Langue :
L'autorisation de l'inscription à l'authentification multifacteur (MFA) à partir de n'importe quel appareil, quel que soit son statut de gestion ou de conformité, crée un risque important pour la sécurité. Si un attaquant venait à compromettre les identifiants d'un utilisateur, il pourrait enregistrer son propre facteur MFA à partir d'un appareil non géré. Cela contournerait la protection MFA, donnerait à l'attaquant le contrôle sur le deuxième facteur d'authentification et permettrait un accès non autorisé à des ressources sensibles, menant potentiellement à une prise de contrôle totale du compte.
Le modèle « Zero Trust » n'autorise les actions critiques telles que l'inscription à la MFA qu'à partir d'appareils fiables et conformes. En limitant l'inscription à la MFA aux appareils gérés, on s'assure que l'appareil qui active cette fonctionnalité de sécurité clé est conforme aux normes de l'organisation. Cela réduit considérablement le risque qu'un attaquant disposant d'informations d'identification volées ne mette en place une MFA malveillante.
La stratégie MS.AAD.3.8v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra ID), rendue obligatoire par la directive BOD 25-01, indique plus précisément « qu'il FAUDRAIT imposer aux appareils gérés l'inscription à la MFA ».
Conformément aux recommandations de la CISA, cet indicateur d'exposition (IoE) garantit qu'au moins une stratégie d'accès conditionnel est activée pour autoriser uniquement les appareils gérés pour l'inscription à la MFA avec les paramètres suivants :
Une stratégie d'accès conditionnel (CAP) activée doit être en place pour que le tenant bloque l'inscription à l'authentification multifacteur (MFA) à partir d'appareils non gérés.
Pour atténuer ce risque, la CISA (via la stratégie MS.AAD.3.8v1 dans « M365 Secure Configuration Baseline for Microsoft Entra ID » [Référence de configuration sécurisée de M365 pour Microsoft Entra ID], rendue obligatoire par la directive BOD 25-01), définit les appareils gérés comme étant conformes ou à jonction hybride.
Pour ce faire, vous pouvez créer une CAP comme suit :
Remarque : le contrôle d'autorisation « Exiger que l'appareil soit marqué comme conforme » requiert de votre organisation qu'elle utilise la GPM d'Intune.
Mise en garde : Microsoft et Tenable recommandent tous deux d'exclure certains comptes des stratégies d'accès conditionnel, afin d'empêcher le verrouillage des comptes à l'échelle du tenant et les effets secondaires non souhaités. Tenable recommande également de suivre la documentation Microsoft « Planifier un déploiement d’accès conditionnel » pour assurer une planification et une gestion des modifications appropriées, mais aussi pour atténuer le risque de verrouiller vos propres comptes. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne peut pas la respecter. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».
Nom: Appareils gérés non requis pour l'inscription à la MFA
Nom de code: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION
Sévérité: Medium
Type: Microsoft Entra ID Indicator of Exposure