Appareils gérés non requis pour l'authentification

Par défaut, Microsoft Entra ID permet l'authentification à partir de n'importe quel appareil, ce qui peut conduire à des accès non autorisés et à des violations, notamment si l'appareil est compromis, non conforme ou contrôlé par un attaquant.

Le modèle « Zero Trust » stipule que l'authentification doit dépendre du statut de l'appareil, n'autorisant l'accès qu'aux appareils gérés par l'organisation et conformes à ses stratégies de sécurité.

La stratégie MS.AAD.3.7v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra ID), rendue obligatoire par la directive BOD 25-01, indique que « des appareils gérés DEVRAIENT être requis pour l'authentification ». Conformément aux recommandations de la CISA, cet IoE garantit qu'au moins une stratégie d'accès conditionnel inclut les paramètres suivants :

• « Utilisateurs » configuré pour inclure « Tous les utilisateurs ».
• « Ressources cibles » configuré sur « Toutes les ressources ».
• « Attribuer » configuré sur « Autoriser l'accès » avec les options « Exiger que l'appareil soit marqué comme conforme » et « Exiger un appareil à jonction hybride Microsoft Entra » sélectionnées, avec « Exiger l'un des contrôles sélectionnés » sélectionné en bas.
• « Activer la stratégie » configuré sur « Activé » (et non pas sur « Désactivé » ou « Rapport seul »).

Si vous suivez les recommandations de Microsoft, cet IoE garantit qu'au moins une stratégie d'accès conditionnel inclut les mêmes paramètres, en ajoutant « Exiger une authentification multifacteur », ce qui signifie :

• « Autoriser » configuré sur « Autoriser l'accès » avec les options « Exiger une authentification multifacteur », « Exiger que l'appareil soit marqué comme conforme » et « Exiger un appareil à jonction hybride Microsoft Entra » sélectionnées, avec « Exiger l'un des contrôles sélectionnés » sélectionné en bas.

Une stratégie d'accès conditionnel (CAP) activée doit être en place pour que le tenant bloque l'authentification à partir d'appareils non gérés.

La CISA et Microsoft ont des avis divergents sur la façon de prévenir ce risque :

• La stratégie MS.AAD.3.7v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra ID), rendue obligatoire par la directive BOD 25-01, accepte uniquement les appareils conformes ou à jonction hybride.
• En comparaison, Microsoft accepte également les authentifications multifacteur.

Tenable recommande de suivre les conseils de la CISA pour adopter l'approche la plus sûre. Cependant, comme il s'agit également de l'approche la plus restrictive, vous pouvez facilement opter pour la recommandation de Microsoft en utilisant l'option proposée dans l'IoE.

Pour ce faire, vous pouvez créer une CAP comme suit :

• Modifiez une CAP existante en appliquant les paramètres spécifiés dans la description de l'IoE.
• Créez une CAP dédiée et configurez-la selon les spécifications indiquées dans la description de l'IoE.

Si vous suivez la recommandation de Microsoft, vous pouvez utiliser le modèle de CAP « Exiger un appareil conforme, un appareil connecté en mode hybride à Microsoft Entra, ou l'authentification multifacteur pour tous les utilisateurs ». Ce modèle remplit tous les critères de l'IoE lorsque vous activez l'option de recommandation de Microsoft. Sinon, le modèle « Exiger un appareil compatible ou avec jonction hybride à Microsoft Entra pour les administrateurs » est moins restrictif dans la mesure où il ne cible que les administrateurs, mais il ne remplira aucun critère de l'IoE.

Remarque : le contrôle d'autorisation « Exiger que l'appareil soit marqué comme conforme » exige que votre organisation utilise la GPM d'Intune.

Mise en garde : Microsoft et Tenable recommandent tous deux d'exclure certains comptes des stratégies d'accès conditionnel, afin d'empêcher le verrouillage des comptes à l'échelle du tenant et les effets secondaires non souhaités. Tenable recommande également de suivre la documentation Microsoft « Planifier un déploiement d’accès conditionnel » pour assurer une planification et une gestion des modifications appropriées, mais aussi pour atténuer le risque de verrouiller vos propres comptes. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne peut pas la respecter. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

Nom: Appareils gérés non requis pour l'authentification

Nom de code: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure