Authentification MFA non requise pour un rôle privilégié

L'authentification multifacteur (MFA), anciennement appelée authentification à deux facteurs (2FA), protège efficacement les comptes contre les vulnérabilités associées à des mots de passe faibles ou compromis. Conformément aux bonnes pratiques et aux normes du secteur, il est recommandé d'activer l'authentification MFA, en particulier pour les comptes privilégiés qui constituent des cibles de choix pour les attaquants. Toute compromission pourrait avoir de graves conséquences.

Lorsqu'un attaquant obtient le mot de passe d'un utilisateur par une méthode quelconque, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.

Cet indicateur d'exposition signale les rôles privilégiés qui n'exigent pas d'authentification MFA, ce qui affecte les utilisateurs avec privilèges qui disposent du rôle privilégié en question. Avec Microsoft Entra ID, vous pouvez activer l'authentification MFA de différentes manières :

• Paramètres de sécurité par défaut : paramètres de sécurité préconfigurés qui incluent l'utilisation obligatoire de l'authentification multifacteur pour les administrateurs. L'activation de ce paramètre active automatiquement plusieurs fonctionnalités de sécurité, comme le recommande Microsoft.

• Accès conditionnel : ces stratégies spécifient les événements ou les applications qui nécessitent l'authentification MFA. Ces stratégies peuvent autoriser des connexions MFA standard pour les administrateurs. Remarque : cette fonctionnalité nécessite une licence Microsoft Entra ID P1 ou supérieure et n'est pas fournie avec Microsoft Entra ID Free. Elle est particulièrement recommandée pour les organisations matures qui ont des besoins de sécurité complexes et qui souhaitent définir précisément leurs critères d'authentification. Cet indicateur d'exposition recherche les stratégies d'accès conditionnel avec les paramètres suivants :

  • « Utilisateurs » configuré pour inclure « Tous les utilisateurs » ou les rôles privilégiés.
  • « Ressources cibles » réglé sur « Toutes les ressources ».
  • « Conditions > Applications clientes » défini sur « Non » (« Non configuré »). Vous pouvez également configurer ce paramètre sur « Oui » et sélectionner les quatre options disponibles : « Navigateur », « Applications mobiles et clients de bureau », « Clients Exchange ActiveSync » et « Autres clients ».
  • « Accorder » réglé sur « Exiger une authentification multifacteur » ou « Exiger la force de l'authentification » avec l'une des options suivantes : « Authentification multifacteur », « Authentification multifacteur sans mot de passe » ou « Authentification multifacteur résistante au hameçonnage ».
  • Enfin, « Activer la stratégie » défini sur « Activé » (et non pas « Désactivé » ou « Rapport seul »).

• Authentification MFA par utilisateur : l'authentification MFA par utilisateur est un service hérité que Microsoft recommande de remplacer par les stratégies plus récentes « Paramètres de sécurité par défaut » ou « Accès conditionnel ». Par conséquent, en raison d'une absence de prise en charge dans l'API Microsoft Graph, cet indicateur d'exposition ne peut pas déterminer si les utilisateurs disposant d'un rôle privilégié utilisent et appliquent l'authentification MFA par utilisateur héritée.

Les Paramètres de sécurité par défaut et l'Accès conditionnel s'excluent mutuellement ; vous ne pouvez pas les utiliser simultanément. Notez que les stratégies d'accès conditionnel ne peuvent cibler que les rôles Entra intégrés, à l'exclusion des rôles à l'échelle d'une unité d'administration et des rôles personnalisés.

Tous les rôles Entra privilégiés signalés doivent exiger l'authentification MFA, afin de renforcer la protection des utilisateurs qui ont reçu ces rôles contre les attaques ciblant les identifiants.

Pour Microsoft Entra ID, Microsoft offre un modèle de stratégie d'accès conditionnel appelé Require MFA for administrators. Ce modèle répond à tous les critères requis par cet indicateur d'exposition. La stratégie demande aux utilisateurs d'enregistrer une méthode d'authentification MFA la première fois qu'ils s'authentifient après l'application forcée de l'authentification MFA. Tenable recommande de suivre la documentation Microsoft « Planifier un déploiement d'accès conditionnel » pour assurer une planification et une gestion des modifications appropriées, mais aussi pour atténuer le risque de verrouiller vos propres comptes. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne respecte pas la stratégie d'accès conditionnel. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

Sinon, les paramètres de sécurité peuvent remplir cet objectif en imposant une authentification multifacteur pour les administrateurs. Cela inclut l'activation de diverses autres fonctionnalités de sécurité recommandées par Microsoft. Déterminez soigneusement à l'avance si l'un de ces changements risque d'entraîner une régression ou des effets secondaires non intentionnels dans votre environnement.

Nom: Authentification MFA non requise pour un rôle privilégié

Nom de code: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure