoft Entra et au centre d’administration Intune (déploiement progressif auprès de tous les locataires)
- Début 2025 : MFA requis pour la connexion à l’interface de ligne de commande (CLI) Azure, à Azure PowerShell, à l’application mobile Azure et aux outils Infrastructure as Code (IaC).
« Tous les utilisateurs qui se connectent aux applications […] pour effectuer toute opération de création, de lecture, de mise à jour ou de suppression (CRUD), il faudra MFA au début de l’application. Les utilisateurs finaux qui accèdent à des applications, des sites Web ou des services hébergés sur Azure, mais ne se connectent pas aux applications répertoriées, ne sont pas tenus d’utiliser MFA », explique Microsoft.
Les identités de charge de travail (par exemple, les identités gérées et les principaux de service) ne seront pas affectées par l’application de l’AMF.
Les organisations peuvent activer la MFA via Microsoft Entra via :
- Clés de sécurité FIDO2
- Authentification basée sur un certificat (utilisant la vérification de l’identité personnelle et une carte d’accès commune)
- Clés d’accès (en utilisant Microsoft Authenticator)
- Connexions à partir d’une application mobile à l’aide de notifications push, de données biométriques ou de codes d’accès à usage unique (via Microsoft Authenticator)
- Authentification par SMS ou vérification des appels vocaux (l’option la moins sécurisée, à éviter si possible)
« Les solutions d’authentification multifacteur externes et les fournisseurs d’identité fédérés continueront d’être pris en charge et répondront aux exigences MFA s’ils sont configurés pour envoyer une réclamation MFA », ont déclaré Naj Shahid et Bill DeForeest, principaux chefs de produit chez Azure Compute.
Les clients qui ont besoin de plus de temps pour se préparer à l’authentification MFA obligatoire pour les connexions (par exemple, en raison d’environnements complexes ou d’obstacles techniques) bénéficieront d’un sursis temporaire, jusqu’au 15 mars 2024. Les administrateurs globaux ont jusqu’au 15 octobre 2024 pour reporter l’authentification. démarrer les données (via le portail Azure).
Faire pression pour une sécurité accrue
Microsoft a déjà introduit des politiques d’accès conditionnel gérées par Microsoft dans Entra ID (anciennement Azure Active Directory) afin d’augmenter l’utilisation de MFA pour les comptes d’entreprise.
L’objectif de cette dernière initiative est de réduire le risque de compromission de compte et de violation de données pour les clients Azure, et de contribuer à la conformité (PCI DSS, HIPAA, GDPR et NIST).
« À partir d’aujourd’hui, Microsoft enverra un préavis de 60 jours à tous les administrateurs mondiaux d’Entra par e-mail et via Azure Service Health Notifications pour les informer de la date de début de l’application et des actions requises. Des notifications supplémentaires seront envoyées via le portail Azure, le centre d’administration Entra et le centre de messagerie M365 », ont conclu Shahid et DeForeest.
