Authentification MFA non requise pour les connexions à risque

L'authentification multifacteur (MFA), anciennement appelée authentification à deux facteurs (2FA), protège efficacement les comptes contre les vulnérabilités associées à des mots de passe faibles ou compromis. Conformément aux bonnes pratiques et aux normes du secteur, il est recommandé de bloquer l'authentification ou de demander une authentification MFA lorsque la connexion d'un utilisateur semble risquée selon les critères de la Protection Microsoft Entra ID.

Lorsqu'un attaquant obtient le mot de passe d'un utilisateur par quelque moyen que ce soit, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.

La Protection Microsoft Entra ID, une fonctionnalité nécessitant des licences Microsoft Entra ID P2, identifie les connexions risquées dans Entra ID. Un risque de connexion correspond à la probabilité qu'une demande d'authentification donnée ne provienne pas du propriétaire autorisé de l'identité, d'après une liste de détections. La détection du risque de connexion couvre trois niveaux :

• Élevé
• Moyen
• Faible

L'utilisation de ce niveau de risque de connexion peut déclencher l'authentification multifacteur (MFA) via deux fonctions de protection : Conditional Access Policies (Stratégies d'accès conditionnel) et Microsoft Entra ID Protection (Protection des ID Microsoft Entra). Tenable recommande de le configurer via une stratégie d'accès conditionnel (CAP), car elle offre des avantages supplémentaires, notamment des données de diagnostic améliorées, une intégration transparente au mode Rapport seul, la prise en charge de l'API Graph et la possibilité d'incorporer d'autres attributs d'accès conditionnel comme la fréquence de connexion dans le cadre de la stratégie. Les stratégies de risque héritées configurées dans Microsoft Entra ID Protection seront mises hors service le 1er octobre 2026 et doivent migrer vers les stratégies d'accès conditionnel. Par conséquent, cet IoE ne vérifie que les stratégies d'accès conditionnel.

Sur la base de cette recommandation, l'IoE s'assure qu'il existe au moins une stratégie (ou deux stratégies distinctes) d'accès conditionnel avec les paramètres suivants :

• « Utilisateurs » configuré pour inclure « Tous les utilisateurs ».
• « Ressources cibles » réglé sur « Toutes les ressources ».
• « Conditions > Applications clientes » défini sur « Non » (« Non configuré »). Vous pouvez également configurer ce paramètre sur « Oui » en sélectionnant les quatre options suivantes : « Navigateur », « Applications mobiles et clients de bureau », « Clients Exchange ActiveSync » et « Autres clients ».
• « Conditions > Risque de connexion » réglé sur « Oui » en sélectionnant les niveaux de risque « Élevé » et « Moyen ». Vous pouvez également configurer deux stratégies distinctes, l'une ciblant le risque « Élevé » et l'autre le risque « Moyen », pour obtenir le même effet.
• « Accorder » réglé sur « Exiger une authentification multifacteur » ou sur « Exiger la force de l'authentification » avec l'une des valeurs suivantes : « Authentification multifacteur », « Authentification multifacteur sans mot de passe » ou « Authentification multifacteur résistante au hameçonnage ».
• « Session -> Fréquence de connexion » réglé sur « À chaque fois ».
• Enfin, définissez « Activer la stratégie » sur « Activé » (et non pas « Désactivé » ou « Rapport seul »).

Il doit y avoir une stratégie d'accès conditionnel (CAP) activée pour le tenant, qui couvre tous les utilisateurs et demande une authentification MFA dans les situations de connexion à risque.

Pour ce faire, vous pouvez créer une CAP à l'aide des méthodes suivantes :

• En configurant cette condition dans une CAP existante via « Conditions > Risque de connexion », comme indiqué dans ce guide Microsoft et en appliquant les paramètres spécifiés dans la description de cet indicateur d'exposition.
• En créant une CAP et en la configurant comme indiqué dans la description de cet indicateur d'exposition.
• En créant une CAP dédiée à l'aide du modèle « Exiger l’authentification multifacteur pour les connexions à risque élevé » de Microsoft. Ce modèle répond à tous les critères requis par cet indicateur d'exposition.

Remarque : lorsque la stratégie d'accès conditionnel en cas de risque de connexion est activée, elle bloque automatiquement les authentifications à risque pour les utilisateurs qui ne se sont pas encore inscrits pour l'authentification multifacteur Microsoft Entra (MFA), l'inscription pour la MFA n'étant pas proposée à cette occasion. Pour éviter le blocage des utilisateurs, assurez-vous qu'ils ont bien terminé leur inscription pour la MFA à l'avance. En outre, consultez les IoE connexes « Authentification MFA manquante pour un compte non privilégié » et « Authentification MFA manquante pour un compte privilégié ».

Même si vous pouvez configurer directement la stratégie de risque de connexion dans Microsoft Entra ID Protection, Microsoft considère cette fonctionnalité comme héritée et envisage de la mettre hors service le 1er octobre 2026. Microsoft incite déjà les administrateurs à migrer les stratégies de risque vers l'accès conditionnel. Par conséquent, Tenable déconseille d'utiliser des stratégies de risque héritées dans Microsoft Entra ID Protection, et cet IoE les ignore.

Remarque : Microsoft et Tenable recommandent tous deux d'exclure certains comptes des stratégies d'accès conditionnel, afin d'empêcher le verrouillage des comptes à l'échelle du tenant et les effets secondaires non souhaités. Tenable recommande également de suivre la documentation Microsoft « Planifier un déploiement d’accès conditionnel » pour assurer une planification et une gestion des modifications appropriées, mais aussi pour atténuer le risque de verrouiller vos propres comptes. En particulier, si vous utilisez des solutions d'identité hybrides telles que Microsoft Entra Connect ou Microsoft Entra Cloud Sync, vous devez exclure leur compte de service de la stratégie, car il ne respecte pas la stratégie d'accès conditionnel. Utilisez l'action « Exclure les utilisateurs » et excluez directement le ou les comptes de service, ou cochez l'option « Rôles d'annuaire » et sélectionnez le rôle « Comptes de synchronisation d'annuaires ».

Nom: Authentification MFA non requise pour les connexions à risque

Nom de code: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure