Authentification MFA manquante pour un compte non privilégié
Medium
Langue :
Description
L'authentification multifacteur (MFA), ou auparavant, authentification à deux facteurs (2FA), protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés.
Lorsqu'un attaquant obtient le mot de passe d'un utilisateur par une méthode quelconque, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.
Cet indicateur d'exposition signale les comptes qui ne disposent pas de méthode MFA enregistrée et vous informe si vous forcez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité. Cependant, cet indicateur d'exposition n'indique pas si Microsoft Entra ID force ou non l'authentification MFA, car les stratégies d'accès conditionnel peuvent exiger l’authentification MFA en fonction de critères dynamiques.
Les comptes désactivés sont ignorés par défaut, car ils ne peuvent pas être utilisés par les attaquants.
Vous pouvez également utiliser les fonctions « Activité des méthodes d'authentification » et « Rapports MFA » dans Entra ID.
Voir aussi l'IOE connexe, « Authentification MFA manquante pour un compte privilégié », pour les comptes privilégiés.
Solution
Tous les utilisateurs signalés doivent enregistrer des méthodes MFA et l'authentification MFA doit leur être appliquée, afin de renforcer leur protection contre les attaques de mot de passe.
Pour Microsoft Entra ID, Microsoft offre un modèle de stratégie d'accès conditionnel appelé Require MFA for all users. La stratégie demande aux utilisateurs d'enregistrer une méthode d'authentification MFA la première fois qu'ils s'authentifient après l'application forcée de l'authentification MFA. Nous vous recommandons de suivre les instructions de la section « Planifier un déploiement d’accès conditionnel » dans la documentation Microsoft.
Vous trouverez davantage d'informations sur l'authentification multifacteur de Microsoft Entra dans cette section de la documentation Microsoft Entra sur l'authentification (consultez également les pages connexes).